Marta Quaresma Ferreira em 2023-10-19

VENUE

IT Security Conference 2023

ENISA: “Olhar para a NIS 2 como uma oportunidade de melhorarmos a cibersegurança nas nossas organizações” (com vídeo)

O Cybersecurity Expert da ENISA apresentou os principais desafios levantados pela NIS 1 e quais as mais-valias criadas pela Diretiva NIS 2

ENISA: “Olhar para a NIS 2 como uma oportunidade de melhorarmos a cibersegurança nas nossas organizações” (com vídeo)

Ricardo Figueiredo, Cybersecurity Expert da European Union Agency for Cybersecurity (ENISA), levou até ao palco da 2.ª edição da IT Security Conference o tema da nova Diretiva NIS 2.

A sucessora da NIS 1 nasceu num contexto de eventos disruptivos, como foi o caso da pandemia da COVID-19, da transformação digital e das questões de geo-política e soberania digital entre China, EUA e União Europeia. No contexto de ameaças, “vemos tudo a mudar rapidamente, com mais impacto, mais ativo, algo que nos preocupa diariamente”, começa por explicar Ricardo Figueiredo. 

A proposta da NIS 2 surge assim naquele que é considerado o maior pacote legislativo à escala europeia, onde se pode encontrar também o Cybersecurity Act, a Nova Estratégia da União Europeia para a Cibersegurança, iniciativas setoriais (DORA) e a reformulação dos mecanismos e dos instrumentos de financiamento ao nível da cibersegurança.

O Cybersecurity Expert considera que o ponto de partida para compreender a nova diretriz passa por avaliar o que “correu bem e o que correu menos bem na diretiva NIS 1”. Um dos grandes problemas, destaca, estava relacionado com âmbito de aplicação da Diretiva, admitindo a dificuldade na sua gestão, que acabou por “criar muitas divergências”. Em causa estava a não inclusão (a priori) no âmbito da diretiva de determinados setores que também deveriam ter sido considerados críticos; por outro lado, na transposição para a legislação nacional, os Estados-Membros tiveram a liberdade de “identificar os operadores de serviços essenciais que efetivamente iriam estar abrangidos”, o que levou a que cada Estado-Membro identificasse os operadores de acordo com os seus critérios, criando significativas divergências a nível europeu.

A questão da supervisão foi outro dos pontos referidos por Ricardo Figueiredo, uma vez que um dos pilares da NIS 1 estava relacionado com “a partilha da informação e com a cooperação entre os Estados-Membros” que, funcionando numa base voluntária, ficou aquém das expectativas.

Novidades da NIS 2 

O âmbito de aplicação da nova Diretiva é agora bastante mais alargado. “Vamos ter mais do dobro dos setores a ‘caírem’ dentro do âmbito da Diretiva NIS e dentro destes setores muito mais empresas”, graças à introdução de um critério de dimensão. 

Uma das outras alterações elencadas está relacionada com a designação antiga, que desaparece, com as entidades a serem classificadas como “entidades essenciais” e “entidades importantes”. Há ainda um “reforço do foco na componente de gestão de risco”, acrescenta Ricardo Figueiredo.

Em suma, as empresas de média ou grande dimensão estarão abrangidas pela nova Diretiva NIS, com um regime de supervisão específico no caso de serem classificadas como “entidades essenciais” ou “entidades importantes”; por outro lado, ao nível da gestão de risco, existirão “um mínimo de medidas de segurança técnica e organizativa” a serem observadas. De acordo com o cybersecurity expert da ENISA, será também encorajada a aplicação de standards internacionais e de certificação e será ainda exigida a demonstração da aplicação de políticas de controlo de segurança de informação implantadas nas organizações. No fim, e numa ótica de gestão de risco, a NIS 2 traz a responsabilização do Board por não compliance. 

Ricardo Figueiredo sublinha que é necessário “ver a NIS 2 como uma oportunidade de melhorarmos a cibersegurança nas nossas organizações e contribuir para aumentar a resiliência dos setores críticos”.

A nova Diretiva passa a compreender 15 setores. As entidades passarão a ser classificadas entre “importantes” e “essenciais” de acordo com os critérios da União Europeia para classificação de organizações. As empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios passam a estar abrangidas pela NIS 2.

Atualmente, os Estados Membros encontram-se a fazer a transposição da NIS 2, que deverá estar concluída até 17 de outubro de 2024. A lista de entidades abrangidas no âmbito desta nova Diretiva terá de ser apresentada em abril de 2025.

 

A IT Security Conference volta a 10 de outubro de 2024!

ARTIGOS RELACIONADOS

Administração Pública portuguesa investe 237,6 milhões de euros em TIC no primeiro semestre de 2023 em Lisboa
BIZ

Administração Pública portuguesa investe 237,6 milhões de euros em TIC no primeiro semestre de 2023 em Lisboa

LER MAIS

Cibersegurança “é menos sobre a tecnologia e mais sobre o serviço”
SECURITY

Cibersegurança “é menos sobre a tecnologia e mais sobre o serviço”

LER MAIS

“Um cliente mais competente acaba por perceber o valor de determinados processos de cibersegurança”
CHANNEL ON

“Um cliente mais competente acaba por perceber o valor de determinados processos de cibersegurança”

LER MAIS

Recomendado pelos leitores

“Os Parceiros podem operar entre a Lenovo e a Motorola harmoniosamente”
VENUE

“Os Parceiros podem operar entre a Lenovo e a Motorola harmoniosamente”

LER MAIS

Assista ao próximo webinar da IT Security e tenha acesso antecipado ao Threat Report da Sophos
VENUE

Assista ao próximo webinar da IT Security e tenha acesso antecipado ao Threat Report da Sophos

LER MAIS

IT CHANNEL Nº 113 DEZEMBRO 2024

IT CHANNEL Nº 113 DEZEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.