8 de abril de 2023 - Cyber security
A partir de 16 de janeiro de 2023, a diretiva europeia NIS2 aplica-se às empresas essenciais. Nos Países Baixos, conhecemos a nova diretiva cibernética como NIB2. É a sucessora da NIB1. Tal como outros países da UE, os Países Baixos têm até 17 de outubro de 2024 para adaptar as regras nacionais à norma europeia. O que é que vai mudar? Fazemos uma lista para ti.
A lei SRI cibernética aplica-se agora às empresas essenciais. Ou seja, a NIS1 original aplica-se a esses sectores. A partir de 2024, as directrizes aplicar-se-ão também às "empresas essenciais". A partir de 2024, as directrizes aplicar-se-ão também às "empresas-chave", o que melhorará a cibersegurança nos Países Baixos e na Europa entre um maior número de médias e grandes empresas.
O que é a diretriz NIS2?
A NIS2 é a sucessora da NIS1, que foi introduzida há alguns anos para as empresas essenciais. A nova diretiva NIS2 (oficialmente: Diretiva (UE) 2022/2555)) foi publicada pela ENISA, a Agência da União Europeia para a Cibersegurança. A diretiva prescreve requisitos mínimos de segurança, bem como a obrigação de comunicar incidentes (graves) à autoridade nacional ou à Equipa Europeia de Resposta a Incidentes de Segurança Informática (CSIRT). A nova diretiva substitui a diretiva original, que entrou em vigor em 2016.
Estas são as principais diferenças entre o NIS1 e o NIS2:
- A diretiva aplica-se a mais sectores
A NIS2 aplica-se tanto às empresas essenciais como às grandes empresas. Mais empresas de média e grande dimensão devem começar a cumprir a diretiva. Além disso, o Governo neerlandês pode designar empresas mais pequenas com um elevado risco de segurança que também devem começar a cumprir a diretiva. - Lista da segurança mínima de base
A diretiva é mais concreta, graças a uma lista de segurança mínima de base que as empresas devem implementar. A diretiva impõe uma abordagem de gestão do risco. - Divisão em sectores essenciais e sectores-chave
A nova diretiva SRI divide as empresas em sectores essenciais e sectores-chave. Desaparece a distinção entre operadores de serviços essenciais e prestadores de serviços digitais. - Aborda a segurança na cadeia
As empresas devem começar a abordar os riscos de segurança na sua cadeia de abastecimento. Isto inclui os riscos criados pelas relações com os fornecedores. - Supervisão mais rigorosa
As autoridades nacionais podem exercer uma supervisão e uma aplicação mais rigorosas. A nova diretiva iguala os regimes de sanções e os requisitos de informação em todos os Estados-Membros.
O que são empresas essenciais?
A diretiva SRI aplica-se às empresas essenciais. Estes sectores são:
- Energia
- Água potável
- Águas residuais
- Transporte
- Banca
- Mercados financeiros
- Infra-estruturas digitais
- Administrações públicas
- Cuidados de saúde
- Espaço
Dica: Queres saber exatamente quais são as empresas "essenciais" ou "importantes"? Descarrega o quadro Sectores abrangidos pelo NIB2 da CBS.
A nova diretiva NIS2 aplicar-se-á também às grandes empresas. Estes sectores são:
- Serviços postais e de correio
- Processamento e distribuição
- Processamento de resíduos
- Fornecedores digitais
- Empresas transformadoras
- Indústria química
- Indústria alimentar
Diferença de controlo entre empresas essenciais e importantes
As autoridades locais controlarão proactivamente as principais empresas. O controlo das empresas-chave será efectuado a posteriori, se houver provas de um incidente.
As empresas-chave e essenciais terão o dever de comunicar e o dever de diligência. Têm de implementar a segurança na sua cadeia de abastecimento e comunicar claramente a forma como lidam com os ciberincidentes.
Porque é que a nova diretriz é importante?
