.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
Introdução: um novo paradigma de segurança informática
A Diretiva SRI2, que entrou em vigor a 17 de janeiro de 2023 (16 de outubro em Itália), representa uma alteração profunda em relação à anterior Diretiva SRI. Este quadro regulamentar visa criar uma estratégia cibernética comum para todos os Estados-Membros da UE, com o objetivo principal de aumentar os níveis de segurança dos serviços digitais em toda a UE
Começou oficialmente a época de aplicação da diretiva europeia NIS2, que representa uma mudança mais do que significativa na abordagem da gestão da segurança da informação.
Embora se aprecie o esforço de comunicação da Agência Nacional de Cibersegurança (ANC), que coloca o aspeto do processo repressivo e sancionatório em segundo plano em relação à promoção da participação ativa, é evidente que o processo de implementação dos objectivos da diretiva não pode ser resolvido apenas com uma obediência formal ao sistema de gestão da segurança - o que é comummente referido como "segurança no papel" - mas exige um esforço substancial para definir objectivos de segurança concretos e sustentáveis.
A extensão do perímetro: quem está envolvido na NIS2
A diretiva NIS2 representa um passo significativo no sentido de uma maior cibersegurança e resiliência partilhadas em toda a Europa. Quando se trata de regulamentos e diretivas, muitas empresas vêem a conformidade como o objetivo final: algo que têm de cumprir através do cumprimento de requisitos mínimos. No entanto, este deve ser visto como o ponto de partida para atingir níveis mais elevados de cibersegurança.
A Diretiva SRI2 resulta de uma profunda revisão da SRI e constitui mais um passo importante para a plena definição da ciberestratégia europeia, prevendo respostas adequadas, coordenadas e inovadoras por parte dos Estados-Membros para garantir a continuidade dos serviços digitais em caso de incidentes de segurança.
A NIS2 alarga significativamente o âmbito de aplicação em comparação com a anterior Diretiva NIS, incluindo sectores cruciais como a gestão de resíduos, os transportes, a indústria alimentar, o abastecimento e distribuição de água potável, as infra-estruturas digitais, a administração pública, a produção, a investigação e o desenvolvimento de medicamentos e dispositivos médicos e o sector espacial.
O Decreto Legislativo 138/2024, que transpõe a Diretiva NIS2 para o direito italiano, estabelece que as disposições serão aplicáveis a partir de 16 de outubro de 2024.
O regulamento não se aplicará às pequenas empresas , a menos que a entidade seja identificada como "crítica" na aceção da Diretiva RCE, seja um fornecedor de redes públicas de comunicações electrónicas, um fornecedor de serviços de confiança ou se enquadre noutras categorias específicas consideradas essenciais.
O NIS2 também se aplica a empresas com menos de 50 trabalhadores se prestarem um serviço essencial num Estado-Membro, se o seu serviço for crucial para a segurança pública, a segurança ou a saúde, ou se fizerem parte da cadeia de abastecimento de uma empresa essencial ou importante.
As principais questões críticas para as empresas
1. Complexidade do modelo estratificado e problemas de classificação
Esta complexidade operacional reflecte-se na opção do legislador italiano por um modelo "estratificado". O primeiro nível é o padrão, ou seja, o dos sujeitos essenciais ou importantes, que excedem os limites de dimensão das pequenas empresas. O segundo nível é constituído pelas entidades que, independentemente da sua dimensão ou volume de negócios, se enquadram em categorias específicas prescritas.
Um problema significativo diz respeito à medição efectiva do aspeto da dimensão, devido à referência à noção de "empresas associadas" sobre a qual, no mundo dos negócios, nem sempre existe uma clareza absoluta de visão.
A ligação entre duas ou mais empresas é, em teoria, independente da intenção de constituir um verdadeiro grupo formalizado, tendo como consequência a exclusão do grupo das pequenas e médias empresas das entidades que, mesmo consideradas individualmente, não atingiriam os limites de dimensão previstos na norma.
2. Encargos económicos e organizacionais
Quando passamos da idealidade do processo para a abordagem concreta, a questão é bastante diferente, pois colide com a dimensão económica de um país cuja estrutura fundamental é constituída por um grande número de pequenas e médias empresas. Este facto coloca um desafio significativo na implementação do NIS2, que pode ser excessivamente oneroso para as realidades mais pequenas.
Criada com o objetivo de melhorar a cibersegurança da União Europeia, as sanções da Diretiva NIS2 são puramente administrativas e penais. Os operadores essenciais podem ser sujeitos a coimas administrativas até 10 milhões de euros ou 2% do volume de negócios global total. Os grandes operadores, por outro lado, podem ser sujeitos a coimas até 7 milhões de euros ou até 1,4 por cento do volume de negócios total a nível mundial.
