Porque em fevereiro se celebra o Dia da Internet Segura, decidimos trazer-lhe um tema que tem vindo a ser uma das principais preocupações e prioridades da União Europeia nos últimos anos – a cibersegurança. Por esta razão, várias Diretivas têm vindo a ser aprovadas e discutidas ao longo dos anos no sentido de garantir uma Europa mais segura, mais conectada e mais digital. Mas sabe quais as diferenças entre elas e quais as últimas novidades?
A primeira lei da UE sobre segurança cibernética, a Diretiva NIS, que entrou em vigor em 2016 e foi objeto de revisão em dezembro de 2020, ajudou a alcançar um nível comum de segurança de rede e sistemas de informação em toda a UE. De forma complementar, a Lei de Cibersegurança da UE, em vigor desde 2019, equipou a Europa com uma estrutura de certificação de cibersegurança de produtos, serviços e processos e reforçou o mandato da Agência para a Cibersegurança na UE (ENISA).
Nunca, no entanto, o âmbito de aplicação destas regras foi tão abrangente como o âmbito da Diretiva NIS 2 (Diretiva 2022/2555), que entrou em vigor no passado dia 16 de janeiro de 2023. Este novo documento revoga a Diretiva NIS (Diretiva 2016/1148/EC) e melhora a gestão de riscos de segurança cibernética introduzindo obrigações de relatórios em setores específicos. O seu objetivo principal é a aplicação de medidas que garantam um alto nível de cibersegurança comum em toda a União.
A Diretiva NIS 2 procura fortalecer os requisitos de segurança cibernética impostos às entidades, abordando a segurança das cadeias de suprimentos e relacionamentos com fornecedores e introduzindo a responsabilidade da alta administração pelo não cumprimento das obrigações aplicáveis. Promove, ainda, o alargamento do âmbito de aplicação das regras, ao obrigar mais entidades e setores a adotarem medidas de gestão de riscos de cibersegurança, simplificando as obrigações de notificação, introduzindo medidas de supervisão mais rigorosas para as autoridades nacionais, bem como requisitos de execução mais estritos, visando também harmonizar os regimes de sanções nos Estados-Membros.
A Diretiva passou a abranger dois tipos de setores: as entidades essenciais e as entidades importantes, isto é, em termos práticos, médias e grandes empresas de setores críticos para a economia e a sociedade incluindo: prestadores de serviços públicos de comunicações eletrónicas, serviços digitais, serviços postais e de correio rápido e administração pública, tanto a nível central como regional, entre outros. Também cobre, de forma mais ampla, o setor de saúde, abrangendo, por exemplo, os fabricantes de dispositivos médicos, entre outras atividades. As entidades essenciais e importantes que não cumprirem as disposições desta Diretiva estão sujeitas a coimas.
A Diretiva deverá de ser transposta pelos Estados-Membros até 17 de outubro de 2024.
Apesar dos custos e desafios da implementação destas medidas, a realidade é que os custos do cibercrime na economia global parecem ser muito superiores de acordo com os dados partilhados pela Comissão Europeia. Por essa razão, existe de uma forma geral uma concordância sobre a necessidade de uma aplicação eficaz destas medidas.
É, portanto, expectável que, com as lições aprendidas pela aplicação de anteriores Diretivas, e dada a necessidade urgente de impor de forma eficiente regras de cibersegurança comuns a toda a União, exista também agora, e mais do que nunca, uma maior colaboração e esforço entre as autoridades competentes nacionais, os operadores e a Comissão Europeia em procurar respostas conjuntas aos problemas que se forem verificando e como forma de atingir as metas definidas.
A nova Diretiva aplica-se ao seu negócio? A CCA pode ajudá-lo!