HOME
NIS2

NIS2: a nova diretiva para a segurança informática

As novas normas da UE em matéria de cibersegurança para responder às crescentes ameaças digitais com protocolos mais rigorosos e quadros de governação mais sólidos.

Os detalhes da diretiva

Em dezembro de 2022, o Conselho da União Europeia e o Parlamento Europeu adotaram a Diretiva de Segurança de Redes e Informações (NIS2), ou Diretiva 2022/2555, sobre a segurança de redes e sistemas de informação, com o objetivo de reforçar os sistemas de segurança para fazer face aos ataques cibernéticos cada vez mais frequentes e prever novos requisitos de cibersegurança mais amplos para todos os Estados-Membros da UE. ‍‍

Em Itália, a diretiva foi transposta em 1 de outubro de 2024 através do Decreto Legislativo n.º 138/2024, data a partir da qual as empresas devem iniciar o processo de adaptação aos novos requisitos, e estará plenamente operacional a partir de 1 de janeiro de 2026. ‍

A Leviahub, sempre atenta a garantir a máxima segurança das suas soluções, já trabalhou para aderir da melhor forma às novas diretrizes, a fim de oferecer ambientes seguros aos seus clientes e guiá-los para um negócio sem riscos.‍

O hardware, de facto, não dura para sempre e é essencial atualizar os centros de dados para acompanhar um mercado em constante evolução. Prevenção, monitorização e recuperação são os três conceitos-chave para cumprir as regulamentações e permanecer competitivo, e a Leviahub está pronta para o apoiar com os melhores serviços para o seu negócio.

Diretiva NIS2: o que muda em relação à NIS?

A NIS2 é uma importante evolução da anterior Diretiva sobre Redes e Sistemas de Informação (NIS), que alarga a estratégia da UE em matéria de cibersegurança, com o objetivo de reforçar a segurança informática das entidades essenciais dentro da organização, respondendo às crescentes ameaças digitais e protegendo o mercado interno através de protocolos mais rigorosos e quadros de governação mais sólidos.

Mais especificamente, em comparação com a NIS1, a nova diretiva prevê:
GARANTIA DE CONTINUIDADE DOS NEGÓCIOS

O objetivo das novas medidas é garantir a continuidade operacional das entidades, mesmo em caso de danos graves à infraestrutura tecnológica, de modo a eliminar eventuais interrupções no fluxo de trabalho e perda de dados essenciais.

COOPERAÇÃO ENTRE OS ESTADOS-MEMBROS

A diretiva tem como objetivo criar e fortalecer uma rede de cooperação a nível europeu para promover o intercâmbio de informações entre os Estados-Membros. Isso permitirá a partilha de melhores práticas e uma resposta coordenada a incidentes cibernéticos a nível transnacional.

AMPLIAÇÃO DOS SETORES ENVOLVIDOS

A diretiva aplica-se a mais indústrias de média e grande dimensão do que a anterior NIS. Os setores abrangidos passam de 6 para 18.

MAIORES RESPONSABILIDADES PARA A DIREÇÃO

A diretiva introduz sanções mais severas para casos de incumprimento repetido e responsabiliza os gestores das empresas pela segurança, tornando-os responsáveis por eventuais violações.

MEDIDAS MAIS RIGOROSAS PARA A GESTÃO DE RISCOS

Todas as entidades envolvidas devem adotar medidas técnicas e organizacionais específicas para a notificação de incidentes e a gestão/resolução de riscos informáticos.

ENVOLVIMENTO DA CADEIA DE ABASTECIMENTO

É necessária uma maior atenção às vulnerabilidades relacionadas com fornecedores terceiros. Desta forma, toda a cadeia de abastecimento é envolvida.