A nova diretiva NIS2 deverá tornar as redes e os sistemas de informação das empresas mais seguros. Desta forma, os Países Baixos e toda a União Europeia deverão tornar-se menos vulneráveis a ciberataques.
O Ministro Dilan Yeşilgöz-Zegerius (Justiça e Segurança) afirmou: "Estamos cada vez mais dependentes dos processos digitais, especialmente desde que trabalhamos cada vez mais a partir de casa. Além disso, assistimos a uma ameaça digital crescente, tanto de criminosos como de actores estatais, que, com uma guerra na fronteira oriental da Europa, não vai diminuir por enquanto. Por conseguinte, é agora necessário dar o próximo passo para elevar o nível de cibersegurança na UE. Ao fazê-lo, evitaremos que os incidentes digitais perturbem a nossa sociedade".
O Ministro Micky Adriaansens (Assuntos Económicos e Clima) acrescenta: "Temos de estar atentos aos riscos dos ciberataques. O impacto pode ser significativo, como o esvaziamento das prateleiras das lojas ou a interrupção da produção industrial. A gestão da segurança digital continua a ser uma responsabilidade individual das empresas e dos consumidores. Mas, com esta legislação, podemos dar um passo para garantir que o nível de cyber security aumenta entre as (médias) empresas dos sectores mais importantes."
Serás multado se não cumprires?
As empresas que não cumprirem a nova diretiva receberão uma advertência, depois um aviso e, por fim, arriscam-se a uma multa elevada. A coima máxima é de 10 milhões de euros ou dois por cento do volume de negócios anual total das médias e grandes empresas.
Prevenir os danos causados pela cibercriminalidade: o que podes fazer?
Mesmo sem uma lei cibernética como a NIB2 nos Países Baixos, é importante levar a sério a cibercriminalidade. Protege a sua empresa, por exemplo, com:
- Segurança desde a conceção
Começa todas as reuniões com a segurança (digital). Que medidas tomas para evitar abusos e quais são os riscos e vulnerabilidades? Se pensares nisto como norma, crias (novos) sistemas mais seguros por defeito. - Ligação segura
Utiliza uma ligação segura para a tua empresa. Evita que outros vejam indesejadamente ou até roubem dados. A ligação segura está disponível em todo o mundo, em qualquer altura e a partir de qualquer local. - Forma os empregados em matéria de cibersegurança
Quem não sabe quais são os riscos não se pode proteger contra eles. Dá formação aos empregados e certifica-te de que reconhecem as vulnerabilidades e não caem em armadilhas quando os cibercriminosos as montam.
Como a EyeOn utiliza o Guardey para cumprir o NIS2
As empresas que precisam de cumprir a NIS2 são obrigadas a oferecer formaçãosecurity awareness aos seus funcionários.
O nosso cliente Gezamenlijke Brandweer Amsterdam (um corpo de bombeiros holandês) é uma organização essencial e, por isso, precisa de aderir ao regulamento NIS2. Para garantir que os seus funcionários estão preparados para reconhecer ameaças cibernéticas, utiliza o Guardey para oferecer formação em security awareness . Todas as semanas, a sua equipa joga um pequeno desafio de 3 horas que os ajuda a desenvolver lentamente o conhecimento de cyber security .
Facilita as coisas com o Guardey
Na Guardey compreendemos que podes ter muito em que pensar. Como é que cumpre o NIS2, quais são as vulnerabilidades da sua empresa e como é que evita um hack, uma violação de dados ou outro crime cibernético?
É por isso que gostamos de facilitar as coisas para ti. Com Guardey, escolhe uma solução cyber security completa de uma só vez. Somos plug & play, para uma ligação segura, contra software malicioso e para formar os teus empregados de forma profissional (mas divertida!).
Queres melhorar o cyber security da tua empresa e cumprir a nova diretiva NIS2? Descobre a nossa solução ou coloca-nos as tuas questões. Teremos todo o gosto em explicar como podes estar protegido com o Guardey de uma forma muito acessível, simples e económica.