A cibersegurança tornou-se uma prioridade estratégica para todas as organizações. Perante o aumento dos ciberataques e a evolução constante das ameaças, a União Europeia adotou a Diretiva NIS2 para reforçar a resiliência das empresas e das administrações públicas.

Mais ambiciosa do que a primeira Diretiva NIS, a NIS2 alarga significativamente o número de organizações abrangidas e introduz novos requisitos em matéria de governação, gestão de riscos e notificação de incidentes.

Com as primeiras datas de aplicação a aproximarem-se, permanece uma questão essencial:

A sua organização está realmente preparada?

Neste artigo, analisamos as principais obrigações da Diretiva NIS2, as entidades abrangidas e as ações que devem ser iniciadas desde já.

O que é a Diretiva NIS2?

A Diretiva NIS2 (Network and Information Security Directive 2) é uma legislação europeia que tem como objetivo reforçar o nível global de cibersegurança nos Estados-Membros.

Os seus principais objetivos são:

  • Reforçar a resiliência das organizações face às ciberameaças;
  • Harmonizar os requisitos de segurança em toda a União Europeia.

Ao contrário da primeira Diretiva NIS, a NIS2 deixa de abranger apenas os operadores de serviços essenciais. O seu âmbito de aplicação é muito mais alargado e passa a incluir milhares de organizações adicionais.

Que organizações são abrangidas?

A Diretiva distingue duas categorias.

Entidades essenciais

Entre elas encontram-se organizações dos setores da:

  • Energia;
  • Transportes;
  • Saúde;
  • Banca;
  • Infraestruturas digitais;
  • Administração Pública;
  • Abastecimento de água potável.

Entidades importantes

A NIS2 aplica-se igualmente a diversos outros setores, tais como:

  • Serviços digitais;
  • Prestadores de serviços cloud;
  • Centros de dados (Data Centers);
  • Gestão de resíduos;
  • Indústria transformadora;
  • Investigação;
  • Serviços postais.

A dimensão da organização, o volume de negócios e o seu papel na cadeia de valor podem igualmente determinar a sua inclusão no âmbito da Diretiva.

Muitas PME e empresas de média dimensão estão agora a descobrir que também são abrangidas.

Quais são as principais obrigações da NIS2?

A conformidade vai muito além da implementação de novas ferramentas de segurança.

Exige uma verdadeira estratégia de governação da cibersegurança.

As organizações deverão, nomeadamente:

Implementar uma gestão eficaz dos riscos

Os riscos cibernéticos devem ser identificados, avaliados e monitorizados de forma contínua.

Isto inclui:

  • Políticas de segurança documentadas;
  • Avaliações de risco;
  • Planos de continuidade e recuperação de negócio;
  • Gestão de cópias de segurança.

Reforçar a segurança da cadeia de fornecimento

Os ataques direcionados aos fornecedores têm vindo a aumentar.

Por esse motivo, a NIS2 exige igualmente a avaliação dos riscos associados a fornecedores, subcontratados e parceiros.

A cibersegurança passa a ser uma responsabilidade partilhada por todo o ecossistema.

Reforçar a governação

A gestão de topo assume um papel central.

Os órgãos de direção deverão:

  • Aprovar as medidas de cibersegurança;
  • Supervisionar a sua implementação;
  • Receber formação adequada sobre riscos cibernéticos.

A cibersegurança torna-se um tema de governação, ao mesmo nível dos riscos financeiros ou regulatórios.

Notificar incidentes relevantes

Os incidentes de segurança com impacto significativo deverão ser comunicados às autoridades competentes dentro dos prazos estabelecidos.

O objetivo é reforçar a coordenação europeia e limitar os efeitos dos ciberataques.

Quais são os riscos da não conformidade?

Para além das potenciais sanções financeiras, a falta de preparação pode provocar consequências importantes, tais como:

  • Interrupção da atividade;
  • Perda de dados;
  • Danos reputacionais;
  • Perda de confiança por parte de clientes e parceiros;
  • Maior responsabilização da gestão.

A conformidade com a NIS2 deve ser encarada como um investimento na resiliência da organização e não apenas como uma obrigação legal.

Como preparar a sua organização?

A conformidade não se alcança de um dia para o outro.

Os primeiros passos passam normalmente por:

  • Verificar se a organização está abrangida pela NIS2;
  • Realizar uma avaliação da maturidade em cibersegurança;
  • Mapear os riscos existentes;
  • Identificar as lacunas face aos requisitos regulamentares;
  • Definir um plano de ação priorizado.

Esta abordagem permite antecipar investimentos, envolver as equipas e reduzir progressivamente a exposição ao risco.

Como a Lùkla pode ajudar

Na Lùkla, apoiamos organizações no reforço da sua postura de cibersegurança.

Os nossos especialistas intervêm em áreas como:

  • Auditorias de segurança;
  • Avaliações de risco;
  • Governação da cibersegurança;
  • Segurança de infraestruturas Cloud;
  • Planos de continuidade de negócio;
  • Acompanhamento na conformidade regulamentar.

A nossa abordagem combina conhecimento técnico, compreensão dos desafios de negócio e acompanhamento contínuo para desenvolver estratégias de cibersegurança adaptadas à realidade de cada organização.

Preparar hoje para proteger o amanhã

A Diretiva NIS2 representa uma mudança significativa na forma como as organizações encaram a cibersegurança.

Mais do que uma obrigação regulamentar, constitui uma oportunidade para reforçar a resiliência dos sistemas de informação e promover uma verdadeira cultura de segurança.

As organizações que se prepararem desde já estarão mais bem posicionadas para reduzir riscos, aumentar a sua maturidade em cibersegurança e enfrentar com confiança os desafios futuros.

Consentimento