NIS2; riscos e oportunidades para as empresas

Introdução e referências normativas

NIS é uma sigla que significa «Segurança de Redes e da Informação».

Com esta sigla, a Comunidade Europeia pretendia designar o esforço legislativo para definir uma abordagem harmonizada em matéria de cibersegurança em todos os Estados-Membros da UE.

Em 2018, foi aprovado o primeiro regulamento europeu denominado NIS1 (Diretiva da UE 2016/1148), transposto a nível nacional pelo Decreto Legislativo n.º 65, de 18 de maio de 2018.

O Decreto NIS previa igualmente a adoção de uma «estratégia nacional de cibersegurança», através da criação da CSIRT italiana (Equipa de Resposta a Incidentes de Segurança Informática), com funções técnicas relacionadas com a prevenção, resposta e monitorização de incidentes cibernéticos, em colaboração com as CSIRTs europeias.

O NIS1 foi posteriormente substituído pelo NIS2 (Diretiva da UE 2022/2555), transposto a nível nacional pelo Decreto Legislativo n.º 138, de 4 de setembro de 2024.

A NIS 2 visa superar as limitações da NIS 1, que deixou demasiada margem de manobra aos Estados-Membros durante a transposição, o que resultou na incapacidade de alcançar o objetivo de harmonização, e excluiu também certas categorias de entidades que deveriam ter sido regulamentadas devido à sua importância para o mercado europeu.

Além disso, a NIS2 foi introduzida para dar resposta ao aumento do ritmo de digitalização que se tem verificado em todos os Estados-Membros e que foi acelerado pela pandemia; o que ampliou a superfície de ataque cibernético sem que houvesse um aumento correspondente nos sistemas de segurança.

Por último, outro objetivo da NIS2 é obrigar os operadores de serviços essenciais e importantes, bem como os prestadores de serviços digitais, a adotarem medidas de segurança adequadas e a comunicarem prontamente os incidentes às autoridades competentes e aos utilizadores dos seus serviços.

A nova diretiva foi harmonizada com outros regulamentos setoriais europeus específicos, nomeadamente:

- a Diretiva relativa à resiliência operacional digital no setor financeiro (DORA). Trata-se do regulamento aprovado em 10 de novembro de 2022 com o objetivo de reforçar as medidas de segurança em prol da resiliência e da cibersegurança do setor financeiro, através da implementação de uma série de medidas de segurança obrigatórias que garantam a integridade da informação e a cibersegurança dos serviços;

- a Diretiva relativa à resiliência das entidades críticas (CER); destinada a garantir clareza jurídica e coerência entre as várias diretivas.

As empresas em questão foram divididas em:

• Entidades essenciais (energia; transportes; saúde; abastecimento de água; administração pública; finanças; espaço; infraestruturas digitais)
• Entidades importantes (investigação; produtos químicos; alimentação; produção industrial; prestadores de serviços digitais; serviços postais; resíduos)
• Entidades públicas: Governo central (órgãos constitucionais e de relevância constitucional; Gabinete do Primeiro-Ministro e ministérios; autoridades fiscais; autoridades independent ) | Governo regional (regiões e províncias autónomas) | Governo local (cidades metropolitanas; municípios com mais de 100 000 habitantes; capitais regionais; autoridades locais de saúde) | Outras entidades públicas (organismos de regulação económica; prestadores de serviços económicos; associações; prestadores de serviços sociais, recreativos e culturais; organismos e instituições de investigação; institutos zooprofiláticos experimentais) | Outros tipos de entidades (entidades prestadoras de serviços de transportes públicos locais; instituições de ensino que realizam atividades de investigação; entidades que realizam atividades de interesse cultural; empresas internas; empresas participadas e empresas de controlo público)
• Fornecedores: as organizações que prestam serviços essenciais a entidades abrangidas pela NIS2 devem reforçar a sua segurança digital, mesmo que não estejam explicitamente incluídas nos sectors sujeitos a obrigações.

