Diretiva ou normativa proveniente da Comissão Europeia, que estabelece medidas com o objetivo comum de obter um alto nível em cibersegurança em todos os países da UE. Melhorar, preparar e adaptar os sistemas e as estruturas diante dos ciberataques é fundamental para normalizar o funcionamento dos mercados.
Na verdade, as diretrizes são direcionadas aos Estados, para que organizem e estabeleçam as instruções e medidas pertinentes. Entrou em vigor em janeiro de 2023, e mais concretamente na Espanha em outubro de 2024. A diretiva amplia o alcance das normativas, e para mais setores, da original NIS.
Em abril de 2025, os Estados membros deverão ter elaborado uma lista das entidades essenciais e importantes, assim como das entidades que prestam serviços de registro de nomes de domínio. Posteriormente, os Estados membros revisarão a lista com regularidade, pelo menos a cada dois anos, e se necessário, a atualizarão.
A versão 2 desta diretiva NIS (Network and Information Security ou Segurança da Rede e da Informação) amplia e determina os Setores Críticos. Os afetados são:
- Aeroespaciais
- Banca e Infraestruturas de Mercados Financeiros
- Determinadas estruturas das AA.PP.
- Empresas de infraestruturas digitais, empresas de gestão de serviços e serviços digitais
- Energia e Águas (potáveis e residuais)
- Fabricação de determinados produtos
- Gestão de resíduos
- Indústrias químicas
- Organismos de pesquisa
- Produção e distribuição de produtos alimentares
- Setor de saúde
- Serviços postais e de mensageria
- Transporte
Obrigações das empresas afetadas. Estabelecer e aplicar um protocolo de medidas de cibersegurança, do tipo de definição de políticas de cibersegurança, avaliação de riscos, gestão e notificação de incidentes, garantir a cadeia de suprimentos, entre outras, assim como ter designado um responsável por cibersegurança. Em relação às medidas a implementar, contempla-se uma lista mínima de medidas técnicas, operativas e organizacionais. Existem aplicações com testes para avaliar o grau de implementação.
Quando entrou em vigor esta diretiva? Oficialmente em outubro de 2024. Outra data importante no processo de implementação foi abril de 2025, prazo que os Estados tinham para comunicar o listado de entidades essenciais e importantes obrigatórias. Em consequência, as empresas afetadas deveriam ter implementado a normativa, ou, no pior dos casos, em processo de implementação. Os dirigentes devem ter claro que, ao não fazê-lo, expõem-se a importantes sanções.
Gasto ou investimento? As empresas devem entender que, na verdade, mais do que uma nova exigência, é um desafio, e, sobretudo, uma oportunidade. O fortalecimento da cibersegurança gerará a confiança de fornecedores e clientes, permitirá obter um melhor grau de competitividade, e não devem esquecer que os mercados são cada vez mais exigentes e globais, trazendo consigo a necessidade de um maior controle.
Pode acessar a diretiva: Diretiva (UE) 2022/2555
E na página da INCIBE, você pode acessar mais informações:
https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2
Miguel Ángel Otin Lloro
Secretário Geral. Huesca Excelente Fórum Empresarial
