A nova estratégia europeia de cibersegurança inclui, entre outras metas, duas novas propostas de directiva. Uma para estabelecer um nível comum de cibersegurança na União Europeia, a chamada NIS2, e uma outra sobre resiliência das entidades críticas.
A Directiva da UE NIS 1 foi lançada em Julho de 2016 e transposta para Portugal em Agosto de 2018. A NIS 2, tal como consultou a Security Magazine, incluirá todas as médias e grandes empresas de sectores críticos e intra-estruturas comuns como centros de dados e laboratórios de investigação.
A NIS 2 incluirá ainda a administração pública. Os requisitos de segurança para as empresas serão aumentados, com foco na gestão de riscos, além de uma lista de requisitos básicos de segurança que terão de ser cumpridos.
A Directiva NIS 2 irã abarcar, então, um grande número de sectores, que fornecem serviços chave, como transportes, ferrovia, aerospacial, fornecedores de água e energia, infra-estruturas digitais, fornecedores de serviços digitais, fornecedores de serviços e redes electrónicas públicas centros de processamento de dados, plataformas digitains incluindo redes sociais, saúde, farmacoquímico, gestão de resíduos, serviços postais, alimentação ou administração pública, entre outros.
Será também eliminada a distinção entre serviços essenciais e serviços digitais existente na NIS 1. As empresas serão classificadas como essenciais ou importante e será estabelecido um regime de supervisão diferente para cada uma delas. Serão ainda ampliados os requisitos de cibersegurança nas cadeias de abastecimento e relações com fornecedores das empresas.
A proposta de revisão da Directiva sobre Segurança das Redes e Sistemas de Informação é acompanhada de uma avaliação de impacto, que foi apresentada ao Conselho de Análise Regulamentar (RSB) em 23 de Outubro de 2020 e recebeu um parecer positivo com comentários do RSB em 20 de Novembro de 2020. Como resultado do processo de revisão, a nova proposta legislativa foi apresentada a 16 de Dezembro de 2020.
pub
NIS
- Os Estados-Membros da UE melhoram as suas capacidades de cibersegurança.
- Aumento da cooperação a nível da UE.
- Os operadores de Serviços Essenciais (OES) e Prestadores de Serviços Digitais (DSP) têm de adoptar práticas de gestão de risco e notificar incidentes significativos às suas autoridades nacionais.
NIS 2
- São introduzidas medidas de supervisão e execução mais rigorosas.
- É estabelecida uma lista de sanções administrativas, incluindo multas por violação das obrigações de gestão e informação em matéria de cibersegurança.
- Estabelecimento de uma rede europeia de organizações de ligação para crises cibernéticas (EU CyCLONe) para apoiar a gestão coordenada de incidentes e crises de segurança cibernética em larga escala a nível da UE.
- Aumento da partilha de informação e cooperação entre as autoridades dos Estados-Membros com o reforço do papel do Grupo de Cooperação.
- É estabelecida a divulgação coordenada de vulnerabilidades para vulnerabilidades recentemente descobertas em toda a UE.
- Requisitos de segurança reforçados com uma lista de medidas focalizadas, incluindo resposta a incidentes e gestão de crises, tratamento e divulgação de vulnerabilidades, testes de cibersegurança, e a utilização eficaz da encriptação.
- A cibersegurança da cadeia de abastecimento de tecnologias-chave de informação e comunicação será reforçada.
- Responsabilização da gestão da empresa pelo cumprimento das medidas de gestão de riscos de cibersegurança.
- Simplificação das obrigações de comunicação de incidentes com disposições mais precisas sobre o processo de comunicação, conteúdo e cronograma.
SECTORES
NIS
Saúde, transporte, banca e serviços financeiros, abastecimento de água, energia, infra-estrutura digital, fornecedores de serviços digitais
NIS 2
Todos os anteriores, mais:
- Fornecedores de redes ou serviços públicos de comunicações electrónicas
- Serviços digitais, tais como plataformas de serviços de redes sociais e serviços de centro de dados
- águas residuais e gestão de resíduos
- fabrico de certos produtos críticos, tais como farmacêuticos, dispositivos médicos e químicos
- serviços postais e correio expresso
- aeroespacial
- alimentação
- administração pública