Vê abaixo todas as perguntas e respostas correctas do teste NIS2.
Estás bem informado sobre as 10 opções!
Não precisas de informações de pagamento.
A tua palavra:
A: Melhorar a cibersegurança nas empresas europeias
B: Reduzir o risco de violações de dados
C: Alinhar as medidas europeias em cyber security
D: Todas as anteriores estão correctas
A NIS2 é a nova lei europeia sobre cibersegurança. A lei deverá proteger melhor as empresas europeias contra a cibercriminalidade. Essa melhor proteção deverá, por exemplo, reduzir o risco de violações de dados.
Além disso, o objetivo é harmonizar as medidas de segurança europeias. O eurodeputado Bart Groothuis fala sobre este assunto na Câmara de Comércio: "A evolução técnica está a ser muito rápida. A NIS 1 está em vigor desde 2018 e está desactualizada. Nem todos os Estados-Membros aplicam a lei de forma igual ou rigorosa em todo o lado. Se agora fazes negócios com outros países europeus ou tens uma sucursal em vários países, aplicam-se regras diferentes em todo o lado. Isso não funciona. Vamos traçar uma linha única nesta matéria".
A tua palavra:
B: Organizações com um volume de negócios superior a 50 milhões de euros
C: Organizações essenciais e importantes em sectores específicos
A NIS2 aplicar-se-á a todas as organizações essenciais e importantes dos sectores indicados no quadro seguinte. Aplicam-se os seguintes critérios:
Organizações essenciais...
...são grandes organizações que operam num sector do Grupo A da tabela abaixo.
Uma organização é grande em:
1. 250 ou mais empregados ou;
2. Vendas líquidas anuais de 50 milhões de euros ou um balanço total de 43 milhões de euros ou mais.
As grandes organizações...
...são organizações de média dimensão que operam num sector do Grupo A ou B da tabela abaixo.
Uma organização é de média dimensão quando:
1. 50 ou mais empregados ou;
2. Um volume de negócios anual ou um balanço total igual ou superior a 10 milhões de euros.
| Grupo A (organizações essenciais e importantes) | Grupo B (organizações importantes) |
| Energia | Fornecedores digitais |
| Transporte | Serviços postais e de correio |
| Banca | Gestão de resíduos |
| Infra-estruturas | Alimentação |
| Cuidados de saúde | Produtos químicos |
| Água potável | Pesquisa |
| Infra-estruturas digitais | Fabrico e produção |
| Águas residuais | |
| Serviços governamentais | |
| Espaço | |
| Gestão dos serviços TIC |
A tua palavra:
A: Apenas as organizações essenciais são auditadas
B: As organizações essenciais são auditadas antes e depois, as organizações importantes só depois.
C: Não há distinção entre organizações essenciais e importantes.
O controlo das organizações essenciais será mais rigoroso do que o das organizações importantes. As organizações essenciais serão controladas antecipadamente Em
DigitalTrustCenter do Ministério dos Assuntos Económicos e do Clima, podes ler o seguinte sobre o assunto: "As entidades essenciais estão sujeitas a um regime de supervisão mais intensivo; tanto a monitorização ex ante como ex post. As entidades significativas estão sujeitas a uma forma mais ligeira de supervisão, que é apenas ex post. Por exemplo, se houver indícios de incumprimento da lei ou se tiver ocorrido um incidente".
A tua palavra:
A: Sim
B: Não
O NIS2 aplicar-se-á igualmente às PME. Ou seja, para as organizações essenciais e importantes nos sectores mencionados.
O eurodeputado Bart Groothuis explica na Câmara de Comércio: "Todos os que prestam um serviço essencial aos consumidores são abrangidos pela nova lei. O mesmo acontece com os pequenos prestadores de serviços. Ainda estamos a discutir o que queremos dizer exatamente com 'essencial'. Fornecedores de serviços de Internet, pequenas fábricas, empresas que lidam com água ou energia: este tipo de empresas será considerado essencial".
A tua palavra:
R: Uma diretiva, trata-se de recomendações de segurança
B: Legislação, prescreve um mínimo de segurança básica.
C: Uma diretiva europeia que os Estados-Membros devem transpor para a legislação
A NIS2 é a nova legislação europeia em matéria de ciberespaço. Trata-se de uma diretiva europeia que os Estados-Membros integram na sua legislação nacional.
Nos Países Baixos, a SRI foi assim integrada na Lei da Segurança das Redes e dos Sistemas de Informação (Wbni) em 2018.
Em dezembro de 2022, foi alcançado um acordo a nível europeu sobre a NIS2, que entrou em vigor um mês depois. Os Estados-Membros devem integrá-la na sua legislação nacional no prazo de 21 meses a contar dessa data. Isto significa que a legislação entrará em vigor nos Países Baixos o mais tardar em outubro de 2024.
Nota que, nos Países Baixos, nos referimos ao NIB2 (Network and Information Security) em vez do NIS2.
