🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

NIS2 e a responsabilidade do conselho de administração: O que todos os administradores precisam de saber

Com a NIS2, a cibersegurança já não é algo que o conselho de administração possa delegar e esquecer. A diretiva atribui a responsabilidade diretamente ao nível da gestão e, em circunstâncias específicas, responsabiliza pessoalmente cada um dos administradores. Subestimar isso não é apenas um risco para a organização; é um risco jurídico pessoal.

O que a NIS2 diz sobre o papel dos administradores

O artigo 20.º da diretiva NIS2 é claro: os órgãos de gestão das organizações abrangidas pela diretiva têm de aprovar medidas de cibersegurança e supervisionar ativamente a sua implementação. Trata-se de uma mudança fundamental em relação à diretiva NIS1 original, em que, na prática, a cibersegurança recaía em grande parte sobre o departamento de TI.

A NIS2 exige que os membros do conselho de administração tenham conhecimentos suficientes sobre os riscos de cibersegurança para desempenharem a sua função de supervisão de forma eficaz. A diretiva chega mesmo a exigir explicitamente que a administração receba formação nesta área. Não basta designar um CISO ou uma empresa de segurança externa; a responsabilidade final recai sobre o conselho de administração.

Responsabilidade civil: o que isso significa na prática

Na Holanda, a NIS2 foi transposta para a Lei de Cibersegurança (Cyberbeveiligingswet, Cbw). Essa lei estabelece um regime de responsabilização que vai além das multas aplicadas às organizações. Quando for possível comprovar negligência por parte de um administrador, a autoridade de supervisão pode proibir temporariamente essa pessoa de exercer funções de gestão. A medida visa o indivíduo, não a organização.

Em termos concretos, um administrador que tenha falhado repetidamente em garantir medidas adequadas de cibersegurança, ou que tenha ignorado ou ocultado um incidente grave, pode ser temporariamente afastado do cargo. Este poder foi expressamente concebido como um meio de pressão para obrigar os administradores a levarem a sério as suas responsabilidades.

A disposição relativa à responsabilidade pessoal prevista na Lei de Cibersegurança aplica-se apenas quando for possível comprovar negligência por parte de um administrador individual. Não se trata de uma consequência automática de todos os incidentes, mas sim de uma medida reservada para situações em que o conselho de administração tenha falhado estruturalmente no seu papel de supervisão.

Que organizações estão sujeitas a estas regras

A NIS2 distingue entre entidades essenciais e importantes. As entidades essenciais são grandes organizações em setores críticos, como a energia, os transportes, os cuidados de saúde, a água potável e as infraestruturas digitais. As entidades importantes são organizações de média dimensão nesses mesmos setores, complementadas por indústrias como a química, a produção alimentar e os prestadores de serviços digitais.

As obrigações a nível do conselho de administração previstas no artigo 20.º aplicam-se a ambas as categorias. A diferença reside na intensidade da supervisão: as entidades essenciais podem ser sujeitas a auditorias proativas por parte da autoridade competente, enquanto a supervisão das entidades importantes é, em princípio, reativa, sendo desencadeada por relatórios ou incidentes.

Categoria Tamanho Supervisão Multa máxima
Entidade essencial Grande (mais de 250 funcionários ou mais de 50 milhões de euros de volume de negócios) Proativo 10 milhões de euros ou 2% do volume de negócios global
Entidade importante Médio (50 a 250 funcionários) Reativo 7 milhões de euros, ou 1,4% do volume de negócios global

O que se espera realmente dos administradores

A lei não estabelece requisitos técnicos específicos para os membros do conselho de administração, mas define requisitos organizacionais e processuais. Na prática, estes resumem-se a quatro responsabilidades:

  • Aprovação da política: o conselho de administração deve adotar formalmente e rever periodicamente a política de cibersegurança, e não apenas tomá-la em conhecimento.
  • Atribuição do orçamento: medidas de segurança adequadas requerem recursos. O conselho de administração é responsável por disponibilizar esses recursos.
  • Exercício da supervisão: devem existir canais de comunicação que permitam ao conselho de administração avaliar o nível de segurança da organização, mesmo sem conhecimentos técnicos.
  • Acompanhamento de incidentes: quando ocorre um incidente grave, o conselho de administração deve envolver-se ativamente na resposta e cumprir as obrigações de notificação junto das autoridades de supervisão.

A obrigação de notificação e o papel do conselho de administração nesse contexto

A NIS2 impõe requisitos rigorosos de notificação para incidentes significativos. Deve ser enviado um aviso prévio à autoridade competente no prazo de 24 horas após a deteção do incidente. Segue-se um relatório detalhado no prazo de 72 horas e um relatório final no prazo de um mês. Este prazo pressupõe que o conselho de administração seja informado imediatamente e possa agir rapidamente.

Um diretor que não sabe como funcionam os procedimentos internos de escalonamento, ou que só fica a saber de um incidente grave dias depois, está a criar dificuldades desnecessárias. Tanto do ponto de vista prático como jurídico. Afinal, o cumprimento da obrigação de notificação é uma das áreas que as autoridades de supervisão podem verificar com relativa facilidade.

Como te preparares como diretor

A preparação começa com uma boa compreensão da situação. Um administrador não precisa de ser um especialista em segurança, mas tem de compreender quais são os riscos que a organização enfrenta, quais as medidas que estão em vigor e como a organização reage quando algo corre mal. Isso exige relatórios periódicos sobre segurança apresentados ao conselho de administração, linhas de escalamento claras e um plano de resposta a incidentes com o qual o conselho esteja familiarizado.

A NIS2 também exige explicitamente que os administradores recebam formação em cibersegurança. Não para torná-los tecnicamente competentes, mas para lhes permitir ponderar os riscos e avaliar as políticas. As organizações que levam isto a sério também documentam essa formação, para que possam demonstrar, durante uma auditoria, que o conselho de administração cumpriu as suas obrigações.

A sensibilização para a segurança é um elo subestimado nessa cadeia, e não só para os funcionários. Um diretor que reconhece uma tentativa de phishing compreende o que está em jogo quando um funcionário não o faz. A Guardey ajuda as organizações a incutir essa sensibilização a todos os níveis, desde o chão de fábrica até à sala de reuniões.

A conformidade com a NIS2 começa aqui

Cria uma cultura de segurança antes que as autoridades reguladoras venham bater à porta.

Solicita uma demonstração
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada