NIS2 representa “um passo significativo para a melhoria do ecossistema de cibersegurança da UE”, diz a ENISA

Em entrevista à IT Security, a Agência Europeia para a Segurança das Redes e da Informação (ENISA), organismo da União Europeia (UE), explica de que forma o seu papel será reforçado no âmbito da Diretiva NIS2 – que deverá ser transposta pelos países-membros até 17 de outubro de 2024 – e aborda as principais diferenças que o novo quadro regulamentar europeu traz em comparação à sua antecessora, a NIS.

“Globalmente, a NIS2 introduz uma série de novas tarefas para os Estados-Membros e para a ENISA e alarga o seu âmbito a muitos novos setores e aumenta consideravelmente o número de entidades abrangidas pela diretiva”, começou por contextualizar a ENISA, referindo que a Diretiva NIS2 representa “um passo significativo para a melhoria do ecossistema de cibersegurança da UE e um importante instrumento político para aumentar a resiliência nos setores críticos da UE”.

Como a NIS2 mudará o panorama de cibersegurança europeia

Além de reforçar a abordagem adotada na NIS, a nova diretiva de cibersegurança europeia “consolida ainda mais os requisitos de segurança fora da NIS1 e visa aumentar a harmonização entre os Estados-Membros, tanto no que diz respeito às obrigações de segurança como de comunicação”, frisa a ENISA, que acrescenta também que a NIS2 consolida “outros atos legislativos em matéria de cibersegurança num único quadro jurídico”.

Para a agência europeia, uma “diferença fundamental entre a NIS1 e a NIS2” prende-se com o facto de que a diretiva atualizada “alarga o âmbito, acrescentando setores adicionais, como o setor espacial e as administrações públicas”. Neste sentido, explana a ENISA, a Diretiva NIS2 “acrescenta novos setores, mas também aumenta o número de empresas abrangidas pelos setores, utilizando a regra do limite máximo de dimensão”, sendo que, “nos grandes países, a NIS2 aplicar-se-á a milhares de entidades”.

A nova regulação europeia permitirá também responsabilizar a gestão de topo das empresas “pela aprovação das medidas de gestão dos riscos de cibersegurança adotadas”, passando a estar encarregue de “supervisionar a sua implementação”. Desta forma, a liderança executiva de uma organização deverá assegurar a conformidade com as normas regulatórias, podendo “ser responsabilizada caso não tome as medidas de segurança adequadas”.

Além disto, a NIS2 “formaliza a rede CyCLONe da UE para a gestão de crises cibernéticas e exige que os Estados-Membros da UE desenvolvam quadros abrangentes para a gestão de crises cibernéticas”, revela a ENISA, deixando claro que “a rede EU-CyCLONe e os quadros nacionais relevantes pretendem melhorar a gestão da preparação para incidentes e crises de grande escala e desenvolver mecanismos para uma consciência situacional partilhada”.

O papel da ENISA no âmbito da NIS2

Com a entrada da NIS2 em vigor, o papel da ENISA será alargado e, em geral, “consiste em apoiar os Estados-Membros e a Comissão na implementação da NIS2”. A título de exemplo, a ENISA refere que “a Agência apoia a Comissão, prestando-lhe aconselhamento técnico sobre as regras de execução da NIS2 para medidas de segurança e comunicação de incidentes para as entidades da infraestrutura digital da NIS2”.

“A ENISA também apoiou a entrega de uma orientação para os Estados-Membros da UE sobre como implementar uma política nacional de divulgação de vulnerabilidades, para permitir a investigação responsável de vulnerabilidades, também conhecida como hacking ético”, acrescenta a agência de cibersegurança.

A ENISA desempenhará também novas tarefas específicas de cibersegurança ao abrigo da diretiva em questão, nomeadamente a manutenção de “uma base de dados de vulnerabilidades da UE, fornecendo um repositório único da UE e uma autoridade de numeração para informações públicas sobre vulnerabilidades”.

O organismo europeu estará ainda encarregue de desenvolver “um registo da UE para entidades de infraestruturas digitais, para permitir a supervisão transfronteiriça”, bem como de fornecer o secretariado da Cyclone. A par disto, a ENISA deverá apresentar, de dois em dois anos, “um relatório sobre a cibersegurança da UE no seu conjunto, com base num índice de cibersegurança para os Estados-Membros da UE”, indica.