Timestamp
Menu
  1. Home/
  2. Notícias
    3. /
  3. A NIS2 foi aprovada. E agora?
A NIS2 foi aprovada. E agora?

Notícias 25/2/2025

A NIS2 foi aprovada. E agora?

Neste artigo, explicamos-lhe como poderá preparar a sua organização para a aplicação do novo regime de cibersegurança NIS2.

Foi aprovado, no Conselho de Ministros português de 6 de fevereiro, a proposta de lei para o novo regime de cibersegurança, vulgo NIS2, a diretiva da União Europeia que procura reforçar as políticas públicas de cibersegurança dos Estados-Membros. Como?

  • Fortalecendo a capacidade e robustez dos sistemas informáticos de empresas e entidades públicas;

  • Aumentando os poderes de supervisão das políticas públicas de cibersegurança;

  • Alargando as obrigações das empresas e entidades na proteção das suas atividades, bases de dados e sistemas;

É uma fase de grande incerteza para as empresas portuguesas e da União Europeia, que procuram corresponder com exatidão e celeridade aos novos requisitos, sem correrem o risco de ficarem para trás ou incorrerem em penalizações. 

Por isso, torna-se fundamental estabelecer com precisão o que é a NIS2, em que âmbitos atua, quais os seus impactos e obrigatoriedades e quais as penalizações para quem estiver em incumprimento. 

Qual o âmbito de aplicação da NIS2?

Comparativamente à Diretiva NIS, adotada em 2016, acontece com a NIS2 uma expansão da sua aplicação, permitindo-lhe abranger um maior número de entidades. 

Estas, de acordo com a NIS2, deverão cumprir os requisitos de cibersegurança, sobretudo se estiverem em setores críticos para a sociedade e para a economia.

As entidades abrangidas dividem-se em duas categorias:

Setores Essenciais, onde se incluem serviços críticos cuja interrupção poderá ter consequências graves para a segurança pública e o funcionamento da sociedade, nomeadamente:

  • Energia (eletricidade, gás, petróleo, hidrogénio);

  • Transportes (aéreo, ferroviário, marítimo e rodoviário);

  • Saúde (hospitais, prestadores de serviços de saúde, fabricantes de medicamentos essenciais);

  • Abastecimento e distribuição de água potável;

  • Gestão de águas residuais;

  • Infraestruturas digitais (fornecedores de serviços de DNS, centros de dados, serviços de confiança);

  • Administração pública (órgãos governamentais e serviços essenciais);

  • Setor espacial (operadores de satélites e infraestruturas espaciais críticas);

Setores Importantes, serviços com menor impacto que os setores essenciais, mas igualmente fundamentais para a economia e segurança digital, tais como:

  • Serviços postais e de encomendas; 

  • Indústria alimentar (produção, processamento e distribuição);

  • Produção, fabrico e distribuição de produtos químicos;

  • Indústria transformadora (equipamentos médicos, eletrónica, maquinaria, automóveis, entre outros);

  • Serviços digitais (plataformas online, motores de busca, serviços de computação em Cloud);

  • Setor financeiro (bancos, mercados financeiros, seguros);

A que entidades se aplica o NIS2?

A sua organização é abrangida pelos requisitos do novo regime de cibersegurança NIS2 se:

  • For uma empresa com 250 ou mais funcionários e/ou um volume de negócios superior a 50 milhões de euros;

  • Se inserir num Setor Essencial ou Importante e cuja atividade seja considerada crítica para a Sociedade ou para a Segurança Nacional, independentemente do seu tamanho;

  • Prestar serviços na União Europeia, mesmo que a sua sede se encontre fora da UE;

  • For uma pequena e média empresa (PME) que desempenhe um papel fundamental na cadeia de abastecimento de infraestruturas críticas;

O rigor deste enquadramento acontece para que possa ser garantido, pelas entidades competentes, o cumprimento dos requisitos de cibersegurança por parte das organizações com maior impacto na Segurança Digital e na estabilidade dos Serviços Essenciais em Portugal.

Caso tenha dúvidas sobre o enquadramento da sua organização, esclarecemos os critérios.