Conteúdo da NIS2

As obrigações gerais inerentes ao conteúdo da NIS2 podem ser resumidas com base em quatro pilares principais:

Governança: A direção deve aprovar as medidas de gestão de riscos adotadas pela organização e avaliar a sua eficácia ao longo do tempo: participar regularmente em formações sobre questões de cibersegurança e oferecer formações semelhantes aos colaboradores.

Gestão de riscos: a organização deve avaliar os riscos de segurança e de rede e adotar medidas técnicas, operacionais e organizacionais adequadas e proporcionadas para prevenir ou minimizar o impacto de incidentes nos destinatários dos seus serviços.

Continuidade das atividades: a organização deve adotar soluções que garantam a continuidade das atividades (por exemplo, cópias de segurança, plano de recuperação de desastres e procedimento de gestão de crises), com o objetivo de minimizar o impacto de quaisquer interrupções nos serviços prestados.

Cadeia de abastecimento: a empresa deve avaliar as vulnerabilidades de cada fornecedor direto, bem como a qualidade global dos produtos e das práticas de cibersegurança dos seus fornecedores. A avaliação abrangerá os fornecedores de TIC e outros fornecedores críticos que possam causar perturbações no serviço pelo qual a organização foi incluída no perímetro da NIS2.

As empresas terão, portanto, de ser capazes de medir e comunicar:

• Análise de riscos e políticas de segurança dos sistemas de informação
• Procedimentos de gestão de incidentes
• Soluções de continuidade de negócios (cópias de segurança e recuperação em caso de catástrofe) e procedimentos de gestão de crises e comunicação
• Políticas de segurança da cadeia de abastecimento (fornecedores e prestadores de serviços)
• Segurança na aquisição, desenvolvimento, manutenção e gestão das vulnerabilidades dos sistemas de informação e das redes

Cronograma do NIS2

As empresas e as administrações públicas terão de realizar uma avaliação para determinar se estão ou não sujeitas às obrigações da Diretiva NIS2.

De 1 de dezembro de 2024 a 28 de fevereiro de 2025, as empresas devem ter-se autenticado no Portal da ACN (Agência Nacional de Cibersegurança) utilizando as suas credenciais SPID. Durante este período, os utilizadores designados como /Serviço de Registo.

Em particular, as empresas são obrigadas a:

• Indique se a entidade faz parte de um grupo de empresas e indique o código fiscal da empresa-mãe, se for o caso.
  
• Enumere as empresas relacionadas e indique os seus códigos fiscais.
  
• Indique os códigos ATECO que descrevem a atividade da entidade.
• Indique os regulamentos setoriais da União Europeia relevantes.
• Indique os valores relativos ao volume de negócios, ao balanço e ao número de funcionários para determinar a categoria da empresa.
• Indique os tipos de entidades a que a empresa pertence.

Até 17 de janeiro de 2025, os operadores de registos de nomes de domínio de nível superior; os prestadores de serviços do sistema de nomes de domínio e de registo de nomes de domínio; os prestadores de serviços de computação em nuvem; os centros de dados; os prestadores de redes de distribuição de conteúdos; os prestadores de serviços geridos; os prestadores de serviços de segurança geridos; bem como os prestadores de mercados online; os prestadores de motores de busca online e os prestadores de plataformas de redes sociais deverão ter-se registado na plataforma.

Até 31 de março de 2025, a ACN elaborou uma lista de entidades essenciais e importantes com base nos registos recebidos através da plataforma.

Entre 1 de abril de 2025 e 15 de abril de 2025, a ACN notificou as entidades em causa sobre se tinham sido incluídas na lista de entidades essenciais ou importantes.

Até 15 de abril de 2025, as entidades que receberam a notificação foram obrigadas a designar, por meio de um ato específico, uma entidade responsável pelo cumprimento das obrigações previstas no decreto.

