NEWSROOM

The NIS2 Directive explained - Prepare your organization for NIS2 compliance

Posted on 2024-08-01 17:08:21

The NIS2 Directive explained - Prepare your organization for NIS2 compliance

The NIS2 Directive explained - Prepare your organization for NIS2 compliance

Preparing for the NIS2 Directive

The NIS2 (Network and Information Security 2) Directive is the latest and most comprehensive update to the European Union cybersecurity regulations, aimed at strengthening cybersecurity in a number of critical sectors across the EU.

This new directive expands and updates the requirements of the original NIS, covering more sectors and introducing more stringent compliance requirements.

NIS2 aims to ensure that all EU countries maintain an adequate level of cybersecurity by establishing compliance requirements for organizations that perform essential functions for the economy and society. This directive applies to a wide range of sectors, significantly increasing the number of organizations that need to comply.

Requisitos Principais

  • Gestão de Riscos
    As organizações devem implementar políticas robustas de gestão de riscos de segurança cibernética para proteger suas redes e sistemas de informação.
  • Relato de Incidentes
    Há uma exigência aumentada para relatar incidentes de segurança significativos às autoridades competentes de forma rápida e detalhada.
  • Reforço das Capacidades
    As entidades devem fortalecer suas capacidades de cibersegurança, adotando medidas técnicas e organizacionais apropriadas.
  • Sanções e Multas
    O incumprimento pode resultar em multas significativas, que podem chegar a €10 milhões ou 2% do faturamento anual global da organização, dependendo de qual for maior.

Principais Componentes da NIS2

  • Gestão de Patches
    Implementação de um processo formal e automatizado de gestão de patches para garantir que sistemas e softwares estejam sempre atualizados com as correções de segurança mais recentes.
  • Gestão de Vulnerabilidades
    Realização de avaliações regulares de vulnerabilidades e implementação de planos de remediação para corrigir falhas de segurança dentro de prazos predefinidos, priorizando com base no nível de risco.
  • Gestão de Configurações de Segurança
    Manutenção de configurações de segurança rígidas para sistemas e aplicações, documentando e revisando periodicamente para garantir a conformidade com as melhores práticas de segurança.

Setores Abrangidos pela NIS2

A NIS2 amplia a cobertura da diretiva original de 7 para 15 setores, incluindo:


Energia

Saúde

Transporte

Finanças

Abastecimento de Água

Infraestrutura Digital

Administração Pública

Provedores Digitais

Serviços Postais

Gestão de Resíduos

Espacial

Alimentar

Fabricação

Químico

Setor de Pesquisa

Requisitos de Conformidade e Penalidades

  • Requisitos de Gestão de Riscos
    Implementação de políticas robustas de gestão de riscos de segurança cibernética.
  • Relato de Incidentes
    Relatar incidentes de segurança significativos às autoridades competentes de forma rápida e detalhada.
  • Sanções e Multas
    Multas de até €10 milhões ou 2% do faturamento anual global para não conformidade.

Visão Geral da Linha Cronológica da NIS2

A linha cronológica destaca os principais marcos desde a implementação da primeira Diretiva NIS até a adoção e plena implementação da NIS2.

6 de Julho de 2016

  • Evento: Entrada em vigor da primeira Diretiva NIS (2016/1148).
  • Relevância: Estabelece requisitos para a segurança das redes e sistemas de informação dos operadores de serviços essenciais e fornecedores de serviços digitais.

16 de dezembro de 2020

  • Evento: Proposta de revisão da Diretiva NIS.
  • Relevância: A Comissão Europeia reconhece a necessidade de atualização devido às crescentes ameaças cibernéticas e a evolução do ambiente digital.

13 de maio de 2022

  • Evento: Acordo provisório sobre a NIS2.
  • Relevância: Conselho e Parlamento Europeu alcançam um acordo provisório sobre o texto da NIS2, refletindo a necessidade de melhorias na resiliência cibernética.

