A 16 de janeiro de 2023, entrou em vigor a Diretiva NIS 2, com a implementação obrigatória prevista para 17 de outubro de 2024 em todos os países da União Europeia. Esta diretiva marca uma nova fase na cibersegurança empresarial e traz consigo desafios e oportunidades que não podem ser ignorados. Mas o que significa realmente para as empresas e quais são as medidas a adotar para garantir conformidade e segurança?
Para muitos empresários, a primeira questão que surge é se as suas empresas estão sujeitas à aplicação da NIS 2. A resposta depende principalmente da indústria em que operam e da dimensão da organização. Esta nova diretiva alarga o âmbito da sua antecessora, a NIS original de 2016, e passa a abranger um maior número de organizações, incluindo aquelas que podem não ter tido anteriormente preocupações significativas com cibersegurança.
Todos podemos imaginar as consequências devastadoras de um ataque cibernético a infraestruturas críticas, desde a escassez de abastecimentos a perturbações na ordem pública. A NIS 2 visa precisamente prevenir tais cenários, impondo às organizações classificadas como infraestruturas críticas medidas rigorosas para mitigar riscos, sejam eles derivados de erro humano, falhas de sistema, ações maliciosas ou desastres naturais.
A diretiva obriga a um controlo rigoroso da cibersegurança, requerendo que as organizações monitorizem continuamente os seus riscos e preparem planos de ação para manter a operacionalidade em caso de incidentes. O incumprimento destas normas pode resultar em multas severas, até 10 milhões de euros ou 2% do volume de negócios anual global.
A NIS 2 classifica as organizações em “essenciais” e “importantes”, consoante a criticidade dos seus serviços. Entre as “essenciais” encontram-se setores como transportes, energia, banca, saúde, e infraestruturas digitais, enquanto que nas importantes estão áreas como a produção industrial, serviços postais, e a produção alimentar e farmacêutica.
Independentemente da categoria, todas as organizações abrangidas pela NIS 2 devem adotar medidas específicas de gestão de risco, responsabilidade empresarial, obrigações de informação e notificação, e continuidade do negócio. As empresas devem implementar políticas robustas de análise de risco e segurança dos sistemas de informação, gestão de incidentes, e garantir a continuidade das suas operações mesmo perante eventos disruptivos.
Para se adaptarem à NIS 2, as empresas devem atuar de forma estratégica, começando por uma avaliação rigorosa da sua maturidade em termos de cibersegurança. Esta avaliação deve identificar pontos fortes e fracos, riscos e oportunidades, estabelecendo um roteiro de atividades que assegure a conformidade com a diretiva de forma eficiente.
A adoção de normas reconhecidas, como a ISO 27001 para a segurança da informação e a ISO 22301 para a continuidade do negócio, pode ser uma abordagem eficaz. Estas normas fornecem um quadro estruturado para implementar as medidas exigidas pela NIS 2, facilitando a transição e assegurando a resiliência cibernética da organização.
A Diretiva NIS 2 representa um marco na cibersegurança europeia. Amplia o alcance e a rigidez das medidas necessárias para proteger infraestruturas críticas e setores vitais. Para as empresas, isto traduz-se na necessidade urgente de rever e fortalecer as suas políticas de cibersegurança, garantindo que estão preparadas para enfrentar e mitigar qualquer ameaça cibernética. Adaptar-se a esta nova realidade não é apenas uma questão de conformidade legal, mas um imperativo para a sobrevivência e continuidade no atual cenário digital.