A partir daí, as entidades abrangidas pela diretiva terão de cumprir novos requisitos:

• até 1 de janeiro de 2026; obrigação de comunicação de incidentes
• até 1 de outubro de 2026; as obrigações relativas aos órgãos administrativos e às medidas de segurança devem ser cumpridas

Todos os anos, a ACN atualizará a lista das entidades envolvidas. As empresas e as administrações públicas terão a oportunidade de se inscrever anualmente, entre janeiro e fevereiro, caso considerem que fazem parte das entidades em causa.

Riscos para as empresas, mas também oportunidades

Após a entrada em vigor da NIS2 e a identificação dos operadores envolvidos, as autoridades competentes poderão realizar ações de vigilância e controlos aleatórios para verificar o cumprimento da diretiva por parte destes. Em caso de incumprimento, serão aplicadas sanções às empresas envolvidas.

As sanções são muito severas: para as grandes empresas, até 10 milhões de euros ou 2 % do volume de negócios global; para as médias empresas, até 7 milhões de euros ou 1,4 % do volume de negócios global.

Embora o cumprimento da regulamentação exija um esforço e um investimento evidentes por parte das empresas, é igualmente necessário reconhecer que a própria regulamentação visa oferecer uma solução substancial para o problema dos ciberataques, aos quais as empresas italianas continuam a ser muito vulneráveis e que, muitas vezes, tendem a ocultar por razões de imagem. Em termos económicos, o prejuízo médio estimado por cada ciberataque individual é superior a 2 milhões de euros, independentemente do volume de negócios da empresa.

Como a ERA pode ajudar na gestão da conformidade com a NIS2

Apesar de tudo o que foi referido acima — o que poderia sugerir que as empresas estão extremamente interessadas e envolvidas nas questões de cibersegurança —, não é raro, especialmente entre as pequenas e médias empresas (PME), encontrar empresas que pouco ou nada fizeram about respeito e que, atualmente, não conseguem definir a sua posição em relação aos riscos a que estão expostas, tanto do ponto de vista técnico como no que diz respeito ao cumprimento das diversas regulamentações em vigor.

Algumas empresas abordam a questão da cibersegurança através de coberturas de seguro. No entanto, as seguradoras mostram-se frequentemente relutantes em oferecer este tipo de proteção a empresas que nunca tomaram medidas concretas no domínio cibernético. Isto deve-se ao facto de não existir um método fiável para estimar com precisão os danos causados por um ciberataque. Consequentemente, os «pacotes NIS2» centram-se nos serviços de avaliação de riscos cibernéticos, mas deixam a cargo das empresas a adoção das medidas necessárias para colmatar quaisquer lacunas. A ERA pode oferecer um serviço mais abrangente, recorrendo a uma rede de fornecedores altamente qualificados em condições comerciais muito competitivas.

Mais especificamente, o apoio da ERA consiste em:

• Uma avaliação da estrutura organizacional e técnica da empresa; com o auxílio de questionários de autoavaliação que utilizam indicadores predefinidos;
• Cursos de sensibilização e formação; incluindo cursos básicos para todo o pessoal e módulos avançados para os quadros de direção e de gestão intermédia; em conformidade com as diretrizes da NIS2;
• Testes específicos e altamente qualificados de análise de vulnerabilidades; tratamento de phishing e avaliação de riscos de ransomware;
• Apoio de consultores especializados durante a fase de correção após a avaliação;
• Apoio especializado por parte de consultores dedicados para orientar as decisões estratégicas no domínio da cibersegurança.

A nossa solução inclui a análise da conformidade com os regulamentos NIS2, o que constitui, sem dúvida, a preocupação mais urgente; mas também pode acompanhar o cliente na gestão do projeto da fase de correção, ou seja, a fase em que o cliente deve corrigir as várias «falhas» identificadas no processo de diagnóstico; e é nesta fase que as dificuldades de algumas empresas se tornam mais evidentes, tanto em termos de competências internas como de disponibilidade de tempo e recursos.