São consideradas Médias Empresas as organizações que:

  1. Empregam entre 50 a 249 trabalhadores;

  2. Possuem um volume de negócios anual até 50 000 000€ OU 

  3. Possuem um ativo líquido / balanço total anual até 43 000 000€;

 

São consideradas Grandes Empresas as organizações que:

  1. Empregam 250 ou mais trabalhadores;

  2. Possuem um volume de negócios anual superior a 50 000 000€ OU

  3. Possuem um ativo líquido / balanço total anual superior a 43 000 000€;

Quais as obrigações da minha organização com a NIS2?

Se a sua organização estiver abrangida pelos parâmetros acima, significa que deverá reportar incidentes de cibersegurança significativos à Autoridade Nacional de Cibersegurança (CNCS) de forma faseada:

24 horas ⇢ Deverá ser efetuada uma notificação inical num prazo máximo de 24 horas após a deteção do incidente, incluindo na mesma uma avaliação preliminar do impacto;

72 horas ⇢ Será também necessário produzir um relatório detalhado que terá de ser comunicado até 72 horas depois do incidente. Neste, deverá constar informação adicional sobre a causa, as consequências e as medidas de mitigação adotadas em resposta ao incidente;

Um mês ⇢ Se o incidente representou um impacto significativo, poderá ser exigida à sua organização um Relatório Final no prazo de um mês, para garantir um acompanhamento adequado, com a implementação de ações corretivas;

No entanto, não é só na comunicação de incidentes que se verificam alterações com o novo regime de cibersegurança NIS2.

As organizações têm, também, que adotar medidas técnicas, organizacionais e operacionais que possam corresponder às normas mais exigentes de cibersegurança. 

Assim, as organizações necessitam de:

  1. Investir em políticas eficazes de gestão de risco que possam prevenir e mitigar ameaças;

  2. Desenvolver medidas preventivas contra ciberameaças que consigam reforçar a proteção dos sistemas;

  3. Implementar protocolos de resposta a incidentes que garantam uma reação rápida e eficaz;

  4. Integrar estratégias que assegurem a continuidade dos serviços essenciais, minimizando o impacto de possíveis ataques cibernéticos.

A minha estratégia de Cibersegurança e Gestão de Riscos precisa de mudar?

A resposta simples é: sim. 

A resposta longa é mais complexa, uma vez que não se trata de uma simples substituição de estratégia, mas sim de um reforço substancial do que a sua organização implementa, atualmente, ao nível da cibersegurança e gestão de risco.

Existem uma série de obrigações associadas ao novo regime de cibersegurança NIS2, construídas para garantir que as organizações cumprem com as melhores estratégias de cibersegurança, a sua governança e gestão de riscos. 

Estas incluem:

  1. A adoção de uma abordagem estruturada à gestão de riscos cibernéticos, através da implementação de políticas eficazes para prevenir e mitigar ameaças;

  2. A aplicação de medidas preventivas que consigam reduzir vulnerabilidades e estabelecer protocolos de resposta a incidentes, capazes de assegurar uma resposta rápida e eficaz a qualquer ameaça de cibersegurança;

  3. A nomeação de um responsável pela cibersegurança capaz de supervisionar a implementação das medidas de proteção;

  4. A garantia de uma gestão eficaz do risco ao nível da administração, capaz de assegurar o cumprimento das normas de cibersegurança;

  5. A sensibilização e formação contínua dos colaboradores, uma vez que todos desempenham um papel ativo na proteção dos sistemas e dados;

  6. A promoção de uma cultura organizacional focada na segurança digital, objetivo alcançável através do reforço de boas práticas e da adoção de medidas preventivas;

Qual é a abrangência total da NIS2? 

A proposta de lei para o novo regime de cibersegurança NIS2 não existe isoladamente. Este novo regime, em vigor desde 16 de janeiro de 2023, é aplicável e exigido a todos os Estados-Membros da União Europeia.

Para que se consiga incentivar a uma maior colaboração entre os Estados-Membros, estão previstas algumas medidas que pretendem fortalecer a segurança digital na UE, garantindo uma resposta mais eficiente e coordenada a desafios cibernéticos globais.

