Centro Nacional de Cibersegurança: “A NIS2 traz mais transparência e clareza” (com vídeo)

A 3ª edição da IT Security Conference recebeu Rui Pereira, Consultor do Centro Nacional de Cibersegurança (CNCS), que apresentou o tema “Desmistificar a Diretiva NIS2: respostas a (algumas) questões frequentes”. Durante a sua intervenção, abordou os impactos da nova diretiva NIS2 que, embora ainda não tenha sido transposta para o ordenamento jurídico português, tem como finalidade reforçar a cibersegurança tanto em Portugal como no espaço europeu.

Rui Pereira enfatizou que “a diretiva é complexa” e que, por isso, as empresas precisam de preparar-se adequadamente para a sua implementação. Essa complexidade não se limita às obrigações de conformidade, mas envolve também a necessidade de uma análise profunda das vulnerabilidades que cada organização enfrenta.

Transparência e objetividade no âmbito da nova diretiva

A NIS2 surge como uma evolução da diretiva anterior implementada em 2016 e marca uma alteração significativa na abordagem à cibersegurança na Europa. “NIS significa Network and Information Systems, mas não se enganem”, alertou Rui Pereira: “estamos a falar de uma diretiva de cibersegurança”. A diferença entre a NIS original e a NIS2 não é apenas superficial, representa uma alteração profunda na arquitetura de cibersegurança europeia, evidenciando a crescente preocupação com a proteção de infraestruturas críticas.

Uma das questões mais críticas abordadas foi a abrangência da NIS2. Rui Pereira enfatizou que “esta diretiva vai trazer mais transparência e clareza à questão do âmbito de aplicação”. O novo critério de aplicação é mais objetivo, permitindo que as empresas compreendam facilmente se estão sujeitas à diretiva. O Consultor do CNCS ressalta ainda que, com algumas exceções, micro e pequenas empresas não estão incluídas no âmbito de aplicação. “A grande mensagem é que, com algumas exceções, as micro e pequenas empresas estão fora do âmbito da aplicação da NIS2” afirmou Rui Pereira.

Entidades essenciais e importantes sob novas obrigações

Com a NIS2, as entidades são agora classificadas como “entidades essenciais” e “entidades importantes”, em vez de “operadores de serviços essenciais”. Rui Pereira explicou que as obrigações são, em grande parte, semelhantes entre essas categorias. “Não existe diferença nas notificações” entre as duas categorias, mas ressaltou que “a diretiva não vem propriamente reforçar as notificações, já que o regime atual português é mais exigente”. Em Portugal, o prazo para notificação inicial é de apenas 2 horas, o que demonstra a robustez da legislação nacional.

As empresas abrangidas pela NIS2 devem implementar medidas de cibersegurança que considerem uma análise de riscos. Rui Pereira esclareceu que “as medidas têm de ser adaptadas, tendo em conta todos os riscos, e devem ser proporcionais ao grau de risco identificado”. O artigo 21 da diretiva apresenta uma lista de medidas mínimas a serem aplicadas, oferecendo mais clareza e harmonização a nível europeu. O Consultor do CNCS observou que, “apesar de haver mais detalhe e transparência, a ideia é facilitar ao máximo a realização da análise de risco”, o que é crucial para as empresas se prepararem adequadamente. Por isso, é fundamental que as empresas compreendam as suas obrigações e a importância de realizar análises de risco adequadas, de acordo com as orientações da NIS2.

A importância da cadeia de abastecimento na nova realidade

Outro ponto central abordado por Rui Pereira foi a relação com a cadeia de abastecimento. Embora micro e pequenas empresas não estejam diretamente cobertas pela NIS2, as entidades essenciais e importantes têm a responsabilidade de garantir a cibersegurança entre os seus fornecedores. “As entidades essenciais e importantes vão ter que garantir que existe algum tipo de medidas de cibersegurança previstas”, disse Rui Pereira. Isso significa que, mesmo que não estejam diretamente regulamentadas, as micro e pequenas empresas devem adotar algumas práticas de segurança, especialmente se estão dentro de cadeias de fornecimento que envolvem entidades essenciais. Assim, o sucesso da NIS2 depende da responsabilização coletiva e da partilha de informações, que são fundamentais para enfrentar as ciberameaças que estão em constante evolução.

Rui Pereira também mencionou que “os prazos de conformidade vão ser definidos no diploma legal da transposição nacional” e destacou que poucos Estados-Membros devem conseguir cumprir o prazo de 17 de outubro – prazo de transposição da diretiva para a ordem jurídica dos Estados-membros. Para Portugal, a expectativa é que o CNCS estabeleça um procedimento de registo de entidades até 17 de janeiro de 2025: “Há todo um procedimento de registo e notificação que o CNCS vai ter de fazer com as entidades e só aí é que vamos realmente começar a falar de conformidade”. Essa abordagem prática ajudará a preparar as empresas para as novas exigências e a garantir que todos os intervenientes estejam alinhados com as diretrizes estabelecidas.

A diretiva é um passo importante, mas deve ser complementada por outras iniciativas que visam fortalecer a segurança digital no espaço europeu, tendo, Rui Pereira, mencionado como exemplos o Cyber Resilience Act e o Cyber Solidarity Act. O Consultor do CNCS sublinhou a importância da integração da NIS2 numa abordagem mais holística à cibersegurança. Ressaltou que a NIS2 não deve ser interpretada isoladamente, uma vez que faz parte de uma estratégia mais ampla de política e soberania digital na Europa, destacando que “não é a única árvore na floresta”.