novidades
back

As Novas Medidas da NIS 2 e seu Impacto nas Organizações Públicas

As novas medidas da Diretiva NIS 2 (Network and Information Systems Directive) representam um avanço significativo na regulamentação da cibersegurança dentro da União Europeia. Focadas em fortalecer a resiliência cibernética de infraestruturas críticas e serviços essenciais, essas medidas trazem implicações importantes para organizações públicas, incluindo câmaras municipais, e empresas público-privadas que operam no mercado nacional.

As Linhas Orientadoras da NIS 2
A NIS 2, em vigor desde 16 de janeiro de 2023 e a ser transposta para o ordenamento jurídico nacional até 17 de outubro de 2024, abrange diversos setores e reforça as obrigações de segurança da informação, procurando oferecer uma resposta coerente e complementar aos riscos atuais e futuros, que vão desde ciberataques até criminalidade e catástrofes naturais. A NIS 2 estabelece um conjunto de requisitos rigorosos que as organizações devem seguir para garantir a segurança de suas redes e sistemas de informação.
Entre as principais diretrizes destacam-se:
a) Reforço da segurança das redes e sistemas de informação: Implementação de medidas de segurança adequadas e proporcionais aos riscos.
b) Gestão de incidentes: Estabelecimento de procedimentos eficazes para a gestão e notificação de incidentes.
c) Gestão de riscos: Adoção de abordagens baseadas em risco para a segurança cibernética.
d) Cooperação e partilha de informações: Fortalecimento da cooperação entre estados-membros e promoção da partilha de informações sobre ciberameaças.

As Áreas Setoriais de Maior Pressão
A NIS 2 concentra-se na gestão de riscos, governança e responsabilização da Administração, exigindo que as entidades adotem metodologias rigorosas de gestão de riscos de cibersegurança. Isso inclui a elaboração de políticas de análise e gestão de riscos, tratamento e notificação de incidentes, continuidade das atividades, procedimentos para avaliar a eficácia das medidas e formação. Também é necessário que as entidades integrem os riscos e obrigações de cibersegurança em suas relações com fornecedores.
Com o fortalecimento dos poderes de supervisão e do quadro sancionatório, que prevê multas de até 10.000.000 EUR ou 2% do volume de negócios global, dependendo do valor mais alto, a antecipação torna-se essencial e crucial.
A Diretiva NIS 2 coloca um enfoque especial em determinados setores considerados críticos, onde a implementação das novas medidas será mais rigorosa. Esses setores incluem:
• Energia
• Transportes
• Saúde
• Financeiro
• Água
• Infraestruturas Digitais

O Impacto nas Organizações Públicas
Para as organizações públicas, a implementação da NIS 2 implica uma reavaliação e reforço das suas estratégias de cibersegurança. Isto pode envolver:
a) Auditorias de Segurança: Revisão e atualização das políticas e práticas de segurança existentes.
b) Capacitação de Pessoal: Formação contínua para aumentar a competência dos profissionais de TI em cibersegurança.
c) Investimento em Tecnologia: Aquisição de novas ferramentas e tecnologias para melhorar a segurança das redes e sistemas de informação.
d) Parcerias Estratégicas: Colaboração com fornecedores especializados para garantir a conformidade e robustez das soluções de segurança.

A Diretiva reforça algumas das medidas já previstas no Decreto-Lei n.º 65/2021, nomeadamente no que toca a análises de riscos e tratamento de incidentes, e inclui de uma forma mais precisa um conjunto mínimo de temas que têm de ser endereçados pelas organizações. Pela Diretiva NIS 2, as entidades devem, no mínimo, endereçar:
• Análise dos riscos e de segurança;
• Tratamento de incidentes;
• Continuidade das atividades;
• Segurança da cadeia de abastecimento;
• Segurança na aquisição, desenvolvimento e manutenção;
• Avaliação da eficácia das medidas de gestão dos riscos de cibersegurança;
• Práticas básicas de ciber-higiene e formação em cibersegurança;
• Criptografia e, se for caso disso, de cifragem;
• Segurança dos recursos humanos; e
• Utilização de soluções de autenticação multifatores ou de autenticação contínua (MFA).

Para garantir a cibersegurança da sua organização, terá de garantir que pode demonstrar o seguinte:
Gestão de riscos: Identificar e mitigar riscos, incluindo erro humano, falhas de sistema, ataques maliciosos e desastres naturais, além de garantir a segurança física e ambiental.
Responsabilidade empresarial: Responsabilização da gestão de topo pelas inconformidades identificadas relativamente à adoção das medidas de gestão dos riscos de cibersegurança e a própria obrigação de formação e capacitação na área.
Obrigações de comunicação: As empresas devem estar preparadas para comunicar incidentes de segurança de forma rápida e eficaz.
Continuidade das atividades: Devem existir planos para manter os serviços vitais operacionais em caso de incidentes graves, incluindo recuperação de sistemas e gestão de crises. 

A Proposta de Valor da Decsis
A Decsis é uma empresa especializada em soluções de cibersegurança, oferecendo um portfólio abrangente adaptável a cada organização e aos diferentes orçamentos disponíveis. O nosso objetivo é fornecer aos organismos públicos e privados um serviço profissional que atenda às exigências impostas pela NIS 2. Com a Decsis, você garante a proteção necessária para enfrentar os desafios atuais da cibersegurança, mantendo-se em conformidade com as novas regulamentações.
As nossas soluções abordam a componente tecnológica e processual, auxiliando a determinar os riscos e vulnerabilidades nestas duas vertentes e propondo o caminho para a sua resolução e conformidade, considerando as melhores práticas em segurança da informação e os requisitos e normas que se apliquem.



Para mais informações sobre como podemos ajudar a sua organização, contacte-nos: consultoria@decsis.pt

#Cibersegurança #NIS2 #SegurançaDigital #OrganizaçõesPúblicas #Compliance #InfraestruturasCriticas #GestãoDeRiscos #ServiçosEssenciais #Decsis
o grupo decsis