Skip to main content
Pedir Proposta

      A cibersegurança tornou-se uma prioridade absoluta para as organizações em resultado do número crescente de ciberataques a infraestruturas críticas. A Diretiva NIS2, proposta pela Comissão Europeia, introduz um novo padrão de ciber-resiliência necessário para proteger essas infraestruturas na União Europeia. Com uma série de requisitos mais rigorosos e uma abrangência expandida, a NIS2 é fundamental para assegurar a continuidade e a segurança das operações das organizações. Apresentamos um resumo das principais alterações introduzidas pela NIS2, juntamente com o suporte da KPMG na implementação das medidas necessárias para estar em conformidade com essas novas exigências.

      Enquadramento da Diretiva NIS2

      A NIS2 tem como objetivo proporcionar um nível de práticas comuns de cibersegurança mais elevado dentro da UE. A necessidade de substituir a NIS (agora conhecida como “NIS1”) surgiu devido à heterogeneidade na aplicação dos requisitos de segurança entre os Estados-Membros e ao aumento dos ciberataques nos últimos anos. A NIS2 introduz medidas rigorosas de segurança cibernética, incluindo gestão de riscos, cadeia logística, comunicação de incidentes, supervisão e auditorias.

      A Diretiva NIS2 (ou SRI2, em Portugal) foi publicada pela UE a 27 de dezembro de 2022 e entrou em vigor a 16 de janeiro de 2023. 

      Com setores críticos ampliados e claramente definidos em comparação com a anterior Diretiva NIS de 2016, a NIS2 deveria ter sido transposta para o direito nacional até 17 de outubro de 2024, mas ainda está em curso. Não obstante a transposição ainda não ter sido finalizada, a diretiva está em vigor e deve ser respeitada pelas entidades abrangidas nos estados membros da UE. As empresas devem procurar reduzir desde já o risco de não-conformidade, já que a NIS2 prevê menor grau de liberdade para implementação nos estados membros do que a NIS.

      Estima-se que após a transposição, as autoridades nacionais comecem a auditar a conformidade com a NIS2 após 6 a 12 meses.

      Cronograma

      Linha do tempo que ilustra a evolução da diretiva NIS (Network and Information Security) e da sua sucessora, a NIS2, na União Europeia e em Portugal. A linha do tempo está organizada com datas e eventos chave da seguinte forma, da esquerda para a direita: 2016: Diretiva NIS1 Texto: "Primeiro ato legislativo transversal a nível da UE em matéria de cibersegurança." 2018 | 21: Transposição para a lei nacional Texto: "Em Portugal, a lei entrou em vigor em 2021, estabelecendo o regime jurídico da segurança do ciberespaço." 2020: NIS1 Revisões da auditoria externa Texto: "As autoridades europeias em coordenação com as autoridades nacionais realizam auditorias externas às organizações abrangidas pelo âmbito de aplicação da NIS1." 2022: Diretiva NIS2 Texto: "O processo de revisão da UE foi concluído e a diretiva NIS2 foi emitida no quarto trimestre de 2022." 2022 | 24: Proposta de Diretiva NIS2 Texto: "A Comissão Europeia apresentou uma proposta de revisão para responder a ciberameaças e aos problemas na implementação." 2024 | 25: NIS2 Discussão Pública e Transposição para direito nacional Texto: "A proposta de transposição foi autorizada para consulta pública em dezembro de 2024. A respetiva proposta de lei foi feita no início de fevereiro de 2025 e aguarda aprovação no Parlamento nacional." 2025: Relatórios dos operadores de serviços essenciais Texto: "O CNCS divulgou a fevereiro de 2025 novos relatórios que abordam o estado da cibersegurança nos Operadores de Serviços Essenciais." A linha do tempo mostra a progressão desde a primeira diretiva até aos preparativos atuais para a implementação da NIS2 em Portugal.

      Requisitos

      A conformidade com a NIS2 requer atenção aos seguintes aspetos críticos:

      Governação:

      A gestão de topo é responsável pela aprovação, supervisão, cumprimento e formação regular em cibersegurança para os colaboradores.

      Medidas de Risco:

      Implementação de requisitos nas áreas de Sistemas de Informação (SI), Recursos Humanos (RH), Gestão de Acessos, Gestão de Continuidade de Negócios (GCN), Gestão de incidentes, TPRM SSDLC, e Auditoria interna, entre outros.

      Comunicação de Incidentes:

      Em caso de incidente ou ciberameaça significativa, a entidade deve notificar as autoridades competentes dentro do prazo estabelecido.

      Formação e Sensibilização:

      As entidades devem assegurar que todos os colaboradores recebem formação em cibersegurança e possuem as competências adequadas.

      Supervisão e Controlo:

      As organizações devem demonstrar conformidade às autoridades competentes, incluindo a facilitação de inspeções on-site, visitas de auditoria e análises de conformidade.

      Regimes de Conformidade:

      A lei resultante da transposição dos estados membros (no caso de Portugal, ainda em processo de aprovação) apresenta os regimes a utilizar pelas organizações.

      Registo para EIEs:

      Após a autoavaliação, a entidade deve declarar às autoridades nacionais competentes a sua designação, de acordo com a autoavaliação. Prevê-se que as autoridades de cibersegurança dos diferentes estados membros disponibilizem mais diretrizes acerca deste processo, em breve.

      Aplicabilidade

      A NIS2 aplica-se a diversas entidades com elevado graus de criticidade e grande dimensão, incluindo:

      Grandes Empresas:

      • Empresas com mais de 250 colaboradores
      • Empresas com volume de negócios anual acima de €50M
      • Empresas com balanço geral anual acima de €43M.

      Setores no Âmbito – Entidades com elevado grau de Criticidade

      Administração pública, água potável, águas residuais, banca, energia, espaço, gestão de serviços TIC (B2B), infraestruturas digitais, infraestruturas de mercados financeiros, saúde e transportes.

      Outras Entidades Críticas (“Importantes”)

      Fabrico de produtos químicos, gestão de resíduos, investigação, manufatura, produção e distribuição de alimentos, serviços postais e digitais.

      Penalidades

      As empresas que não cumprirem os requisitos da NIS2 enfrentam várias consequências, incluindo:

      • Multas substanciais: Podem chegar a €10 milhões ou 2% do volume de negócios anual global, o que for maior.
      • Responsabilidade individual: membros da gestão de topo podem enfrentar penalidades em casos de negligência ou inadequação nas práticas de cibersegurança.

      Abordagem da KPMG

      Na KPMG, oferecemos um suporte abrangente para ajudar a sua empresa a estar em conformidade com a NIS2:

      1. Identificação de Requisitos: Mapeamento das obrigações específicas de segurança e conformidade necessárias, mediante o contexto específico da sua empresa.
      2. Gap Assessment: Avaliação das lacunas (“gaps”) existentes e desenho de iniciativas para mitigar as mesmas.
      3. Desenvolvimento de Roadmap: Criação de um plano detalhado para implementação de controlos e medidas.
      4. Implementação: Assistência prática na execução do roadmap de conformidade, incluindo se aplicável o apoio na obtenção de certificações relevantes, como por exemplo a ISO 27001.

      Contacte os nossos especialistas para mais informações:

      Fotografia Sérgio Martins

      Sérgio Martins

      Partner

      Fotografia Rodrigo Monteiro

      Rodrigo Monteiro

      Senior Manager

      Conteúdo relacionado

      Saiba como a tecnologia está a redefinir os negócios com IA e automação. Explore os nossos insights e casos de aplicação.
      Saber mais

      Ajudamos a proteger dados, sistemas e reputação com soluções de cibersegurança avançadas. Explore o nosso apoio à segurança digital da sua empresa.
      Saber mais

      Temos uma solução para o seu desafio

      Descubra como a KPMG pode ajudá-lo e à sua empresa.

      Pedir Proposta