23°C 16°/ 24°
Notícias

CiberSegurança: NIS 2 introduz conceito de Responsabilidade Criminal

0 Comentários

A NIS 2, sucessora da NIS, é uma diretiva da União Europeia, para a área da cibersegurança, que foi publicada a 27 de dezembro de 2022. Os Estados Membros têm de a transpor para a legislação nacional até 17 de outubro de 2024. Sabia que esta “nova” diretiva introduz o Conceito de Responsabilidade Criminal?

CiberSegurança: NIS 2 introduz o conceito de Responsabilidade Criminal


A diretiva NIS 2 não é um tema estranho para os nossos leitores. Tal como informamos aqui, falar em NIS2 é falar em medidas para melhorar a cibersegurança e resiliência dos países que fazem parte da União Europeia. Com a NIS 2, as empresas são “forçadas” a ter uma ação mais proativa, garantindo assim uma maior resiliência digital.

Principais mudanças com a NIS 2

  • Número de entidades e setores abrangidos será maior;
    • A nova Diretiva NIS 2 passa a abranger 18 setores.
    • NIS 2 deixa de distinguir “operadores de serviços essenciais” e “fornecedores de serviços digitais” (como acontecia na NIS 1).
      • A classificação de entidades com a NIS 2 passa a ser: Entidades Essenciais e Entidades Importantes.
        • Há setores que passam a estar abrangidos, como, por exemplo, Data Center, setor do hidrogénio, farmacêuticas, etc.
        • As empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios são abrangidas pela NIS 2.
        • Entidades essenciais: grandes empresas (+250 empregados ou +50 milhões de Euros de volume de negócios), ou se atuarem nos setores de elevada criticidade;
        • Entidades importantes: grandes ou medias empresas (+50 trabalhadores ou +10 milhões de euros de volume de negócios, mas com menos 250 trabalhadores), ou se atuarem nos setores do Anexo II da diretiva, que não se enquadrem nas Entidades essenciais.
  • Tratamento e notificação de incidentes 
    • Estabelece padrões mais rigorosos no que diz respeito à comunicação de incidentes;
    • Notificar as autoridades nacionais sobre incidentes cibernéticos significativos no prazo de 24 horas;
    • obrigação das organizações comunicarem quaisquer ciber-ameaças significativas que possam impactá-las.
  • Sanções mais elevadas
    • Entidades Essenciais: montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa (consoante o montante mais elevado)
    • Entidades Importantes: montante máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa (consoante o montante mais elevado)
  • Principio de Responsabilidade (Órgãos de topo/administração passam a ter responsabilidade)
  • Segurança da cadeia de abastecimento (necessário “avaliar” fornecedores e prestadores de serviços diretos)
  • Práticas básicas de ciber-higiene e formação em cibersegurança
  • Continuidade do negócio
  • Criação de uma rede europeia de comunicação e cooperação 
  • Adoção de soluções de autenticação multifator
  • Reforço das medidas de segurança (no geral)

Uma das alterações mais significativas com a NIS 2 prende-se com o facto do número de organizações abrangidas passar a ser 10 vezes maior do que com a NIS 1. Se com a NIS 1, em Portugal, foram “impactadas” 460 entidades, com a NIS 2 o valor passará a ser superior a 4 mil. Na Europa o valor de empresas que terá de cumprir a NIS 2 ultrapassará as 160 mil.

CiberSegurança: NIS 2 introduz o conceito de Responsabilidade Criminal

Principio de Responsabilidade com a NIS 2

Como referido, uma das mudanças com a adoção da NIS 2 é o Principio de Responsabilidade, ou seja, a gestão de topo passa a ter responsabilidades. Na prática, passam a ser atribuídas responsabilidades aos quadros superiores de cada entidade. As autoridades dos Estados-Membros passam a ter o poder de responsabilizar pessoalmente os gestores das organizações se for comprovada negligência grave após um incidente cibernético. Isto inclui: Ordenar que as organizações tornem públicas as violações de conformidade.

Se a organização for uma entidade essencial, será possível proibir, temporariamente, um indivíduo de ocupar cargos de gestão em caso de violações repetidas. Estas medidas foram concebidas para responsabilizar a gestão de nível C e evitar negligência grave na gestão de riscos cibernéticos.

Portugal deve garantir a transposição da diretiva NIS2 até 17 de outubro de 2024 para que não sejam criadas barreiras no mercado interno da União Europeia e que critérios desproporcionais e pouco claros não sejam estabelecidos.

Autor: Pedro Pinto
Partilhar:
Tags:
Cibersegurança NIS 2 NIS2
Quer proteger-se online? Google ensina 4 maneiras para o fazer usando a Pesquisa
Artigo anterior

Quer proteger-se online? Google ensina 4 maneiras para o fazer usando a Pesquisa
TikTok quer entregar conteúdo educativo: feed de ciência e tecnologia chegará à Europa
Próximo artigo

TikTok quer entregar conteúdo educativo: feed de ciência e tecnologia chegará à Europa
Também pode gostar
PUB

Comentários

0

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.