Estas consistem na:

  • Partilha de Informações ⇢  Para facilitar o intercâmbio de dados e alertas sobre ameaças cibernéticas no espaço da União Europeia;

  • Coordenação de respostas ⇢  Com uma melhoria na cooperação que possa responder, de forma eficaz, a incidentes de grande escala;

  • Aumento de resiliência digital ⇢  Através do reforço das capacidades de defesa e mitigação de riscos a nível europeu;

  • Deteção mais rápida de ameaças ⇢  Implementando mecanismos que consigam efetuar uma identificação precoce e uma reação ágil a ciberataques;

Quais as penalizações se a minha organização estiver em incumprimento?

Este novo regime de cibersegurança prevê um reforço nas penalizações, mais rígidas que no anterior regime, para entidades que não cumpram os requisitos necessários.

As potenciais penalizações subdividem-se em três categorias:

Medidas Corretivas Não-Monetárias, consignadas no novo regime de cibersegurança NIS2 para conceder às autoridades nacionais o poder de aplicar, às organizações que não estejam em cumprimento:

  • Ordens de conformidade;

  • Instruções vinculativas;

  • Ordens para a realização de auditorias de segurança;

  • Ordens para a notificação de ameaças aos clientes das entidades;

Multas Administrativas, com claras distinções para as Entidades nos Setores Essenciais e Entidades nos Setores Importantes, prevendo-se assim:

  • Para Entidades nos Setores Essenciais, coimas que poderão atingir até 10 milhões de euros ou 2% do volume de negócios anual global, consoante a gravidade da infração;

  • Para entidades nos Setores Importantes, coimas que poderão atingir até 7 milhões de euros ou 1,4% do volume de negócios anual global, consoante a gravidade da infração;

Sanções Criminais para a Gestão, transferindo alguma da carga de pressão aplicada aos departamentos de TI na gestão isolada e individual da segurança das organizações, ao mesmo tempo que se pretende alterar a consciência pública sobre onde se localiza a responsabilidade da cibersegurança das entidades.

Deste modo, as autoridades dos Estados-Membros da UE podem, graças ao novo regime de cibersegurança NIS2 e em caso de se comprovar negligência grave, responsabilizar pessoalmente os gestores da organização após um incidente cibernético. Isto inclui:

  • Ordenar que as organizações tornem públicas as violações de conformidade;

  • Emitir declarações públicas que identifiquem a(s) pessoa(s) singular(es) e coletiva(s) responsáveis pela violação e a sua natureza;

  • Caso a organização seja uma Entidade nos Setores Essenciais, proibir temporariamente um indivíduo de ocupar cargos de gesão em caso de violações repetidas;

Timestamp: A sua parceira de confiança para a NIS2

A conformidade com a NIS2 não é apenas uma obrigação legal - é uma oportunidade de fortalecer a sua segurança digital.

Na Timestamp, combinamos duas décadas de experiência em cibersegurança com uma equipa de mais de 50 especialistas seniores e parcerias tecnológicas de excelência para guiar a sua transformação digital de forma segura e eficaz.

A nossa metodologia proprietária, testada e validada em múltiplos setores, integra os requisitos da NIS2 com as melhores práticas de mercado, garantindo uma transição suave e completa para o novo paradigma de cibersegurança.

Descubra como a Timestamp poderá ajudar a sua organização a navegar a NIS2: https://www.timestampgroup.com/oferta/privacy-and-digital-security 

Partilhe este post

Copy link

Artigos Relacionados

Timestamp

Notícias | 3/4/2025

Timestamp patrocina 15ª Edição da Jobshop Ciências

Martim Veiga, Cloud Business Developer da Timestamp, participará na sessão de debate "A Cloud: A infraestrutura invisível que está a mudar o mundo".

Ler mais
Timestamp

Notícias | 2/4/2025

SAP S/4HANA Cloud: Evolução do ERP para o crescimento sustentável

A Timestamp impulsiona o crescimento sustentável do negócio através do programa Grow with SAP

Ler mais
Timestamp

Notícias | 28/3/2025

Timestamp Participará no HR Connect Madrid 2025

Timestamp participará no HR Connect Madrid 2025, o evento de referência para profissionais e especialistas de Recursos Humanos.

Ler mais