3. Responsabilidade de gestão
O decreto legislativo introduz uma certeza: haverá uma responsabilidade dos órgãos de gestão e de direção. Os órgãos de gestão das empresas serão chamados a desempenhar um papel ativo no cumprimento da legislação, terão de aprovar a aplicação das medidas de gestão dos riscos de segurança, supervisionar a aplicação das obrigações previstas na legislação e serão responsabilizados pelas violações.
4. Comunicação de incidentes e gestão de riscos
O decreto de transposição reforça os requisitos de notificação de incidentes, estipulando que os incidentes que tenham um impacto significativo na prestação de serviços devem ser notificados à CSIRT Itália sem atrasos indevidos. O processo de notificação prevê prazos rigorosos: uma pré-notificação no prazo de 24 horas, uma notificação no prazo de 72 horas após o evento e um relatório final no prazo de um mês após o evento.
A diretiva NIS2 estabelece uma série de requisitos principais que as organizações devem cumprir para garantir um elevado nível de cibersegurança. Estes requisitos incluem: análise de riscos e políticas de segurança dos sistemas de informação, estratégias para avaliar a eficácia das medidas de gestão de riscos e práticas básicas de higiene digital e formação em cibersegurança.
5. Foco na cadeia de abastecimento
Verifica-se que a legislação que transpõe a Diretiva SRI2 não se centra apenas nos sectores considerados altamente críticos ou críticos, mas, de forma clarividente, também nos seus fornecedores, alargando assim consideravelmente o número de sujeitos susceptíveis de serem afectados pela aplicação do Decreto Legislativo.
A Diretiva SRI 2 prevê que as entidades obrigadas terão de tomar medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de segurança dos sistemas e redes de informação, tendo igualmente em conta a segurança da cadeia de abastecimento, incluindo os aspectos de segurança relativos à relação entre cada entidade e os seus fornecedores diretos ou prestadores de serviços.
Principais prazos a respeitar
Assim começa a corrida para a conformidade, que deve estar concluída até outubro de 2026. No início de 2025, as empresas identificadas como sujeitos NIS2 devem estar operacionais com todas as medidas planeadas, incluindo sistemas de gestão de segurança informática e responsabilidades de gestão. Até maio de 2025, as empresas devem atualizar os seus dados na plataforma institucional. Em janeiro de 2026, entra em vigor a obrigação formal de comunicar atempadamente os incidentes significativos e, até setembro de 2026, as organizações devem ter implementado todas as medidas de segurança necessárias.
A partir de 16 de outubro de 2024, entra em vigor o novo regulamento relativo à segurança das redes e da informação (SRI). O Grupo ACN é a autoridade competente em matéria de SRI e o ponto de contacto único. De 1 de dezembro de 2024 a 28 de fevereiro de 2025, as médias e grandes empresas, em alguns casos também as pequenas e micro empresas, e as administrações públicas às quais se aplica a nova legislação devem registar-se no portal de serviços do Grupo ACN.
Conclusão: uma mudança de paradigma necessária mas difícil
A crescente interconexão e digitalização da sociedade tornou as instituições, as empresas e os cidadãos cada vez mais expostos a ciberameaças.
A gestão de topo da Agência Nacional de Cibersegurança assumiu publicamente o compromisso de tornar sustentável este processo, que pode verdadeiramente marcar um ponto de viragem na capacidade do país para lidar com as ameaças crescentes. Será necessário esperar para ver como o tecido produtivo e administrativo do país será capaz de responder ao que é, claramente, um profundo ponto de viragem cultural e que, como é intuitivo, não será nem um passeio no parque nem "neutro em termos de custos".
A adaptação à NIS2 não é, portanto, apenas uma questão de cumprimento da norma, mas pode ser também uma boa oportunidade para introduzir na empresa uma cultura de segurança, bem como as melhores práticas técnicas e organizacionais, o que pode aumentar consideravelmente o nível de segurança informática. É importante, no entanto, começar a preparar desde já um plano de adaptação, a fim de alinhar os vários activos e o pessoal da empresa por fases, com ciclos de formação periódica adequados.
Mesmo que não seja uma das empresas obrigadas a cumprir a Diretiva NIS2, iniciar um curso de sensibilização para os riscos cibernéticos é importante para proteger o futuro da sua empresa.
A NIS2 representa, por conseguinte, um desafio complexo mas necessário para as empresas italianas. Embora imponha novas obrigações e responsabilidades que podem parecer pesadas, também oferece a oportunidade de repensar a segurança informática como um elemento estratégico e não apenas como um custo.
.webp){kind=small}
