No passado dia 27 de dezembro, foi publicada a Diretiva NIS2, a revisão da diretiva UE 2016/1148 (NIS) que constituiu a primeira peça legislativa sobre cibersegurança, a nível da UE.
Entre as novidades trazidas pela NIS2, destacamos o regime sancionatório (que prevê coimas até 10 milhões de euros ou 2% do volume de negócio anual global), um conjunto mais amplo de medidas de segurança obrigatórias e novos requisitos de notificação de incidentes para as entidades que se incluam nos conceitos de entidades essenciais e importantes.
O âmbito de aplicação da diretiva é alargado, sendo na NIS2 abrangidos os seguintes setores:
- Entidades essenciais: energia; transportes; setor bancário; infraestruturas do mercado financeiro; saúde; água potável e águas residuais; infraestruturas digitais; gestão de serviços TIC (entre empresas); administração pública e; espaço.
- Entidades importantes: serviços postais e de estafeta; gestão de resíduos; produção, fabrico e distribuição de produtos químicos; produção, transformação e distribuição de produtos alimentares; indústria transformadora; prestadores de serviços digitais e; investigação.
O objetivo primordial desta diretiva prende-se com a alteração da estratégia de cibersegurança das organizações, com vista a melhorar a resiliência cibernética e capacidade de resposta a incidentes dos setores público e privado da UE.
Neste sentido, são estabelecidos requisitos específicos sobre como as organizações devem estruturar: a resposta a incidentes, a gestão de crises, a prevenção de vulnerabilidades, a realização de testes cibernéticos ou a necessidade de usar criptografia de qualidade.
Cada Estado-Membro terá agora 21 meses para transpor esta diretiva para o direito nacional.
|