A Diretiva NIS2 (Network and Information Security Directive 2) é uma legislação europeia que estabelece um quadro comum para reforçar a cibersegurança e a resiliência das infraestruras digitais e dos serviços essenciais na União Europeia. A nova diretiva substitui a anterior Diretiva NIS (2016/1148) e foi adotada para responder ao aumento das ameaças cibernéticas e à crescente dependência das organizações de sistemas digitais e redes informáticas.

Aplica-se a um conjunto alargado de organizações consideradas críticas ou importantes para o funcionamento da economia e da sociedade. A legislação não se baseia apenas no setor de atividade, mas também na dimensão da organização e na importância dos serviços prestados.

De forma geral, estão obrigadas a cumprir a NIS2 as entidades essenciais e as entidades importantes.

1. Entidades Essenciais

São organizações que prestam serviços críticos e cuja interrupção teria impacto significativo na sociedade ou na economia.

Incluem principalmente organizações dos seguintes setores:

• Energia (eletricidade, petróleo, gás)

• Transportes (aéreo, ferroviário, marítimo e rodoviário)

• Saúde (hospitais, clínicas, laboratórios)

• Água potável

• Águas residuais

• Infraestruturas digitais
  (data centers, IXPs, DNS, cloud)

• Administração pública

• Banca

• Mercados financeiros

2. Entidades Importantes

A NIS2 inclui também empresas de outros setores estratégicos que podem ter impacto relevante em cadeias de abastecimento ou serviços digitais.

Exemplos:

• Serviços digitais

• Serviços postais e de courier

• Gestão de resíduos

• Produção e distribuição alimentar

• Fabrico de equipamentos críticos

• Fabricantes de produtos eletrónicos

• Fabricantes de dispositivos médicos

• Indústria química

• Investigação científica

3. Critério de dimensão da empresa

Em regra, a diretiva aplica-se a:

• Médias empresas

• Grandes empresas

Normalmente consideradas como:

• Mais de 50 colaboradores
  ou

• Volume de negócios superior a 10 milhões de euros

No entanto, empresas mais pequenas podem ser incluídas se prestarem serviços críticos.

4. Prestadores de serviços digitais

Alguns prestadores de serviços digitais estão explicitamente abrangidos, como:

• Cloud providers

• Data centers

• Plataformas online

• DNS providers

• Managed service providers (MSP)

• Managed security service providers (MSSP)

5. Cadeia de fornecimento

A NIS2 também introduz obrigações relacionadas com a segurança da cadeia de fornecimento. Isto significa que empresas que fornecem serviços ou tecnologia a entidades essenciais podem ser indiretamente afetadas por requisitos de segurança impostos pelos seus clientes.

6. Organizações públicas

A diretiva aplica-se também a organismos da administração pública, especialmente aqueles responsáveis por serviços digitais ou infraestruturas críticas.

7. Responsabilidade da gestão

A gestão de topo das organizações abrangidas passa a ter responsabilidade direta pela implementação de medidas de cibersegurança, incluindo aprovação de políticas e supervisão de programas de segurança.

8. Obrigações principais

As entidades abrangidas devem:

• Implementar gestão de risco em cibersegurança

• Proteger sistemas e redes

• Garantir continuidade de negócio

• Monitorizar incidentes

• Reportar incidentes graves às autoridades

• Garantir segurança na cadeia de fornecimento

9. Supervisão e auditorias

As autoridades nacionais podem realizar:

• auditorias

• inspeções

• pedidos de informação

• avaliações de segurança

para verificar a conformidade com a diretiva.

10. Sanções

Em caso de incumprimento, a NIS2 prevê sanções administrativas significativas, incluindo multas que podem atingir vários milhões de euros ou uma percentagem do volume de negócios anual.