6 anos, 5 meses e 8 dias depois, NIS passa a NIS2
Um tempo de vida curto para a primeira legislação da União Europeia sobre cibersegurança, mas talvez longo para um tema em constante evolução, com ameaças emergentes, ataques de cibersegurança cada vez mais frequentes e com maior impacto no espaço europeu.
Estaremos a acompanhar a evolução das ameaças?
NIS(1)
Proposta na estratégia europeia de cibersegurança (1), a Diretiva NIS foi adotada a 6 de julho de 2016 (2), com o objetivo de reforçar a resiliência do espaço europeu de cibersegurança a três níveis: europeu, estados-membros e entidades consideradas relevantes para os estados-membros e espaço europeu.
Foi transposta para lei portuguesa a 13 de agosto de 2018 (3), estabelecendo o regime jurídico da segurança do ciberespaço. O Centro Nacional de Cibersegurança (CNCS) fica responsável pela supervisão da adequada implementação da Diretiva NIS, enquanto que sobre as entidades recai a obrigação de cumprir – com requisitos de segurança da informação e Instruções do CNCS – e de notificar – incidentes de segurança relevantes.
Três anos depois da transposição nacional, a 30 de julho de 2021, o Decreto-Lei n.º 65/2021 (4) vem regulamentar o regime jurídico do ciberespaço e definir requisitos para as entidades, nomeadamente:
– comunicação do ponto de contacto permanente e responsável de segurança;
– comunicação do inventário dos ativos essenciais para a prestação dos serviços;
– execução de análises dos riscos globais e parciais;
– elaboração e atualização de um plano de segurança;
– comunicação do relatório anual; e
– implementação de meios que permitam detetar, classificar e notificar incidentes ao CNCS.
Durante o ano de 2022, o CNCS adotou uma postura pedagógica, que incluiu um roadshow nacional, no entanto, assumiu recentemente que esta postura não foi efetiva, pelo que procedeu à notificação de cerca de 400 entidades e alertou que vai começar com a aplicação das coimas previstas na transposição nacional (5). Note-se que, até esta data, não são conhecidas sanções que tenham sido aplicadas no contexto da Diretiva NIS em Portugal.
NIS2
Publicada a 14 de dezembro de 2022, a Diretiva NIS2 vem substituir a Diretiva NIS.
O âmbito de aplicação das Diretiva NIS2 é alargado face ao previsto na Diretiva NIS, tendo sido acrescentados os seguintes setores à lista de setores críticos:
– águas residuais;
– gestão de serviços TIC (B2B);
– administração pública;
– espaço;
– serviços postais e de estafeta;
– gestão de resíduos;
– produção, fabrico e distribuição de produtos químicos;
– produção, transformação e distribuição de produtos alimentares;
– indústria transformadora;
– prestadores de serviços digitais; e
– investigação.
Ao nível das obrigações para as entidades, a Diretiva NIS2 reforça algumas das medidas já previstas no Decreto-Lei n.º 65/2021, nomeadamente no que toca a análises de riscos e tratamento de incidentes, e inclui de uma forma mais precisa um conjunto mínimo de temas que têm de ser endereçados pelas organizações. Pela Diretiva NIS2, as entidades devem, no mínimo, endereçar (6):
a) análise dos riscos e de segurança;
b) tratamento de incidentes;
c) continuidade das atividades;
d) segurança da cadeia de abastecimento;
e) segurança na aquisição, desenvolvimento e manutenção;
f) avaliação da eficácia das medidas de gestão dos riscos de cibersegurança;
g) práticas básicas de ciber-higiene e formação em cibersegurança;
h) criptografia e, se for caso disso, de cifragem;
i) segurança dos recursos humanos; e
j) utilização de soluções de autenticação multifatores ou de autenticação contínua.
A transposição para legislação nacional da Diretiva NIS2 tem um prazo limite de 17 de outubro de 2024 (6). Resta-nos aguardar pela publicação da transposição nacional para verificar como tal se concretizará no contexto nacional.
Com ou sem a transposição da Diretiva NIS2, estaremos todos a dar a devida atenção a este tema? É tempo de agirmos e protegermo-nos, sob pena de termos impactos severos, causados não só pela ausência de conformidade regulamentar mas principalmente por ataques de cibersegurança cada vez mais frequentes.
