Direito cibernético NIS2 para empresas essenciais: qual é a diferença entre NIS1 e NIS2?

A partir de 16 de janeiro de 2023, a diretiva europeia NIS2 aplica-se às empresas essenciais. Nos Países Baixos, conhecemos a nova diretiva cibernética como NIB2. É a sucessora da NIB1. Tal como outros países da UE, os Países Baixos têm até 17 de outubro de 2024 para adaptar as regras nacionais à norma europeia. O que é que vai mudar? Fazemos uma lista para ti.

A lei SRI cibernética aplica-se agora às empresas essenciais. Ou seja, a NIS1 original aplica-se a esses sectores. A partir de 2024, as directrizes aplicar-se-ão também às "empresas essenciais". A partir de 2024, as directrizes aplicar-se-ão também às "empresas-chave", o que melhorará a cibersegurança nos Países Baixos e na Europa entre um maior número de médias e grandes empresas.

O que é a diretriz NIS2?

A NIS2 é a sucessora da NIS1, que foi introduzida há alguns anos para as empresas essenciais. A nova diretiva NIS2 (oficialmente: Diretiva (UE) 2022/2555)) foi publicada pela ENISA, a Agência da União Europeia para a Cibersegurança. A diretiva prescreve requisitos mínimos de segurança, bem como a obrigação de comunicar incidentes (graves) à autoridade nacional ou à Equipa Europeia de Resposta a Incidentes de Segurança Informática (CSIRT). A nova diretiva substitui a diretiva original, que entrou em vigor em 2016.

Estas são as principais diferenças entre o NIS1 e o NIS2:

• A diretiva aplica-se a mais sectores
  A NIS2 aplica-se tanto às empresas essenciais como às grandes empresas. Mais empresas de média e grande dimensão devem começar a cumprir a diretiva. Além disso, o Governo neerlandês pode designar empresas mais pequenas com um elevado risco de segurança que também devem começar a cumprir a diretiva.
• Lista da segurança mínima de base
  A diretiva é mais concreta, graças a uma lista de segurança mínima de base que as empresas devem implementar. A diretiva impõe uma abordagem de gestão do risco.
• Divisão em sectores essenciais e sectores-chave
  A nova diretiva SRI divide as empresas em sectores essenciais e sectores-chave. Desaparece a distinção entre operadores de serviços essenciais e prestadores de serviços digitais.
• Aborda a segurança na cadeia
  As empresas devem começar a abordar os riscos de segurança na sua cadeia de abastecimento. Isto inclui os riscos criados pelas relações com os fornecedores.
• Supervisão mais rigorosa
  As autoridades nacionais podem exercer uma supervisão e uma aplicação mais rigorosas. A nova diretiva iguala os regimes de sanções e os requisitos de informação em todos os Estados-Membros.

O que são empresas essenciais?

A diretiva SRI aplica-se às empresas essenciais. Estes sectores são:

• Energia
• Água potável
• Águas residuais
• Transporte
• Banca
• Mercados financeiros
• Infra-estruturas digitais
• Administrações públicas
• Cuidados de saúde
• Espaço

Dica: Queres saber exatamente quais são as empresas "essenciais" ou "importantes"? Descarrega o quadro Sectores abrangidos pelo NIB2 da CBS.

A nova diretiva NIS2 aplicar-se-á também às grandes empresas. Estes sectores são:

• Serviços postais e de correio
• Processamento e distribuição
• Processamento de resíduos
• Fornecedores digitais
• Empresas transformadoras
• Indústria química
• Indústria alimentar

Diferença de controlo entre empresas essenciais e importantes

As autoridades locais controlarão proactivamente as principais empresas. O controlo das empresas-chave será efectuado a posteriori, se houver provas de um incidente.

As empresas-chave e essenciais terão o dever de comunicar e o dever de diligência. Têm de implementar a segurança na sua cadeia de abastecimento e comunicar claramente a forma como lidam com os ciberincidentes.

Porque é que a nova diretriz é importante?

