Diariamente, empresas, instituições e entidades são alvos de ataques cibernéticos. Por isso mesmo a adoção da NIS2 representa uma oportunidade para as organizações apostarem e fortalecerem as suas políticas de segurança. No entanto, é crucial que essa implementação não seja vista apenas como uma obrigação regulatória, mas como uma medida necessária para a continuidade e segurança das operações. Organizações que investiram antecipadamente em conformidade estarão não apenas em conformidade com a legislação, mas também mais bem preparadas para enfrentar o cenário crescente de ameaças cibernéticas.
A adoção da Diretiva NIS2 representa um importante reforço nas políticas de cibersegurança no seio da União Europeia, introduzindo novas exigências e expandindo o objetivo da NIS original (Diretiva de Segurança das Redes e da Informação). Esta atualização reforça as medidas anteriormente previstas no Decreto-Lei n.º 65/2021, nomeadamente ao nível de análises de riscos e tratamento de incidentes, visando fortalecer a resiliência coletiva contra ameaças cibernéticas e uniformizar os padrões de segurança entre os estados-membros.
A diretiva procura garantir que as organizações essenciais aumentem a sua capacidade de resposta e recuperação perante ciberataques, promovendo um conjunto mínimo de medidas de segurança que todos devem adotar, sendo igualmente crucial que as organizações mantenham um sistema de monitorização contínua e adaptem as suas medidas de segurança conforme necessário. Tais medidas abrangem a preparação para fazer face a ameaças coletivas, a resiliência a ataques e a criação de padrões de segurança com a introdução de penalidades mais rigorosas para aqueles que não cumprem as normas. Nesse sentido, o fortalecimento da resiliência é essencial para garantir a continuidade dos serviços críticos.
Uma das grandes mudanças introduzidas pela NIS2 é o alargamento do âmbito das organizações abrangidas. Assim, qualquer organização que exerça uma função essencial para o desenvolvimento da sociedade europeia está sujeita à diretiva, não apenas os Operadores de Serviços Essenciais (OES) e Prestadores de Serviços Digitais (DSP’s). Essa abrangência visa proteger setores críticos, como energia, saúde, transporte e finanças, cujas falhas ou comprometimentos poderiam ter graves consequências.
Entre os principais requisitos, destaca-se a necessidade de uma gestão de riscos contínua, com base em normas reconhecidas e a criação de planos de resposta a incidentes com reporte obrigatório às autoridades. A gestão de terceiros e da cadeia de fornecimento também é um foco essencial, dada a sua criticidade para a continuidade das operações.
A NIS2 também se destaca por incentivar a colaboração entre os estados-membros, estabelecendo protocolos para a partilha de informações e para a coordenação de respostas a incidentes transfronteiriços. Esta colaboração, antes limitada, permite assegurar uma proteção mais robusta em rede, em vez de abordagens individuais e isoladas, promovendo assim a segurança de uma rede digital mais ampla e interligada na UE.
O prazo para a transposição da Diretiva NIS2 para a legislação nacional dos países-membros decorreu até ao passado dia 17 de outubro, data que marca o início de uma nova fase de cibersegurança na Europa. Resta-nos, ainda assim, aguardar pela publicação da transposição nacional para verificar como tal se concretizará no contexto nacional.
A adoção desta diretiva e a sua implementação bem-sucedida são fundamentais para garantir que empresas e governos estejam devidamente protegidos e preparados para um cenário de ameaças cibernéticas em constante evolução. Esta diretiva reforça ainda a importância de agir com urgência, pois a falta de conformidade e de medidas de proteção pode resultar em impactos severos num contexto cada vez mais frequentes de ciberameaças. Este é, pois, o momento de organizações e governos unirem esforços para implementar a NIS2 e garantir uma defesa robusta contra as crescentes ameaças digitais.
