Artigo publicado no jornal Dinheiro Vivo a 25 de maio de 2024
Com transposição prevista até 17 de outubro de 2024 a Diretiva NIS 2 “Network and Information Security 2” irá alargar o ambito de aplicação da sua antecessora e também assumir uma postura mais assertiva na sua fiscalização e que inclui uma mão mais pesada na punição.
A razão do endurecimento legislativo deve-se ao diagnóstico realizado, a nível europeu, de que o actual nível de resiliência a ameaças cibernéticas é insatisfatório e que são necessárias medidas adicionais para que o conjunto de estados membros propicie um ciberespaço mais seguro.
Senior Associate of FINEX
O upgrade da nova directiva verifica-se essencialmente em três pilares: alargamento dos setores de atividade diretamente abrangidos e criando em simultâneo novos critérios de classificação de entidades, o reforço das obrigações e o significativo endurecimento das penalidades financeiras em caso de infração.
Com a entrada em vigor da NIS 2 o leque de setores de atividade visados alarga-se e passa agora a ser diferenciado entre Entidades Essenciais e Entidades Importantes (anteriormente apenas se referiam Operadores Essenciais).
As Entidades Essenciais (entidades consideradas vitais para manutenção de funções sociais e económicas criticas) são:Energia, Transportes, Setor Bancário, Infraestruturas do mercado financeiro, Saúde Água Potável, Águas residuais, Infraestrutura digital, Gestão de serviços TIC, Administração Pública e Espaço. As Entidades Importantes (consideradas “não criticas” mas com impacto significativo para a economia e sociedade) são: Serviços postais e de estafeta, Gestão de resíduos, Produção, fabrico e distribuição de produtos químicos, Produção, transformação e distribuição de produtos alimentares, Indústria transformadora, Prestadores de serviços digitais e Organismos de investigações.
Para além de outras inovações destaca-se o papel especial reservado às administrações das Entidades. A directiva prevê que os órgãos de administração das entidades abrangidas devem aprovar as medidas de cibersegurança e de gestão de risco descritas no diploma e supervisionem a sua implementação sublinhando assim a relivância do governance na gestão de riscos das organizações. A administração deve assim pronunciar-se e supervisionar a implementação de matérias como políticas de análise de risco e de segurança de sistemas de informação, plano de resposta a incidentes e garantias de continuidade das atividades, segurança da cadeia de abastecimento, políticas de controlo de acesso e gestão e ativos, a utilização de soluções de autenticação multifator entre outras.
As alterações introduzidas pelo NIS2 também têm um impacto significativo nas penalidades previstas em caso de infração e que ao abrigo da NIS1 previam nos casos mais graves multas no valor de 25.000€. Como tem vindo a ser hábito noutro tipo de regulamentação enveredou-se por um caminho de penalizações muitissimo elevadas e balizadas pelo volume de negócios.
Resumidamente, para as Entidades Essenciais as multas assumem um máximo de pelo menos 10.000.000€ ou de um máximo de pelo menos 2% do volume de negócios anual total mundial no exercício financeiro anterior da empresa (o que for maior).
No caso das Entidades Importantes as multas serão de um máximo de pelo menos 7.000.000€ ou de um máximo de pelo menos 1,4% do volume de negócios anual total mundial no exercício financeiro anterior da empresa (o que for maior).
Adicionalmente e para entidades essenciais o regulamento prevê que determindados cargos (nomeadamente CEO e o representante legal) possam, temporariamente, ser proibidos de exercer funções de gestão.
Ao aderir às orientações da directiva certamente reforçaremos a resiliência das infraestruturas nacionais e garantiremos um maior nível de segurança para a economia e para a sociedade em geral. Estamos perante um desafio grande mas a natureza exata desses desafios só se tornará evidente após o conhecimento dos detalhes da transposição. Em todo o caso, tendo presente a informação já conhecida, estamos perante um tema que deve ser alvo de particular atenção por parte das administrações das organizações que se antecipam podem vir a ser directamente visadas ou que façam previsivelmente parte da cadeia de fornecimento dos sectores visados.
