Adotada em novembro de 2022, a Diretiva NIS 2 representa um avanço significativo na cibersegurança a nível europeu. O seu objetivo é simples, embora ambicioso: reforçar as medidas de cibersegurança para todos os Estados-Membros, estabelecendo um conjunto comum de normas de segurança para mitigar o risco de ciberataques.

O desejo de melhorar e padronizar o nível geral de cibersegurança na UE não é novo. Com efeito, desde 2015, a Comissão Europeia tem vindo a transformar o mercado económico único num mercado digital único. Isto inclui a criação de um ambiente propício ao desenvolvimento de redes e serviços digitais seguros.

Por detrás desta Diretiva estão, implicitamente, organizações públicas e privadas preocupadas com as repercussões económicas e organizacionais decorrentes do reforço das medidas de segurança. Para melhor compreender as expectativas e os desafios desta Diretiva, sem entrar em pânico, efetuámos uma análise jurídica dos seus pontos-chave para que as organizações possam preparar-se com antecedência para os prazos definidos.

1. Diretiva europeia: de que se trata?

Uma diretiva e um regulamento são dois tipos de legislação da UE. Diferem na sua natureza, aplicação e grau de flexibilidade concedido aos Estados-Membros para a sua implementação.

Um regulamento europeu é um ato legislativo diretamente aplicável de forma uniforme e obrigatória em todos os Estados-Membros após a sua entrada em vigor. Não exige a aplicação de legislação nacional adicional. Os regulamentos são frequentemente utilizados para harmonizar leis e regras, assegurando assim um quadro jurídico coerente em diferentes domínios. É o caso do Regulamento Geral sobre a Proteção de Dados (RGPD), que regula o tratamento de dados pessoais na UE.

Por outro lado, uma diretiva europeia é um ato legislativo que estabelece um objetivo ou um resultado a alcançar pelos Estados-Membros. Ao contrário de um regulamento, uma diretiva não é diretamente aplicável na UE. Isto significa que os Estados-Membros devem adotar a sua própria legislação nacional para implementar os objetivos estabelecidos na Diretiva no seu próprio sistema jurídico. Este mecanismo é designado por transposição. Trata-se de um elemento crucial do processo legislativo europeu, uma vez que tem por objetivo assegurar a harmonização e a coerência da regulamentação na UE.

Os Estados-Membros têm, geralmente, algum poder discricionário quanto à forma de atingir estes objetivos, desde que cumpram os requisitos da Diretiva. Pode envolver a adoção de novas leis, atos legislativos nacionais adicionais, ou a alteração de leis existentes para cumprir as disposições do texto. É importante notar que os Estados-Membros são obrigados a transpor a legislação num determinado prazo. O incumprimento desta obrigação pode dar origem a sanções ou a ações judiciais contra o Estado-Membro em causa.

Assim, dependendo da localização de cada empresa, esta terá de aplicar a lei de transposição do país em que exerce as suas atividades. É possível que certas medidas possam diferir ou ser reforçadas de um Estado-Membro para outro.

2. Sou afetado pela Diretiva?

É necessário considerar quatro cenários:

1. O setor ou subsetor de atividade da empresa é explicitamente mencionado nos anexos 1 e 2 da Diretiva e preenche os critérios de dimensão. Neste caso, a empresa em causa será afetada pela Diretiva NIS 2, podendo desde já avaliar o seu nível de segurança interna e efetuar uma primeira análise das lacunas em relação às obrigações decorrentes do texto europeu.
2. O setor ou subsetor de atividade da empresa figura nos anexos de forma não explícita, ou em categorias múltiplas, ou em categorias sujeitas a interpretação. Se for este o caso, é preferível aguardar a lei nacional que irá dissipar todas as dúvidas, uma vez que esta clarificará o âmbito de aplicação através da lei de transposição.
3. O setor ou subsetor de atividade da empresa não consta dos anexos e não preenche os critérios de dimensão ou de importância crítica. A empresa ainda pode estar abrangida pelas exceções. Por conseguinte, terá de aguardar os trabalhos sobre a lei de transposição.
4. O setor ou subsetor de atividade da empresa consta dos anexos 1 e 2 da Diretiva, mas a organização ainda poderá estar isenta da aplicação da Diretiva se exercer atividades relacionadas com a defesa e a segurança nacional.

3. Obrigações jurídicas e de segurança

A Diretiva enumera várias obrigações a implementar, que serão desenvolvidas durante a transposição. Algumas das obrigações relacionadas com a segurança dos sistemas de informação podem ser consultadas.

A título de exemplo, é feita uma chamada de atenção para o alojamento de sistemas de informação na cloud. Embora a utilização desta tecnologia não seja proibida pela Diretiva, as empresas terão de garantir que as informações aí armazenadas estão protegidas e seguras. Será necessário ponderar se será possível conservar todos os dados, independentemente do seu nível de sensibilidade, recorrendo à encriptação, ou se tal será proibido. Coloca-se também a questão da seleção dos fornecedores de serviços de cloud. É provável que seja necessário efetuar uma análise de risco e uma avaliação de impacto para classificar, rastrear o fluxo de dados e atribuir responsabilidades em caso de incidente de segurança e/ou violação de dados pessoais.

Além das obrigações de segurança, será necessário registar e declarar certas informações exigidas pela Diretiva NIS 2 à autoridade competente, como o Centro Nacional de Cibersegurança em Portugal.

4. Que autoridade devo contactar?

No contexto da conformidade, os centros nacionais de coordenação da cibersegurança assegurarão o apoio às organizações na aplicação de medidas de segurança e prestarão esclarecimentos sobre a regulamentação. Estas autoridades serão responsáveis pelo controlo e sanção das organizações. Para mais informações, consultar: Centros Nacionais de Coordenação de Cibersegurança.

As empresas podem também recorrer à act digital para implementar uma dupla ação: proteger os seus sistemas de informação e proteger os dados pessoais tratados pela organização.

5. A Diretiva NIS 2 é compatível com outras regulamentações?

Um dos pontos sensíveis da transposição é a articulação das medidas de cibersegurança. O objetivo dos centros nacionais de coordenação da cibersegurança será uniformizar as normas para evitar o aumento da complexidade, promover a coerência dos textos e evitar o empilhamento de normas. Em França, por exemplo, a ANSSI trabalha com a CNIL para evitar criar uma complexidade regulamentar adicional em relação ao RGPD e permitir a coexistência de ambas as legislações.

Além disso, a Diretiva não menciona explicitamente o papel dos responsáveis pela proteção de dados (Data Protection Officers – DPO). No entanto, será necessário considerar que estas funções exigem a cooperação entre o DPO e o CISO (Chief Information Security Officer) nas organizações para otimizar e conjugar as respetivas competências.

6. Quais são os custos financeiros para as organizações?

Os recursos alocados à aplicação de medidas de segurança ao abrigo da Diretiva NIS 2 podem ser dispendiosos. No entanto, dependerão do atual nível de maturidade da organização em matéria de cibersegurança. De momento, não está previsto que os centros nacionais de coordenação da cibersegurança prestem assistência financeira a este respeito, mas oferecerão ferramentas, guias e recomendações para reduzir os custos financeiros envolvidos.

No entanto, é importante ter em conta que o texto destaca uma noção fundamental: a proporcionalidade. Assim, os requisitos variam em função da dimensão, da criticidade e do setor de atividade das organizações. Em caso de inspeção, cada empresa de demonstrar que implementou os meios necessários e suficientes para justificar a segurança dos seus sistemas de informação.