A nova diretiva NIS2 deverá tornar as redes e os sistemas de informação das empresas mais seguros. Desta forma, os Países Baixos e toda a União Europeia deverão tornar-se menos vulneráveis a ciberataques.

O Ministro Dilan Yeşilgöz-Zegerius (Justiça e Segurança) afirmou: "Estamos cada vez mais dependentes dos processos digitais, especialmente desde que trabalhamos cada vez mais a partir de casa. Além disso, assistimos a uma ameaça digital crescente, tanto de criminosos como de actores estatais, que, com uma guerra na fronteira oriental da Europa, não vai diminuir por enquanto. Por conseguinte, é agora necessário dar o próximo passo para elevar o nível de cibersegurança na UE. Ao fazê-lo, evitaremos que os incidentes digitais perturbem a nossa sociedade".

O Ministro Micky Adriaansens (Assuntos Económicos e Clima) acrescenta: "Temos de estar atentos aos riscos dos ciberataques. O impacto pode ser significativo, como o esvaziamento das prateleiras das lojas ou a interrupção da produção industrial. A gestão da segurança digital continua a ser uma responsabilidade individual das empresas e dos consumidores. Mas, com esta legislação, podemos dar um passo para garantir que o nível de cyber security aumenta entre as (médias) empresas dos sectores mais importantes."

Serás multado se não cumprires?

As empresas que não cumprirem a nova diretiva receberão uma advertência, depois um aviso e, por fim, arriscam-se a uma multa elevada. A coima máxima é de 10 milhões de euros ou dois por cento do volume de negócios anual total das médias e grandes empresas.

Prevenir os danos causados pela cibercriminalidade: o que podes fazer?

Mesmo sem uma lei cibernética como a NIB2 nos Países Baixos, é importante levar a sério a cibercriminalidade. Protege a sua empresa, por exemplo, com:

• Segurança desde a conceção
  Começa todas as reuniões com a segurança (digital). Que medidas tomas para evitar abusos e quais são os riscos e vulnerabilidades? Se pensares nisto como norma, crias (novos) sistemas mais seguros por defeito.
• Ligação segura
  Utiliza uma ligação segura para a tua empresa. Evita que outros vejam indesejadamente ou até roubem dados. A ligação segura está disponível em todo o mundo, em qualquer altura e a partir de qualquer local.
• Forma os empregados em matéria de cibersegurança
  Quem não sabe quais são os riscos não se pode proteger contra eles. Dá formação aos empregados e certifica-te de que reconhecem as vulnerabilidades e não caem em armadilhas quando os cibercriminosos as montam.

Como a EyeOn utiliza o Guardey para cumprir o NIS2

As empresas que precisam de cumprir a NIS2 são obrigadas a oferecer formaçãosecurity awareness aos seus funcionários.

O nosso cliente Gezamenlijke Brandweer Amsterdam (um corpo de bombeiros holandês) é uma organização essencial e, por isso, precisa de aderir ao regulamento NIS2. Para garantir que os seus funcionários estão preparados para reconhecer ameaças cibernéticas, utiliza o Guardey para oferecer formação em security awareness . Todas as semanas, a sua equipa joga um pequeno desafio de 3 horas que os ajuda a desenvolver lentamente o conhecimento de cyber security .

Lê a história completa aqui

Facilita as coisas com o Guardey

Na Guardey compreendemos que podes ter muito em que pensar. Como é que cumpre o NIS2, quais são as vulnerabilidades da sua empresa e como é que evita um hack, uma violação de dados ou outro crime cibernético?

É por isso que gostamos de facilitar as coisas para ti. Com Guardey, escolhe uma solução cyber security completa de uma só vez. Somos plug & play, para uma ligação segura, contra software malicioso e para formar os teus empregados de forma profissional (mas divertida!).

Queres melhorar o cyber security da tua empresa e cumprir a nova diretiva NIS2? Descobre a nossa solução ou coloca-nos as tuas questões. Teremos todo o gosto em explicar como podes estar protegido com o Guardey de uma forma muito acessível, simples e económica.