A tua palavra:
A: Cada organização é responsável pelos seus próprios sistemas
B: Cada organização é responsável pelos seus próprios sistemas e pelos sistemas dos fornecedores e outros da cadeia.
C: Cada organização é responsável pelos seus próprios sistemas, pelos sistemas dos fornecedores e outros da cadeia, bem como pelos sistemas de outros parceiros (de cooperação).
A NIS2 torna as organizações responsáveis pelos seus próprios sistemas, pelos sistemas dos fornecedores e de outros intervenientes na cadeia, bem como pelos sistemas de outros parceiros (de cooperação). Assim, a NIS2 obriga à proteção contra os riscos do sistema. Especificamente, as organizações devem: Avaliar o cyber security dos fornecedores.
- Examina criticamente os riscos de segurança nas empresas da cadeia de abastecimento
- Participa em avaliações de risco da cadeia de abastecimento no sector.
- Estabelece a avaliação e gestão dos riscos da cadeia de abastecimento para terceiros.
- Toma medidas para assegurar uma comunicação eletrónica segura com os fornecedores.
- Notifica os clientes e as autoridades sobre ameaças de terceiros.
Mais especificamente, de acordo com o NIS2, as organizações devem monitorizar ativamente quaisquer riscos cibernéticos na cadeia (de abastecimento). As organizações devem:
- Identifica e avalia as ameaças aos produtos e serviços de terceiros.
- Desenvolve políticas, planos e soluções para enfrentar as ameaças.
- Toma medidas para garantir o aprovisionamento e o fornecimento de produtos e serviços de terceiros.
Por último, as organizações devem monitorizar continuamente, avaliar e tomar as medidas adequadas para considerar seriamente e abordar quaisquer riscos cibernéticos de terceiros. Por exemplo, é importante efetuar avaliações regulares ou mesmo auditorias a terceiros. Além disso, deve prestar atenção regular aos acordos com os fornecedores.
Se se verificar que a segurança de terceiros não cumpre as normas, as organizações devem tomar medidas nesse sentido, incluindo a rescisão de uma parceria, se necessário.
A tua palavra:
A: Não, trata-se de um aviso para o qual as autoridades emitem advertências
B: Sim, até um máximo de 100 000 euros por incidente
C: Sim, até um máximo de 1.000.000 euros por incidente
D: Sim, até um máximo de 10.000.000 euros ou 2% do volume de negócios global anual
Tal como acontece com o SRI, as autoridades podem impor coimas em caso de incumprimento. A coima pode atingir um máximo de 10 milhões de euros ou 2% do volume de negócios anual a nível mundial. O valor mais elevado determina o montante da coima.
A tua palavra:
A: As coimas ou sanções podem ser mais baixas
B: As organizações recebem certificação
C: Estas medidas não têm qualquer impacto
As autoridades decidem quais as multas ou sanções a aplicar às organizações em infração.
A tua palavra:
A: Notificação imediata em caso de violação de dados
B: Notificação imediata de qualquer incidente cibernético que afecte as operações comerciais
C: Um relatório final que descreva o incidente, o tipo de ameaça, a gravidade e as consequências, bem como as medidas aplicadas e em curso.
D: Todas as anteriores
As organizações devem comunicar imediatamente todos os incidentes cibernéticos que afectem as operações comerciais, incluindo violações de dados.
O Centro Nacional Cyber Security escreve: "A diretiva NIS2 exige que as entidades comuniquem os incidentes ao regulador no prazo de 24 horas. Trata-se de incidentes que (podem) perturbar significativamente a prestação do serviço essencial. No caso de um incidente cibernético, este deve também ser comunicado à Equipa de Resposta a Incidentes de Segurança Informática (CSIRT)".
O requisito de comunicação envolve dois relatórios:
Reportagem direta:
As organizações devem apresentar um relatório o mais rapidamente possível com as informações estritamente necessárias, tais como o que aconteceu, qual a (possível) causa e que ato ilegal ou malicioso teve lugar. A organização deve apresentar o relatório à autoridade nacional competente ou à equipa de resposta a incidentes de segurança informática (CSIRT). A autoridade ou a CSIRT responderá ao relatório no prazo de 24 horas.
Notificação final:
No prazo de um mês após a notificação inicial, as organizações devem apresentar um relatório final. Esse relatório deve incluir o seguinte:
A tua palavra:
A: outubro de 2023
B: março de 2024
C: outubro de 2024
Em dezembro de 2022, foi alcançado um acordo a nível europeu. Esse acordo entrou em vigor um mês depois. Desde então, os Estados-Membros dispõem de 21 meses para transpor o NIS2 para a legislação nacional.
Isto significa que a NIS2 entrará em vigor nos Países Baixos o mais tardar em outubro de 2024.
Nota que nos Países Baixos se fala de NIB2 (Network and Information Security) em vez de NIS2.
