A NIS 2 Para definir o padrão de cibersegurança na União Europeia, empresas de vários setores devem fornecer evidências de sua estratégia de segurança. A contagem regressiva começou e é hora de nos prepararmos juntos!

Globo conectado com trava de segurança

A partir de 18 de outubro de 2024, a nova diretriz de cibersegurança da UE, a NIS 2, se tornará obrigatória. Essa regulamentação obrigatória define o padrão de cibersegurança em toda a União Europeia e obriga as empresas de vários setores a documentar sua estratégia de segurança.

As empresas estão sendo chamadas a agir.

O que é a NIS 2?

Com a NIS 2 (segurança da informação e rede), a UE introduziu normas rígidas de cibersegurança para seus Estados-Membros. A NIS 2 é a sucessora da Diretriz NIS, que entrou em vigor em 2016. Portanto, a implementação de uma estratégia de segurança abrangente não é mais necessária apenas para proteção contra ciberataques, mas também é exigida por lei.

Os Estados-Membros devem adotar as medidas necessárias para cumprir a Diretriz NIS 2 até 17 de outubro de 2024 e aplicar essas medidas a partir de 18 de outubro de 2024.

Diferenças entre a NIS 1 e a NIS 2

Qual é a diferença entre a NIS 1 e a NIS 2?

A NIS 2 é uma versão aprimorada da Diretriz NIS de 2016, que já tinha o objetivo de garantir um alto nível de segurança das redes e dos sistemas de informação na União, mas apresentava alguns pontos fracos.

As diferenças mais importantes entre a NIS 1 e a NIS 2 são:

  • A nova versão inclui mais setores e empresas que são essenciais para a sociedade e a economia, como energia, saúde, transporte e infraestrutura digital.

  • A NIS 2 exige que as empresas e organizações envolvidas tenham um gerenciamento de risco eficaz e comuniquem incidentes cibernéticos graves ou significativos às autoridades nacionais competentes, que podem então tomar as medidas necessárias. A NIS 1 fornecia apenas especificações gerais para medidas de segurança e comunicação de incidentes.

  • A nova Diretriz de Segurança prevê sanções mais rigorosas para os Estados-Membros, que podem chegar a 20 milhões de euros ou quatro por cento do faturamento global se as empresas e organizações em questão não implementarem as medidas de segurança necessárias ou não comunicarem incidentes cibernéticos graves ou significativos às autoridades nacionais competentes. A NIS 1 deixou a determinação das sanções para os Estados-Membros, o que levou a uma aplicação inconsistente.

  • A NIS 2 enfatiza a responsabilidade pessoal da diretoria executiva pela cibersegurança e estipula que, pela primeira vez, os gerentes serão responsabilizados pessoalmente se não cumprirem os requisitos legais.

Grupo-alvo da NIS 2

Quem é afetado?

Quais empresas são obrigadas a implementar a Diretriz NIS 2?

Organizações essenciais: Essas são as organizações que atuam na área de infraestruturas críticas. Isso inclui, por exemplo, energia, transporte, gerenciamento de recursos hídricos, saúde ou bancos.

Organizações importantes: essa categoria inclui as principais empresas dos setores alimentício e químico, bem como as responsáveis pela fabricação de aparelhos elétricos, máquinas e veículos.

Além disso, os próprios Estados-Membros têm a opção de ampliar os grupos-alvo afetados pela NIS 2. Eles podem adicionar outras organizações às suas listas nacionais, obrigando as autoridades locais, instituições educacionais e outras a implementar as diretrizes.

Lembrete para a NIS 2

Quais são as multas?

A Diretriz NIS 2 é rigorosamente aplicada, incluindo multas pesadas em caso de não conformidade ou não cumprimento das obrigações de comunicação. O valor das multas depende da categorização das empresas individuais.

As empresas classificadas como "importantes" devem pagar multas entre 7 milhões de euros ou, no máximo, 1,4% de seu faturamento anual global total no ano fiscal anterior. As "empresas essenciais" enfrentam multas de até 10 milhões de euros ou um máximo de 2% de seu faturamento anual global total.

A due diligence na área de cibersegurança não é negociável e a alta gerência tem o dever de liderar a implementação e o monitoramento dessas medidas de cibersegurança.

O que isso significa concretamente para você?

A Diretriz NIS 2 é uma diretriz da UE que entrou em vigor em 16 de janeiro de 2023 e tem como objetivo melhorar a cibersegurança e a resiliência cibernética de infraestruturas críticas e provedores de serviços digitais. A diretriz obriga as empresas e organizações envolvidas a aderir a um gerenciamento de risco eficaz e comuniquem incidentes cibernéticos graves ou significativos às autoridades nacionais competentes, que poderão tomar as medidas necessárias. Para minimizar os possíveis danos aos usuários, ao meio ambiente e à ordem pública, o objetivo é identificar as falhas de segurança em um estágio inicial e tomar medidas preventivas contra elas. Para garantir que todas as partes envolvidas sigam os mesmos padrões elevados, as empresas também são responsáveis por garantir a segurança de toda a cadeia de suprimentos e transmitir os requisitos a seus parceiros comerciais e fornecedores. Outras medidas incluem, entre outras:

  • A implementação de medidas de segurança adequadas e proporcionais que estejam em conformidade com os padrões e as práticas recomendadas atuais para garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade de seus dados e serviços.

  • A criação e atualização de um plano de continuidade de negócios que permita a restauração das condições operacionais normais após um incidente cibernético.

  • Para evitar o acesso não autorizado, introdução de autenticação multifatorial para acesso a suas redes e sistemas de informação.

A Agência da UE para a Cibersegurança (ENISA) desempenhará um papel fundamental no monitoramento e no apoio à aplicação desses atos jurídicos.

NIS 2 - Obrigações do fabricante
Resumo de todos os fatos
Seu guia completo sobre a Lei de Resiliência Cibernética

Solicite nosso White Paper "A Lei de Resiliência Cibernética - O Futuro da Cibersegurança para Produtos Digitais" para obter todas as informações importantes sobre a CRA em um relance. O documento contém todos os principais fatos sobre a regulamentação da UE e também fornece uma visão de como nós, na Phoenix Contact, cumprimos os requisitos da CRA.

Baixar agora o White Paper
Mundo conectado com trava de segurança

Calendário da NIS 2

A Diretriz NIS 2 entrou em vigor em 16 de janeiro de 2023 e teve de ser transposta para a legislação nacional até 17 de outubro de 2024. A implementação da diretriz será revisada pela Comissão a cada 36 meses, começando a partir de 17 de outubro de 2027.

É hora de ficar ativo e se preparar.

Linha do tempo NIS 2

A NIS 2 já entrou em vigor em 16 de janeiro de 2023

Ciclo de segurança a 360°

Nosso conceito de segurança a 360° completo

Segurança a 360° – Nossa oferta completa sem concessões

No mundo dinâmico da cibersegurança, as mudanças são constantes e a introdução da Diretriz NIS 2 enfatiza isso. Enquanto esperamos que a diretriz seja transposta para a legislação nacional para entrar em vigor, a urgência de agir é inegável.

Para atender aos rigorosos requisitos da NIS 2, precisamos contar com padrões europeus e internacionais, que formam a nossa base. Esses padrões não apenas definem produtos seguros, mas também estabelecem os princípios para a implementação de sistemas de segurança robustos. Um exemplo notável é a IEC 62443, uma série de padrões reconhecidos mundialmente para segurança em automação. Nosso conceito abrangente de segurança a 360° inclui medidas técnicas e organizacionais que são protegidas pelas respectivas certificações IEC 62443.