Diretriz NIS 2

A diretriz NIS 2 é uma diretriz europeia que visa garantir um alto nível comum de segurança cibernética na União Europeia. Ela substitui a diretriz NIS anterior de 2016 e fortalece as exigências de segurança, trata da segurança de cadeias de fornecimento e determina sanções harmonizadas. A diretriz NIS 2 foi adotada pelo Parlamento Europeu e pelo Conselho da UE no final de 2022 e é utilizada na UE desde 18 de outubro de 2024. Os Estados-Membros da UE devem transpor a diretriz para a legislação nacional.

A NIS 2 trata sobretudo das exigências para as empresas:

Enquanto a diretriz NIS 1 aplicava-se principalmente a infraestruturas críticas e fornecedores de serviços digitais relevantes, a diretriz NIS 2 amplia os setores, incluindo as indústrias de produção: construção de máquinas, fabricantes de equipamentos para o processamento de dados, produtos eletrônicos e ópticos, equipamentos elétricos, caminhões e peças de veículos, assim como qualquer outro tipo de construção de veículos. Entre essas indústrias, são afetadas empresas com mais de 50 funcionários ou com lucro ou balanço anual acima de 10 milhões de euros.

Para alcançar a conformidade com a NIS 2, as organizações afetadas precisam adotar várias medidas, entre elas:

• Gestão de riscos: implementação de processos para identificar e avaliar riscos.
• Medidas de segurança: introdução de medidas técnicas e organizacionais para a redução de riscos.
• Notificação de acidentes: definição de processos para notificação de acidentes de segurança aos órgãos responsáveis.
• Monitoramento e auditorias: verificação regular e avaliação das medidas de segurança.

A aplicação da NIS 2 é realizada por órgãos nacionais nos Estados-Membros da UE, responsáveis pelo monitoramento e cumprimento da diretriz. Na Alemanha, a Agência Federal de Segurança da Tecnologia da Informação (BSI) é o órgão responsável.

Medidas para a aplicação:

1. Notificações obrigatórias: as empresas precisam notificar acidentes de segurança. A NIS 2 determina um sistema de notificação de três etapas para melhorar a transparência e a capacidade de reação.
2. Medidas de supervisão: a BSI tem autorização ampliada para executar auditorias e inspeções para verificar o cumprimento das exigências de segurança.
3. Sanções: caso a diretriz não seja cumprida, podem ocorrer sanções que variam de acordo com a gravidade da infração.

Apoio e consultoria:
a BSI oferece às empresas afetadas apoio e consultoria para facilitar a implementação da NIS 2. As empresas devem tomar contramedidas proativas para a melhoria da sua segurança de TI e se preparar para as novas exigências. A Agência da União Europeia para a Cibersegurança (ENISA) oferece inúmeras informações úteis sobre o tema de segurança cibernética.

A NIS 2, o Cyber Resilience Act e o Regulamento de Máquinas fazem parte de um abrangente quadro regulatório da UE para fortalecer a segurança cibernética e a resiliência. Enquanto a NIS 2 concentra-se na segurança de redes, em sistemas de informação e nos requisitos em nível empresarial, o Cyber Resilience Act visa melhorar a segurança cibernética de produtos com elementos digitais. O Regulamento de Máquinas complementa as medidas, determinando as exigências de segurança para máquinas e produtos industriais.

• Outras especificações sobre Industrial Security (incluindo, entre outras, a IEC 62443)
• Agência da União Europeia para a Cibersegurança (ENISA)