A NIS2, diploma que visa fortalecer a cibersegurança nacional, alinhando-a com os objetivos europeus de um elevado nível comum de proteção no ciberespaço, foi publicada a 14 de dezembro de 2022 no Jornal Oficial da União Europeia (UE) e está agora em transposição para a lei portuguesa.

O projeto de Decreto-Lei que transpõe a Diretiva (UE) 2022/2555 (NIS2) foi submetido a Consulta Pública, tendo esta terminado a 31 de dezembro 2024. Espera-se que a aprovação da nova Lei de transposição da Diretiva ocorra no primeiro trimestre de 2025, e, mesmo depois da data prevista (17 de outubro de 2024), Portugal parece vir a ser dos primeiros países da UE a concluir a transposição, uma vez que, dos 27 estados-membros, até agora, apenas quatro o fizeram.

Esta nova diretiva representa um avanço significativo na cibersegurança da União Europeia, promovendo uma abordagem mais robusta e coordenada para enfrentar as crescentes ameaças cibernéticas e representando, por isso, uma evolução significativa da NIS, a diretiva original.

Algumas das principais mudanças refletem-se, essencialmente, em quatro aspetos. O primeiro prende-se com o seu âmbito de aplicação, que passa agora a abranger um número maior de setores e incluir muitas mais entidades em comparação com a NIS, passando o número de entidades abrangidas de 460 para mais de 4 mil. Em segundo lugar, é proposto um regime de supervisão mais rigoroso e com um maior detalhe sobre as obrigações das entidades e as penalizações em caso de não conformidade.

O terceiro aspeto prende-se com uma obrigação de notificação de incidentes significativos mais rígida, que inclui prazos específicos e requisitos detalhados sobre o conteúdo e forma das notificações. Por último, define-se a Rede Europeia de Organizações de Coordenação de Cibercrises (UE-CyCLONe) como entidade responsável por apoiar a gestão coordenada de crises e incidentes de cibersegurança em grande escala.

Neste contexto de mudanças, surge uma questão fundamental: que implicações a NIS2 traz para as organizações portuguesas?

A resposta é simples. Com a entrada em vigor da NIS2, as entidades abrangidas devem considerar cuidadosamente todos os requisitos específicos da diretiva, incluindo as normas detalhadas de cibersegurança, as obrigações de notificação, bem como as potenciais sanções associadas ao seu incumprimento. É também muito importante garantir que todas as partes interessadas, desde a gestão de topo até aos operadores de sistemas, estejam conscientes das novas obrigações e responsabilidades.

A compreensão e implementação dos aspetos mencionados são cruciais para garantir a conformidade e proteger a integridade e segurança das redes e sistemas de informação. Mas a NIS2 traz também consigo um conjunto de implicações a nível técnico para as organizações.

Para garantir que as melhores práticas e procedimentos de segurança sejam seguidos, há a necessidade de estabelecer uma formação contínua em cibersegurança, como parte de uma forte aposta na sensibilização de todos os colaboradores para os principais riscos e ataques.

É também crucial a adoção de tecnologias seguras, incluindo criptografia e outras medidas de segurança, para proteger dados sensíveis e comunicações críticas, bem como ter a capacidade de monitorização e deteção de incidentes, nomeadamente através da definição e implementação de planos de resposta eficazes.

Além disso, as organizações devem garantir um reforço da segurança na cadeia de fornecedores de Tecnologias de Informação (TI), certificando-se que estes têm políticas e práticas de segurança robustas. Igualmente importante é o estabelecimento de planos eficazes de continuidade de negócio e de recuperação de desastres para garantir que conseguem resistir e recuperar de incidentes de cibersegurança que se tornam cada vez mais recorrentes.

Prevemos, assim, que para cumprir os requisitos legais e técnicos da NIS2, as organizações abrangidas aumentem a procura por especialistas de consultoria em matéria de cibersegurança. É aqui que entram as empresas especializadas em TI: as principais aliadas das organizações na garantia da sua melhor adaptação a este novo contexto.

A função destes parceiros pode passar por várias etapas que vão desde a realização de um diagnóstico e de uma análise detalhada da posição da organização face aos requisitos da NIS2, à criação de planos estruturados que garantam a conformidade com a legislação portuguesa que transpõe esta diretiva e ao desenvolvimento e melhoria de infraestruturas de segurança. Também passam pela preparação para auditorias e para a obtenção de certificações como a ISO 27001, permitindo não apenas que as organizações cumpram as obrigações legais, mas também que se tornem mais resilientes face a um cenário de ameaças em constante evolução.

Possivelmente devido ao foco acrescido na responsabilização introduzido pela NIS2, percebemos que há um número cada vez maior de entidades a procurar apoio para melhorar as suas capacidades em cibersegurança. De um modo geral, é evidente que as entidades se estão a esforçar para estarem informadas sobre este regulamento, assim como para desenvolverem a sua maturidade nesta matéria. Contudo, é inevitável que algumas entidades, por desconhecimento, não acompanhem a evolução legislativa neste domínio e, consequentemente, possam vir a enfrentar problemas, nomeadamente através de sanções.

A NIS2 espelha, assim, a necessidade de uma abordagem mais sofisticada e coordenada para a cibersegurança na União Europeia, aumentando a resiliência e a segurança contra ameaças emergentes no cenário digital europeu e do nosso país. Mas, ao mesmo tempo, traz consigo um conjunto de aspetos novos e centrais para os quais as organizações não podem deixar de estar alerta.