DEFINIÇÃO DAS SANÇÕES MÁXIMAS

As sanções previstas para a violação da regulamentação NIS2 são severas e proporcionais à gravidade da infração; variam de acordo com o tipo de entidade envolvida (essencial ou importante) e podem dizer respeito à falta de gestão dos riscos, ao incumprimento das obrigações de notificação de incidentes ou à falta de registo junto das autoridades competentes. As sanções devem ser estabelecidas pelos Estados-Membros, mas devem ser, no mínimo, iguais a:

- 1,4% do volume de negócios global ou 7 milhões de euros para entidades importantes;

- 2% do volume de negócios global ou 10 milhões de euros para entidades essenciais.

Âmbitos de aplicação da NIS2

A Diretiva NIS2 divide as organizações abrangidas em duas categorias principais:

1. Entidades essenciais

- Setores críticos, como energia, transportes, saúde e infraestruturas digitais.

- Sanções mais severas em caso de não conformidade.

- Exigência de supervisão ativa e requisitos de segurança rigorosos.

2. Entidades importantes

- Setores menos críticos, mas ainda assim relevantes.

- Requisitos de segurança mais leves, mas ainda obrigatórios.
A pertença a uma das duas categorias é determinada com base na dimensão da empresa e na criticidade do setor a que pertence.

Além disso, a diretiva aumenta os campos de aplicação: os setores abrangidos passam a ser 18, dos quais 11 altamente críticos e 7 críticos, envolvendo mais de 80 tipos de entidades.

Modalidades de gestão de riscos

De acordo com a nova Diretiva NIS2, os responsáveis devem implementar ações adequadas e proporcionais nas áreas técnica, operacional e organizacional, para gerir os riscos à segurança da rede e dos sistemas informáticos utilizados para realizar as suas atividades ou prestar os seus serviços, bem como para prevenir e limitar o impacto de eventuais incidentes nos destinatários dos serviços e noutros serviços.

As empresas devem estabelecer as medidas a adotar seguindo duas fases operacionais:
FASE DE ANÁLISE

Nesta fase, as empresas devem analisar as circunstâncias de cada caso, levando em consideração o fator humano e o nível de dependência da rede e dos sistemas informáticos, a fim de estabelecer as medidas a serem tomadas de forma proporcional ao impacto socioeconómico potencial de eventuais incidentes informáticos.

A uma maior gravidade do dano possível, deverá corresponder um maior empenho que o responsável deverá investir na implementação das medidas de gestão de riscos.

ADOÇÃO DE MEDIDAS ESPECÍFICAS

A empresa deverá adotar políticas específicas de análise de riscos e segurança, bem como de gestão de backup e recuperação em caso de desastre e gestão de crises; além disso, é necessário definir medidas de gestão de incidentes, manutenção de sistemas informáticos e de rede e segurança da cadeia de abastecimento.

O responsável deverá implementar procedimentos para avaliar a eficácia das medidas de gestão de riscos. A este respeito, no âmbito da Supply Chain, também podem estar indiretamente envolvidas empresas que não estão diretamente abrangidas pelo âmbito de aplicação da diretiva, mesmo que não tenham sede na UE, mas operem na cadeia de abastecimento.

Normalização e certificações

Na sequência da Diretiva NIS2, os Estados-Membros podem exigir a obtenção de certificações e/ou a utilização de produtos certificados por parte dos responsáveis. A certificação dos produtos baseia-se nos programas europeus de certificação de cibersegurança, nos termos do Regulamento (UE) 2019/881 sobre cibersegurança.

Além disso, de acordo com a Diretiva, a Comissão Europeia pode implementar atos delegados com o objetivo de exigir que algumas categorias específicas de entidades adotem soluções técnicas certificadas ou obtenham um certificado correspondente; no entanto, estes só podem ser adotados se a Comissão tiver previamente identificado níveis insuficientes de cibersegurança e tiver estabelecido um prazo para a implementação.

Obrigação de inscrição no portal ACN

Na Itália, a partir de 1 de dezembro de 2024 e até 28 de fevereiro de 2025, as empresas abrangidas pela Diretiva NIS2 devem concluir a inscrição no portal ACN (Autoridade para a Cibersegurança Nacional), a fim de se adequarem à regulamentação europeia e não correrem o risco de incorrer em pesadas sanções.

