Proposta na estratégia europeia de cibersegurança (1), a Diretiva NIS foi adotada a 6 de julho de 2016 (2), com o objetivo de reforçar a resiliência do espaço europeu de cibersegurança a três níveis: europeu, estados-membros e entidades consideradas relevantes para os estados-membros e espaço europeu.
Foi transposta para lei portuguesa a 13 de agosto de 2018 (3), estabelecendo o regime jurídico da segurança do ciberespaço. O Centro Nacional de Cibersegurança (CNCS) fica responsável pela supervisão da adequada implementação da Diretiva NIS, enquanto que sobre as entidades recai a obrigação de cumprir – com requisitos de segurança da informação e Instruções do CNCS – e de notificar – incidentes de segurança relevantes.
Três anos depois da transposição nacional, a 30 de julho de 2021, o Decreto-Lei n.º 65/2021 (4) vem regulamentar o regime jurídico do ciberespaço e definir requisitos para as entidades, nomeadamente:
- comunicação do ponto de contacto permanente e responsável de segurança;
- comunicação do inventário dos ativos essenciais para a prestação dos serviços;
- execução de análises dos riscos globais e parciais;
- elaboração e atualização de um plano de segurança;
- comunicação do relatório anual; e
- implementação de meios que permitam detetar, classificar e notificar incidentes ao CNCS.
Durante o ano de 2022, o CNCS adotou uma postura pedagógica, que incluiu um roadshow nacional, no entanto, assumiu recentemente que esta postura não foi efetiva, pelo que procedeu à notificação de cerca de 400 entidades e alertou que vai começar com a aplicação das coimas previstas na transposição nacional (5). Note-se que, até esta data, não são conhecidas sanções que tenham sido aplicadas no contexto da Diretiva NIS em Portugal.
Publicada a 14 de dezembro de 2022, a Diretiva NIS2 vem substituir a Diretiva NIS.
O âmbito de aplicação das Diretiva NIS2 é alargado face ao previsto na Diretiva NIS, tendo sido acrescentados os seguintes setores à lista de setores críticos:
- águas residuais;
- gestão de serviços TIC (B2B);
- administração pública;
- espaço;
- serviços postais e de estafeta;
- gestão de resíduos;
- produção, fabrico e distribuição de produtos químicos;
- produção, transformação e distribuição de produtos alimentares;
- indústria transformadora;
- prestadores de serviços digitais; e
- investigação.
Ao nível das obrigações para as entidades, a Diretiva NIS2 reforça algumas das medidas já previstas no Decreto-Lei n.º 65/2021, nomeadamente no que toca a análises de riscos e tratamento de incidentes, e inclui de uma forma mais precisa um conjunto mínimo de temas que têm de ser endereçados pelas organizações. Pela Diretiva NIS2, as entidades devem, no mínimo, endereçar (6):
a) análise dos riscos e de segurança;
b) tratamento de incidentes;
c) continuidade das atividades;
d) segurança da cadeia de abastecimento;
e) segurança na aquisição, desenvolvimento e manutenção;
f) avaliação da eficácia das medidas de gestão dos riscos de cibersegurança;
g) práticas básicas de ciber-higiene e formação em cibersegurança;
h) criptografia e, se for caso disso, de cifragem;
i) segurança dos recursos humanos; e
j) utilização de soluções de autenticação multifatores ou de autenticação contínua.
A transposição para legislação nacional da Diretiva NIS2 tem um prazo limite de 17 de outubro de 2024 (6). Resta-nos aguardar pela publicação da transposição nacional para verificar como tal se concretizará no contexto nacional.
Com ou sem a transposição da Diretiva NIS2, estaremos todos a dar a devida atenção a este tema? É tempo de agirmos e protegermo-nos, sob pena de termos impactos severos, causados não só pela ausência de conformidade regulamentar mas principalmente por ataques de cibersegurança cada vez mais frequentes.
__
Marco Tavares Pereira
Cybersecurity & Privacy Manager, PwC Portugal
Referências
(1) Comunicação conjunta ao parlamento europeu, ao conselho, ao comité económico e social europeu e ao comité das regiões – Estratégia da União Europeia para a cibersegurança: Um ciberespaço aberto, seguro e protegido, de 7 de fevereiro de 2013.
(2) Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016.
(3) Lei n.º 46/2018, da Assembleia da República, de 13 de agosto.
(4) Decreto-Lei n.º 65/2021, Presidência do Conselho de Ministros, de 30 de julho.
(5) https://tek.sapo.pt/noticias/computadores/artigos/vamos-comecar-a-aplicar-coimas-avisa-o-centro-nacional-de-ciberseguranca
(6) Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
“É tempo de agirmos e protegermo-nos, sob pena de termos impactos severos, causados não só pela ausência de conformidade regulamentar mas principalmente por ataques de cibersegurança cada vez mais frequentes.”
Cybersecurity & Privacy Partner, PwC Portugal
Tel: +351 225 433 000