A NIS 2 Para definir o padrão de cibersegurança na União Europeia, empresas de vários setores devem fornecer evidências de sua estratégia de segurança. A contagem regressiva começou e é hora de nos prepararmos juntos!
A partir de 18 de outubro de 2024, a nova diretriz de cibersegurança da UE, a NIS 2, se tornará obrigatória. Essa regulamentação obrigatória define o padrão de cibersegurança em toda a União Europeia e obriga as empresas de vários setores a documentar sua estratégia de segurança.
As empresas estão sendo chamadas a agir.
O que é a NIS 2?
Com a NIS 2 (segurança da informação e rede), a UE introduziu normas rígidas de cibersegurança para seus Estados-Membros. A NIS 2 é a sucessora da Diretriz NIS, que entrou em vigor em 2016. Portanto, a implementação de uma estratégia de segurança abrangente não é mais necessária apenas para proteção contra ciberataques, mas também é exigida por lei.
Os Estados-Membros devem adotar as medidas necessárias para cumprir a Diretriz NIS 2 até 17 de outubro de 2024 e aplicar essas medidas a partir de 18 de outubro de 2024.
Qual é a diferença entre a NIS 1 e a NIS 2?
A NIS 2 é uma versão aprimorada da Diretriz NIS de 2016, que já tinha o objetivo de garantir um alto nível de segurança das redes e dos sistemas de informação na União, mas apresentava alguns pontos fracos.
As diferenças mais importantes entre a NIS 1 e a NIS 2 são:
-
A nova versão inclui mais setores e empresas que são essenciais para a sociedade e a economia, como energia, saúde, transporte e infraestrutura digital.
-
A NIS 2 exige que as empresas e organizações envolvidas tenham um gerenciamento de risco eficaz e comuniquem incidentes cibernéticos graves ou significativos às autoridades nacionais competentes, que podem então tomar as medidas necessárias. A NIS 1 fornecia apenas especificações gerais para medidas de segurança e comunicação de incidentes.
-
A nova Diretriz de Segurança prevê sanções mais rigorosas para os Estados-Membros, que podem chegar a 20 milhões de euros ou quatro por cento do faturamento global se as empresas e organizações em questão não implementarem as medidas de segurança necessárias ou não comunicarem incidentes cibernéticos graves ou significativos às autoridades nacionais competentes. A NIS 1 deixou a determinação das sanções para os Estados-Membros, o que levou a uma aplicação inconsistente.
-
A NIS 2 enfatiza a responsabilidade pessoal da diretoria executiva pela cibersegurança e estipula que, pela primeira vez, os gerentes serão responsabilizados pessoalmente se não cumprirem os requisitos legais.
Quem é afetado?
Quais empresas são obrigadas a implementar a Diretriz NIS 2?
Organizações essenciais: Essas são as organizações que atuam na área de infraestruturas críticas. Isso inclui, por exemplo, energia, transporte, gerenciamento de recursos hídricos, saúde ou bancos.
Organizações importantes: essa categoria inclui as principais empresas dos setores alimentício e químico, bem como as responsáveis pela fabricação de aparelhos elétricos, máquinas e veículos.
Além disso, os próprios Estados-Membros têm a opção de ampliar os grupos-alvo afetados pela NIS 2. Eles podem adicionar outras organizações às suas listas nacionais, obrigando as autoridades locais, instituições educacionais e outras a implementar as diretrizes.
Quais são as multas?
A Diretriz NIS 2 é rigorosamente aplicada, incluindo multas pesadas em caso de não conformidade ou não cumprimento das obrigações de comunicação. O valor das multas depende da categorização das empresas individuais.
As empresas classificadas como "importantes" devem pagar multas entre 7 milhões de euros ou, no máximo, 1,4% de seu faturamento anual global total no ano fiscal anterior. As "empresas essenciais" enfrentam multas de até 10 milhões de euros ou um máximo de 2% de seu faturamento anual global total.
A due diligence na área de cibersegurança não é negociável e a alta gerência tem o dever de liderar a implementação e o monitoramento dessas medidas de cibersegurança.
O que isso significa concretamente para você?
A Diretriz NIS 2 é uma diretriz da UE que entrou em vigor em 16 de janeiro de 2023 e tem como objetivo melhorar a cibersegurança e a resiliência cibernética de infraestruturas críticas e provedores de serviços digitais. A diretriz obriga as empresas e organizações envolvidas a aderir a um gerenciamento de risco eficaz e comuniquem incidentes cibernéticos graves ou significativos às autoridades nacionais competentes, que poderão tomar as medidas necessárias. Para minimizar os possíveis danos aos usuários, ao meio ambiente e à ordem pública, o objetivo é identificar as falhas de segurança em um estágio inicial e tomar medidas preventivas contra elas. Para garantir que todas as partes envolvidas sigam os mesmos padrões elevados, as empresas também são responsáveis por garantir a segurança de toda a cadeia de suprimentos e transmitir os requisitos a seus parceiros comerciais e fornecedores. Outras medidas incluem, entre outras:
-
A implementação de medidas de segurança adequadas e proporcionais que estejam em conformidade com os padrões e as práticas recomendadas atuais para garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade de seus dados e serviços.
-
A criação e atualização de um plano de continuidade de negócios que permita a restauração das condições operacionais normais após um incidente cibernético.
-
Para evitar o acesso não autorizado, introdução de autenticação multifatorial para acesso a suas redes e sistemas de informação.
A Agência da UE para a Cibersegurança (ENISA) desempenhará um papel fundamental no monitoramento e no apoio à aplicação desses atos jurídicos.
Calendário da NIS 2
A Diretriz NIS 2 entrou em vigor em 16 de janeiro de 2023 e teve de ser transposta para a legislação nacional até 17 de outubro de 2024. A implementação da diretriz será revisada pela Comissão a cada 36 meses, começando a partir de 17 de outubro de 2027.
É hora de ficar ativo e se preparar.
A NIS 2 já entrou em vigor em 16 de janeiro de 2023
Nosso conceito de segurança a 360° completo
Segurança a 360° – Nossa oferta completa sem concessões
No mundo dinâmico da cibersegurança, as mudanças são constantes e a introdução da Diretriz NIS 2 enfatiza isso. Enquanto esperamos que a diretriz seja transposta para a legislação nacional para entrar em vigor, a urgência de agir é inegável.
Para atender aos rigorosos requisitos da NIS 2, precisamos contar com padrões europeus e internacionais, que formam a nossa base. Esses padrões não apenas definem produtos seguros, mas também estabelecem os princípios para a implementação de sistemas de segurança robustos. Um exemplo notável é a IEC 62443, uma série de padrões reconhecidos mundialmente para segurança em automação. Nosso conceito abrangente de segurança a 360° inclui medidas técnicas e organizacionais que são protegidas pelas respectivas certificações IEC 62443.