28 de novembro de 2022

  • Evento: Adoção formal da NIS2.
  • Relevância: Parlamento Europeu e Conselho da União Europeia adotam formalmente a NIS2, marcando um passo significativo para a segurança das redes e sistemas de informação.

27 de dezembro de 2022

  • Evento: Publicação da NIS2.
  • Relevância: Torna oficial a diretiva, iniciando o período para a sua transposição para as legislações nacionais.

7 de julho de 2024

  • Evento: Primeiro relatório sobre cibersegurança e resiliência.
  • Relevância: Publicação do relatório sobre a cibersegurança e resiliência dos setores de telecomunicações e eletricidade da Europa.

17 de outubro de 2024

  • Evento: Prazo para a transposição e implementação plena da NIS2.
  • Relevância: Os Estados-Membros devem ter adaptado suas leis nacionais para cumprir os requisitos da NIS2, assegurando a resiliência e segurança das redes e sistemas de informação.

10 de janeiro de 2025

  • Evento: Estabelecimento de metodologia e aspectos organizacionais de revisões por pares.
  • Relevância: Comissão e ENISA devem estabelecer a metodologia e os aspectos organizacionais para as revisões por pares.

17 de abril de 2025

  • Evento: Estabelecimento de listas de entidades essenciais e importantes.
  • Relevância: Estados-Membros devem estabelecer e reportar à Comissão as listas de entidades essenciais e importantes.

31 de outubro de 2027

  • Evento: Revisão do funcionamento da NIS2.
  • Relevância: Comissão Europeia deve apresentar um relatório ao Parlamento Europeu sobre o funcionamento da NIS2 e considerar possíveis revisões.

A NIS2 representa um passo significativo na evolução da cibersegurança na União Europeia, reforçando a proteção das infraestruturas críticas contra ameaças cibernéticas e garantindo uma resposta coordenada e eficaz a incidentes.

Assim a preparação para a NIS2 é crucial para garantir a resiliência cibernética da sua organização.

Como é que a Cyberprotech pode ajudar?

Na Cyberprotech, estamos prontos para ajudar a sua organização a preparar-se para a conformidade com a NIS2, oferecendo serviços de consultoria especializados que incluem:

  • Avaliação de Conformidade
    Identificação de lacunas e desenvolvimento de um plano de ação.
  • Implementação de Políticas de Gestão de Riscos
    Implementação de políticas e procedimentos robustos.
  • Relato de Incidentes
    Suporte na criação de processos eficientes para o relato de incidentes.
  • Treinamento e Capacitação
    Programas de treinamento para a sua equipa, garantindo preparação para as exigências da NIS2.

Portanto, a NIS 2 deverá estar em vigor em Portugal, no máximo, até outubro de 2024.

Cronograma de Implementação da NIS 2 para Empresas
  • Fase 1: Avaliação Inicial
  • Fase 2: Desenvolvimento do Plano de Conformidade
  • Fase 3: Implementação de Medidas de Segurança
  • Fase 4: Capacitação da Equipa com Formação e Sensibilização
  • Fase 5: Revisão e Ajustes
  • Fase 6: Melhoria Contínua com Manutenção e Atualização

A preparação para a NIS2 é crucial para garantir a resiliência cibernética, assim sendo, as empresas e entidades identificadas, devem começar a preparar-se o quanto antes, para garantir a conformidade com os novos requisitos.

Contacte-nos para saber mais sobre como a Cyberprotech pode ajudar a sua empresa a estar em conformidade com esta importante regulamentação.

Para mais informações, contacte-nos agora mesmo!


Referências

Referências sobre a NIS2 na União Europeia

Referências sobre a NIS2 em Portugal

João Pacheco

Founder and CEO of Cyberprotech

Cybersecurity and Data Protection Specialist. With more than 27 years of cybersecurity experience, John is dedicated to helping businesses and individuals protect their data and stay ahead of emerging threats. At Cyberprotech, John leads a team of experts who provide custom solutions in cybersecurity, data protection and technology consulting.

"Cybersecurity is what I am. Everything else is what I do..."