Aprovada pelo Parlamento Europeu em novembro de 2022, a Diretiva sobre Redes e Sistemas de Informação 2 (NIS2) está atualmente em processo de implementação nos países membros e a sua entrada em vigor deve ocorrer em outubro de 2024, impondo novas obrigações e desafios para empresas europeias. Caso tenham filiais em outros países, essas empresas devem garantir que suas operações globais estejam em conformidade com os padrões de segurança estabelecidos pela NIS2.
A NIS2 é uma iniciativa legislativa da União Europeia (EU) e seu objetivo é reforçar a segurança cibernética e a resiliência de redes e de sistemas de informação em toda a UE. A primeira versão da NIS, implementada em 2016, visava proteger infraestruturas essenciais e serviços digitais contra ataques cibernéticos. A crescente sofisticação das ameaças e a necessidade de uma abordagem mais abrangente levou à criação da NIS2, ampliando se escopo e as obrigações de segurança cibernética para mais setores e organizações.
A regulamentação da segurança cibernética na forma da NIS2 estabelece padrões que provavelmente influenciarão legislações em outros países, incluindo o Brasil. Entre os principais pontos da NIS2, destacam-se a ampliação das categorias de entidades essenciais e importantes – incluindo setores como energia, transporte, saúde, e infraestrutura digital. Tanto as entidades essenciais quanto aquelas consideradas como importantes devem atender aos mesmos requisitos, com diferenças quanto às medidas de supervisão e penalidades.
A Diretiva estabelece requisitos mais rigorosos para a gestão da segurança cibernética, incluindo medidas como avaliações de risco, planos de resposta a incidentes, treinamento de funcionários e gerenciamento de vulnerabilidades. As empresas precisam atualizar seus protocolos e sistemas de segurança para atender a esses novos padrões.
Um dos principais pontos de atenção da NIS2 é a segurança cibernética nas cadeias de suprimentos. Isso significa que, ainda que uma organização não esteja no escopo da Diretiva, ela poderá ser impactada pelos seus clientes, que poderão lhe demandar um nível de governança mínimo da sua segurança cibernética.
As empresas também devem reportar incidentes relevantes às autoridades competentes em até 24 horas, fornecendo relatórios detalhados em até 72 horas. A NIS2 prevê penalidades para empresas que não cumprirem as suas obrigações de segurança cibernética, incluindo multas pesadas e até mesmo a suspensão de operações.
Para as empresas, a NIS2 significa um fortalecimento da governança de TI e uma maior ênfase na resiliência cibernética. Isso implica em investimentos em tecnologia, treinamentos regulares para colaboradores, e a adoção de práticas avançadas de gerenciamento de riscos.
O texto consolidado da Diretiva NIS2 pode ser acessado neste link.
Fonte: com informações da União Europeia
Veja também
>>> Ataques cibernéticos quase dobram em cinco anos
>>> Chaves Pix: Banco Central Informa novo Incidente de Segurança
>>> Crescimento do Open Finance no Brasil: avanços, desafios e perspectivas para 2024