Diretiva NIS2: Como podem as empresas reforçar a sua cibersegurança

Os nossos serviços em cibersegurança apoiam as organizações na implementação da diretiva NIS2 para altos níveis de proteção e conformidade.

Os nossos serviços em cibersegurança apoiam as organizações na implementação da diretiva.

A cibersegurança tornou-se uma prioridade absoluta para as organizações em resultado do número crescente de ciberataques a infraestruturas críticas. A Diretiva NIS2, proposta pela Comissão Europeia, introduz um novo padrão de ciber-resiliência necessário para proteger essas infraestruturas na União Europeia. Com uma série de requisitos mais rigorosos e uma abrangência expandida, a NIS2 é fundamental para assegurar a continuidade e a segurança das operações das organizações. Apresentamos um resumo das principais alterações introduzidas pela NIS2, juntamente com o suporte da KPMG na implementação das medidas necessárias para estar em conformidade com essas novas exigências.

Enquadramento da Diretiva NIS2

A NIS2 tem como objetivo proporcionar um nível de práticas comuns de cibersegurança mais elevado dentro da UE. A necessidade de substituir a NIS (agora conhecida como “NIS1”) surgiu devido à heterogeneidade na aplicação dos requisitos de segurança entre os Estados-Membros e ao aumento dos ciberataques nos últimos anos. A NIS2 introduz medidas rigorosas de segurança cibernética, incluindo gestão de riscos, cadeia logística, comunicação de incidentes, supervisão e auditorias.

A Diretiva NIS2 (ou SRI2, em Portugal) foi publicada pela UE a 27 de dezembro de 2022 e entrou em vigor a 16 de janeiro de 2023.

Com setores críticos ampliados e claramente definidos em comparação com a anterior Diretiva NIS de 2016, a NIS2 deveria ter sido transposta para o direito nacional até 17 de outubro de 2024, mas ainda está em curso. Não obstante a transposição ainda não ter sido finalizada, a diretiva está em vigor e deve ser respeitada pelas entidades abrangidas nos estados membros da UE. As empresas devem procurar reduzir desde já o risco de não-conformidade, já que a NIS2 prevê menor grau de liberdade para implementação nos estados membros do que a NIS.

Estima-se que após a transposição, as autoridades nacionais comecem a auditar a conformidade com a NIS2 após 6 a 12 meses.

Cronograma

Requisitos

A conformidade com a NIS2 requer atenção aos seguintes aspetos críticos:

Governação:

A gestão de topo é responsável pela aprovação, supervisão, cumprimento e formação regular em cibersegurança para os colaboradores.

Medidas de Risco:

Implementação de requisitos nas áreas de Sistemas de Informação (SI), Recursos Humanos (RH), Gestão de Acessos, Gestão de Continuidade de Negócios (GCN), Gestão de incidentes, TPRM SSDLC, e Auditoria interna, entre outros.

Comunicação de Incidentes:

Em caso de incidente ou ciberameaça significativa, a entidade deve notificar as autoridades competentes dentro do prazo estabelecido.

Formação e Sensibilização:

As entidades devem assegurar que todos os colaboradores recebem formação em cibersegurança e possuem as competências adequadas.

Supervisão e Controlo:

As organizações devem demonstrar conformidade às autoridades competentes, incluindo a facilitação de inspeções on-site, visitas de auditoria e análises de conformidade.

Regimes de Conformidade:

A lei resultante da transposição dos estados membros (no caso de Portugal, ainda em processo de aprovação) apresenta os regimes a utilizar pelas organizações.

Registo para EIEs:

Após a autoavaliação, a entidade deve declarar às autoridades nacionais competentes a sua designação, de acordo com a autoavaliação. Prevê-se que as autoridades de cibersegurança dos diferentes estados membros disponibilizem mais diretrizes acerca deste processo, em breve.

Aplicabilidade

A NIS2 aplica-se a diversas entidades com elevado graus de criticidade e grande dimensão, incluindo:

Grandes Empresas:

Empresas com mais de 250 colaboradores
Empresas com volume de negócios anual acima de €50M
Empresas com balanço geral anual acima de €43M.

Setores no Âmbito – Entidades com elevado grau de Criticidade

Administração pública, água potável, águas residuais, banca, energia, espaço, gestão de serviços TIC (B2B), infraestruturas digitais, infraestruturas de mercados financeiros, saúde e transportes.

Outras Entidades Críticas (“Importantes”)

Fabrico de produtos químicos, gestão de resíduos, investigação, manufatura, produção e distribuição de alimentos, serviços postais e digitais.

Penalidades

As empresas que não cumprirem os requisitos da NIS2 enfrentam várias consequências, incluindo:

Multas substanciais: Podem chegar a €10 milhões ou 2% do volume de negócios anual global, o que for maior.

Responsabilidade individual: membros da gestão de topo podem enfrentar penalidades em casos de negligência ou inadequação nas práticas de cibersegurança.

Abordagem da KPMG

Na KPMG, oferecemos um suporte abrangente para ajudar a sua empresa a estar em conformidade com a NIS2:

Identificação de Requisitos: Mapeamento das obrigações específicas de segurança e conformidade necessárias, mediante o contexto específico da sua empresa.
Gap Assessment: Avaliação das lacunas (“gaps”) existentes e desenho de iniciativas para mitigar as mesmas.
Desenvolvimento de Roadmap: Criação de um plano detalhado para implementação de controlos e medidas.
Implementação: Assistência prática na execução do roadmap de conformidade, incluindo se aplicável o apoio na obtenção de certificações relevantes, como por exemplo a ISO 27001.

Contacte os nossos especialistas para mais informações:

Sérgio Martins

Partner

Rodrigo Monteiro

Senior Manager