Introdução
A atualização da Diretiva relativa à segurança das redes e dos sistemas de informação, conhecida como NIS 2, está prestes a entrar em vigor.
Foi adoptada em novembro de 2022 e publicada no Jornal Oficial da UE em 27 de dezembro de 2022.
Foi estipulado que os Estados teriam de adotar as medidas necessárias para a sua aplicação até 17 de outubro de 2024, o mais tardar.
O que é o NIS 2 e qual é o seu objetivo?
A NIS é uma diretiva da UE aplicável aos Estados-Membros que foi criada para fornecer um quadro harmonizado para a promoção de medidas de cibersegurança. A SRI identificou uma série de sectores críticos cujas organizações, entidades e empresas tinham de cumprir o texto.
Tal como acontece com outras diretivas e regulamentos, a UE evoluiu a norma para se adaptar a novos tempos e situações.
Assim, a NIS 2 alarga as áreas de aplicação e exige a implementação de medidas mais robustas e sofisticadas para reduzir o número e a gravidade dos ciberataques que ocorrem tanto na esfera privada como na pública. A sua aplicação conduzirá também à otimização das avaliações de risco e das auditorias internas e externas e, por conseguinte, à especialização das organizações ou dos seus parceiros.
Pretende ainda fomentar a colaboração na indústria.
Este regulamento afecta a minha empresa?
O NIS 2 alarga o âmbito de aplicação do regulamento a 18 sectores, divididos da seguinte forma:
- Elevado grau de criticidade: energia, banca, infra-estruturas do mercado financeiro, cuidados de saúde, transportes, infra-estruturas digitais, água potável, águas residuais, administração pública, gestão de serviços TIC e espaço.
- Outros sectores críticos: investigação, química, alimentação, serviços postais, fornecedores digitais, indústria transformadora e gestão de resíduos.
Divide ainda as entidades em 2 tipos:
- Essencial: os que trabalham em sectores de elevada criticidade e outros tipos de organizações, como, por exemplo, prestadores de serviços de confiança qualificados, como é o caso do MailComms Group.
- Entidades importantes: as organizações que pertencem aos sectores identificados, mas que não podem ser consideradas entidades essenciais.
Além disso, se olharmos para a dimensão das empresas, as médias e grandes empresas seriam particularmente afectadas:
- Média empresa: uma empresa que emprega entre 50 e 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total anual não excede 43 milhões de euros.
- Grande empresa: uma empresa que emprega mais de 250 pessoas e cujo volume de negócios anual ou balanço total anual excede 43 milhões de euros.
Mas há também uma série de PME que têm de cumprir a norma.
São as que estão incluídas nos sectores indicados e que cumprem algumas caraterísticas que podes conhecer aqui. podes saber mais aqui.
Principais novidades desta atualização
Este documento do Centro Nacional de Criptologia resume de forma muito clara os principais aspectos a ter em conta em relação à evolução do SRI 2. Entre as novidades, reflecte três conjuntos em que podem ser incluídas:
- Segurança da cadeia de abastecimento.
- Relações com os fornecedores.
- Responsabilidade dos quadros superiores por incumprimento das obrigações.
O nosso contributo positivo nestas três categorias é claramente identificável. Como resume a nossa CISO Sonia Lasheras, “enquanto prestadores de serviços de confiança qualificados, somos obrigados a cumprir esta diretiva e podemos afirmar que estamos preparados.
E, além disso, como possuímos a certificação do Sistema Nacional de Segurança, no seu nível mais elevado, podemos acreditar que cumprimos a Diretiva NIS 2.
Em última análise, garantimos aos nossos clientes que os nossos serviços cumprem os requisitos necessários para fazer parte da sua cadeia de abastecimento”. Enquanto fornecedores, no Grupo MailComms participamos ativamente na cadeia de abastecimento das empresas com as quais trabalhamos e, desta forma, levamos parte ou a totalidade da nossa conformidade à atividade dos nossos clientes.
Assim,para além deevitarmos sanções e oferecermos um melhor serviço (através do cumprimento das novas caraterísticas da NIS 2), contribuímos também para a proteção das pessoas que fazem parte dos quadros superiores das empresas, cuja responsabilidade é indicada de forma muito direta no novo texto. O documento de síntese do A CCN explica também como as entidades que possuem o certificado ENS no seu nível mais elevado cumprem automaticamente o NIS 2.
E este é o nosso caso. Esta evolução introduz igualmente novos desenvolvimentos no que respeita à comunicação obrigatória de incidentes à autoridade competentede cada Estado-Membro, sempre que esses incidentes possam ser considerados significativos.
Por outras palavras, quando tenham causado ou sejam susceptíveis de causar graves prejuízos operacionais ou financeiros ou sejam susceptíveis de afetar outras pessoas singulares ou colectivas.
A evolução da diretiva prevê o seguinte esquema de notificação:
- Notificação inicial: no prazo de 24 horas após o incidente.
- Notificação intermédia: atualização e avaliação do incidente nas 72 horas seguintes à sua deteção.
- Relatório final: relatório final que inclui pormenores sobre a gravidade, o impacto e as medidas aplicadas ou em curso.
Deve ser apresentado, o mais tardar, um mês após o incidente.
A tecnologia como aliada
No MailComms Group oferecemos uma série de aplicações e soluções tecnológicas desenvolvidas internamente, bem como outras provenientes de parceiros de confiança, de elevado valor tanto pela sua funcionalidade como pela sua capacidade de garantir o cumprimento da regulamentação.
À nossa proposta tecnológica juntamos o nosso estatuto de fornecedor qualificado de serviços de confiança, acreditado pelo Ministério da Transformação Digital e da Função Pública, para maximizar a nossa utilidade na conceção, implementação e acompanhamento da implementação de uma estratégia eficaz de cibersegurança, alinhada com as disposições do NIS 2 e outros regulamentos. Como explicámos no este artigo recentemente publicado no nosso bloguea nossa contribuição como especialistas e como fornecedores de tecnologia pode ser resumida em termos como responsabilidade (a cibersegurança é um assunto de todos: empresas, empresas clientes, fornecedores, utilizadores finais…), confiança e agilidade.
Este último conceito é entendido como a rapidez em adaptar as nossas soluções às mudanças regulamentares e em torná-las robustas face aos avanços dos cibercriminosos. Contar com um fornecedor qualificado como o MailComms Group ajudá-lo-á a trabalhar sob elevados padrões de segurança informática e de segurança e privacidade da informação.
Isto irá refletir-se de muitas formas na sua atividade diária e nos seus resultados.
Ajuda-o a oferecer um melhor serviço aos seus clientes (novos contratos, fidelização, baixa taxa de abandono…), evita riscos cibernéticos e custos associados e permite-lhe cumprir regulamentos como o NIS 2, que o mantém afastado das sanções previstas no texto, que podem atingir 10 milhões de euros ou 2% do volume de negócios anual nos casos mais graves.