O registo no portal da Autoridade para a Cibersegurança Nacional permite às empresas:

- comprovar a adoção de medidas eficazes contra ameaças informáticas;

- demonstrar disponibilidade para cooperar com as autoridades competentes;

- usufruir de uma ferramenta de atualização graças a avisos sobre novidades regulamentares e ferramentas a adotar.

Se uma empresa não se inscrever no Portal até 28 de fevereiro de 2025, corre o risco de enfrentar:

- sanções e multas por incumprimento das obrigações regulamentares e não conformidade com a NIS2;

- exclusão de recursos e ferramentas de cibersegurança, expondo a empresa a maiores riscos e ataques cibernéticos;

- riscos reputacionais e operacionais.

AS SOLUÇÕES DA LEVIAHUB PARA CUMPRIR A NIS2

A Leviahub é o parceiro de confiança que o acompanha também no cumprimento da nova Diretiva NIS2.

Sempre atenta às evoluções normativas e do mercado para garantir a máxima eficiência aos seus clientes, a Leviahub oferece todas as ferramentas para fornecer um alto nível de segurança aos seus sistemas informáticos e aos seus dados. Num mundo em que as ameaças digitais estão em constante evolução, proteger os seus sistemas e adotar as precauções certas para antecipar eventuais riscos torna-se uma prioridade absoluta: por isso, há muito que trabalhamos nas medidas de segurança mais sofisticadas e estamos sempre a adaptar-nos às novidades para nos mantermos a par dos sistemas de prevenção mais avançados.

Graças aos nossos serviços de cibersegurança, poderá contar com uma equipa de especialistas pronta para sugerir as melhores soluções de segurança informática a implementar na sua empresa, protegendo-a de ameaças e ataques indesejados.

A nossa experiência permite-nos intervir com precisão, oferecendo soluções personalizadas que preservam a estabilidade dos sistemas e minimizam os riscos de interrupções, garantindo que cada ação contribua para o reforço da resiliência empresarial.

Proteja as informações empresariais e os dados sensíveis: graças aos nossos serviços de cibersegurança, tecnologicamente avançados e concebidos exclusivamente para o mundo da Supply Chain, poderá contar com um ambiente digital seguro e fiável.

Os nossos serviços de cibersegurança incluem:

  • Risk Assessment
  • Vulnerability Assessment
  • Penetration Test
  • Security Awareness (engenharia social
  • Brand reputation (exploração da dark web e da deep web)
  • Cyber Threat Intelligence
  • SOC (Security Operations Center)
  • SIEM (Security Information and Event Management)
  • NDR (Network Detection & Response)
  • MDR (Managed Detection & Response)
  • SOAR (Security Orchestration automation and Response)
  • WAF (Web Application Firewall)
  • E-mail security Advanced
  • Monitorização contínua para detetar atividades suspeitas
  • Backup e recuperação de desastres para proteger os dados
  • Autenticação multifator para um nível adicional de segurança

Cada serviço desempenha um papel fundamental na construção de um ambiente de TI seguro e protegido.

Com a Leviahub, pode enfrentar o mundo digital com confiança e tranquilidade, sabendo que tem um parceiro de confiança ao seu lado. Confie em nós e cumpra imediatamente todos os requisitos da NIS2 para evitar sanções e riscos cibernéticos!


Você também pode se interessar por

Obtenha a sua demonstração gratuita

Leviahub Spa

Sede social: Foro Buonaparte, 71 - 20121 Milão (MI)

Sede operacional e administrativa: Via Adige, 10, Spresiano (TV)

Tel. +39 02 611133 | info@leviahub.com

Capital social Euro 5.000.000,00i.v.

P.I. e C.F. 01233220324 | REA MI-2503338

SDI: 1YY4LRX

Privacy policy

Cookies policy