IT Security Conference 2024: “NIS2 vai ser muito importante para a cibersegurança nacional”

A IT Security Conference voltou para a sua terceira edição. O Clube – Monsanto Secret Spot, em Lisboa, recebeu, uma vez mais, a conferência organizada pela IT Security - publicação que pertence ao mesmo grupo do IT Channel -, e que este ano se encontrava esgotada há mais de três semanas.

A edição de 2024 contou com 45 oradores, espalhados por dois palcos e mais de 30 sessões. Perto de 500 diretores de cibersegurança ou diretores de IT com responsabilidade de cibersegurança das organizações marcaram presença no evento que contou, também, com mais de 500 inscritos para assistir à conferência em direto por Zoom.

Rui Pereira, Consultor do Centro Nacional de Cibersegurança, foi o primeiro a subir ao palco com o tema “Desmistificar a Diretiva NIS2: respostas a (algumas) questões frequentes” e abordar um tema "que vai ser muito importante para a cibersegurança a nível nacional".

"NIS significa Network and Information Systems, mas não se enganem; estamos a falar de uma diretiva de cibersegurança", aponta Rui Pereira

Na sua apresentação, Rui Pereira relembrou que, no âmbito de aplicação, o critério de base são as empresas de média e grande dimensão que prestem serviços dos tipos previstos nos anexos I e II da diretiva NIS2, com outros critérios complementares, como o tipo de serviço prestado, o impacto para a segurança ou saúde pública ou a importância da entidade para um setor ou serviço a nível nacional ou regional.

Em termos de obrigações, as organizações abrangidas e consideradas como entidades essenciais por esta diretiva europeia são obrigadas a notificar em caso de incidente, ter medidas de cibersegurança adaptadas e proporcionais aos riscos, dimensão, probabilidade e gravidade dos incidentes, supervisão ex ante & ex post de forma regular, coimas até dez milhões de euros e responsabilidade dos representantes legais e dirigentes em caso de incumprimento.

Já no caso das entidades importantes, as notificações em caso de incidente também são obrigatórias; são necessárias medidas de cibersegurança adaptadas e proporcionais aos riscos, assim como uma supervisão ex post, estando sujeitas a coimas até sete milhões de euros.

Rui Pereira relembrou que as entidades devem proteger os sistemas de rede e informação, bem como o seu ambiente físico, tendo em conta todos os riscos, nomeadamente ciberameaças e ciberataques no contexto da empresa e setor, e roubos, incêndios, inundações e falhas de comunicação ou energia.

Ao mesmo tempo, as organizações devem avaliar a proporcionalidade das medidas e as entidades devem ter em conta o grau de exposição aos riscos, a dimensão da entidade e a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico.

As medidas de cibersegurança consideradas mínimas para as organizações abrangidas pela diretiva NIS2 são, diz Rui Pereira, políticas de análise dos riscos, tratamento de incidentes, plano de continuidade, segurança da cadeia de abastecimento direta, gestão de vulnerabilidades, formação em cibersegurança, políticas de utilização de criptografia, segurança de recursos humanos e autenticação multifatorial.

Em termos de prazos, Rui Pereira relembrou que o dia 17 de outubro é o prazo de transposição da diretiva para a ordem jurídica dos Estados-membros e que algumas entidades do setor das infraestruturas digitais terão de comunicar várias informações ao Centro Nacional de Cibersegurança até 17 de janeiro de 2025. Por fim, os Estados-membros devem estabelecer uma lista de entidades essenciais e importantes, bem como prestadores de serviços de registo de nomes de domínio até 17 de abril de 2025. Por fim, os prazos de conformidade para as entidades vão ser definidos no diploma legal de transposição nacional.

Para além de Rui Pereira, a IT Security Conference conta também com Lino Santos, também do Centro Nacional de Cibersegurança, José Alegria, Ivo Rosa, da EDP, João Annes, do Observatório de Segurança e Defesa do SEDES, Pedro Rodrigues do Banco de Portugal, Christopher Perry, Ofir Hason, Ricardo Figueiredo, da ENISA, Olivia Arantes, da Imprensa Nacional - Casa da Moeda, Rui Sousa Gil, da José Mello Capital, David Marques, do Grupo Nabeiro, Nuno Branco, da Volkswagen Autoeuropa, Nuno Neves, da Associação Nacional das Farmácias, Fernando Amorim, da CIIWA, Ricardo Evangelista, do Grupo Ageas, Jéssica da Costa Domingues, da SPMS, Nuno Medeiros, da E-Redes, Sérgio Almeida, da NAV e Joana Mota Agostinho, da Cuatrecasas.

A edição de 2024 da IT Security Conference tem o apoio de: