Como impactamos
act PROSPERI.AI
A inteligência artificial corporativa act digital
Soluções
Serviços
parcerias
Nos últimos anos, a União Europeia (UE) tem reforçado significativamente suas regulamentações voltadas para a segurança da informação, buscando proteger dados e assegurar a resiliência digital das organizações. As mais recentes e importantes regulamentações que passam a compor esse conjunto são a NIS 2 e DORA.
A Diretiva sobre a Segurança das Redes e da Informação 2 (NIS 2), que entrará em vigor em outubro de 2024, amplia a cobertura da NIS original, exigindo que setores críticos – como saúde, energia, transporte, finanças, e infraestrutura digital – implementem medidas robustas de segurança cibernética. A NIS2 visa mitigar os riscos de ciberataques e aumentar a cooperação entre os estados-membros da UE. Os principais aspetos da NIS 2 incluem a exigência de gestão de riscos de Tecnologia da Informação e Comunicação (TIC), notificações obrigatórias de incidentes, e a implementação de medidas preventivas para proteger as redes e sistemas de informação.
O Digital Operational Resilience Act (DORA) está previsto entrar em vigor em janeiro de 2025, concentrando-se especificamente no setor financeiro. O DORA estabelece requisitos rigorosos para a gestão de riscos de TIC, abrangendo bancos, seguradoras, empresas de investimento, provedores de serviços de pagamento e outras instituições financeiras. O DORA exige que essas instituições implementem medidas para garantir a resiliência operacional, realizem testes periódicos de resiliência, notifiquem incidentes de TIC e mantenham planos de continuidade de negócio robustos.
A tabela abaixo resume os principais pontos de contraste entre a NIS 2 e o DORA:
| NIS 2 | DORA | |
| Data de criação | 14 de dezembro de 2022 | 16 de janeiro de 2023 |
| Data de entrada em vigor | 17 de outubro de 2024 | 17 de janeiro de 2025 |
| Setores críticos abrangidos | Energia Transporte Saúde Banca Finanças Infraestruturas digitais Água potável Águas residuais Infraestruturas de TIC Administração Pública Espaço | Bancos Seguradoras Empresas de investimento Provedores de serviços de pagamento Empresas de tecnologia financeira (Fintechs) Infraestruturas de mercado financeiro |
| Objetivos principais | Melhorar a segurança cibernética em setores críticos para mitigar riscos de ciberataques; Estabelecer uma base comum de medidas de segurança cibernética para os estados-membros da UE; Aumentar a cooperação e o compartilhamento de informações entre os estados-membros. | Garantir que as instituições financeiras possam resistir, responder e se recuperar de ciberataques e outras interrupções operacionais; Estabelecer requisitos rigorosos para a gestão de riscos de TIC; Implementar testes periódicos de resiliência operacional; Assegurar a continuidade dos negócios e a resiliência dos sistemas financeiros da UE. |
| Sanções em caso de incumprimento | As sanções variam de acordo com a legislação nacional dos estados-membros. Podem incluir:Multas significativas e outras penalidades financeiras (a coima máxima para entidades essenciais é de 10 milhões de euros); Possibilidade de sanções administrativas, como ordens de conformidade e auditorias obrigatórias. | As sanções variam e podem incluir:Multas significativas e outras penalidades financeiras específicas para o setor financeiro; Possibilidade de sanções administrativas, incluindo ordens de conformidade e auditorias obrigatórias; Riscos de medidas regulatórias adicionais, como restrições operacionais. |
| Outras datas relevantes | 17/01/2025: o Grupo de Cooperação NIS deverá estabelecer uma metodologia de revisão por pares. 17/04/2025: os Estados-Membros deverão elaborar uma lista de entidades essenciais e importantes até esta data. 17/10/2025: a Comissão Europeia fará uma análise e revisão do funcionamento da Diretiva NIS 2. | Prazo para que as instituições cumpram com os requisitos específicos: até 18 meses após a entrada em vigor. |
A não adequação a estas regulamentações traz riscos significativos para as instituições. As empresas podem enfrentar multas substanciais e sanções legais, implicando a perda de confiança dos clientes e o enfraquecimento do negócio.
Adicionalmente, a exposição a ciberataques pode resultar em violações de dados sensíveis, perdas financeiras, e danos irreparáveis à reputação da empresa.
Os regulamentos de segurança da informação NIS 2 e DORA têm por objetivo melhorar a resiliência global das empresas que trabalham em setores sensíveis, de forma que possam preparar-se a si próprias e aos seus funcionários para evitar ou gerir riscos de cibersegurança, tais como:
Além da NIS 2 e DORA, outras regulamentações europeias em andamento desempenham um papel crucial na segurança da informação, nomeadamente:
Dada a complexidade e a abrangência dessas regulamentações, é altamente recomendável que as empresas busquem o suporte de consultorias especializadas que podem fornecer a expertise necessária para garantir conformidade, ajudar na implementação de melhores práticas e na preparação das empresas para auditorias e possíveis incidentes.
Além disso, as consultorias – como a da act digital – oferecem suporte contínuo, ajudando as empresas a se adaptarem às mudanças regulamentares e a manterem-se focadas em suas atividades principais, enquanto permanecem seguras e em conformidade com a legislação vigente.
Em resumo, a conformidade com as regulamentações de segurança da informação na Europa não é apenas uma exigência legal, mas uma prática essencial para proteger os negócios e manter a confiança no mercado digital.
Nos últimos anos, a União Europeia (UE) tem reforçado significativamente suas regulamentações voltadas para a segurança da informação, buscando proteger dados e assegurar a resiliência digital das organizações. As mais recentes e importantes regulamentações que passam a compor esse conjunto são a NIS 2 e DORA.
A Diretiva sobre a Segurança das Redes e da Informação 2 (NIS 2), que entrará em vigor em outubro de 2024, amplia a cobertura da NIS original, exigindo que setores críticos – como saúde, energia, transporte, finanças, e infraestrutura digital – implementem medidas robustas de segurança cibernética. A NIS2 visa mitigar os riscos de ciberataques e aumentar a cooperação entre os estados-membros da UE. Os principais aspetos da NIS 2 incluem a exigência de gestão de riscos de Tecnologia da Informação e Comunicação (TIC), notificações obrigatórias de incidentes, e a implementação de medidas preventivas para proteger as redes e sistemas de informação.
O Digital Operational Resilience Act (DORA) está previsto entrar em vigor em janeiro de 2025, concentrando-se especificamente no setor financeiro. O DORA estabelece requisitos rigorosos para a gestão de riscos de TIC, abrangendo bancos, seguradoras, empresas de investimento, provedores de serviços de pagamento e outras instituições financeiras. O DORA exige que essas instituições implementem medidas para garantir a resiliência operacional, realizem testes periódicos de resiliência, notifiquem incidentes de TIC e mantenham planos de continuidade de negócio robustos.
A tabela abaixo resume os principais pontos de contraste entre a NIS 2 e o DORA:
| NIS 2 | DORA | |
| Data de criação | 14 de dezembro de 2022 | 16 de janeiro de 2023 |
| Data de entrada em vigor | 17 de outubro de 2024 | 17 de janeiro de 2025 |
| Setores críticos abrangidos | Energia Transporte Saúde Banca Finanças Infraestruturas digitais Água potável Águas residuais Infraestruturas de TIC Administração Pública Espaço | Bancos Seguradoras Empresas de investimento Provedores de serviços de pagamento Empresas de tecnologia financeira (Fintechs) Infraestruturas de mercado financeiro |
| Objetivos principais | Melhorar a segurança cibernética em setores críticos para mitigar riscos de ciberataques; Estabelecer uma base comum de medidas de segurança cibernética para os estados-membros da UE; Aumentar a cooperação e o compartilhamento de informações entre os estados-membros. | Garantir que as instituições financeiras possam resistir, responder e se recuperar de ciberataques e outras interrupções operacionais; Estabelecer requisitos rigorosos para a gestão de riscos de TIC; Implementar testes periódicos de resiliência operacional; Assegurar a continuidade dos negócios e a resiliência dos sistemas financeiros da UE. |
| Sanções em caso de incumprimento | As sanções variam de acordo com a legislação nacional dos estados-membros. Podem incluir:Multas significativas e outras penalidades financeiras (a coima máxima para entidades essenciais é de 10 milhões de euros); Possibilidade de sanções administrativas, como ordens de conformidade e auditorias obrigatórias. | As sanções variam e podem incluir:Multas significativas e outras penalidades financeiras específicas para o setor financeiro; Possibilidade de sanções administrativas, incluindo ordens de conformidade e auditorias obrigatórias; Riscos de medidas regulatórias adicionais, como restrições operacionais. |
| Outras datas relevantes | 17/01/2025: o Grupo de Cooperação NIS deverá estabelecer uma metodologia de revisão por pares. 17/04/2025: os Estados-Membros deverão elaborar uma lista de entidades essenciais e importantes até esta data. 17/10/2025: a Comissão Europeia fará uma análise e revisão do funcionamento da Diretiva NIS 2. | Prazo para que as instituições cumpram com os requisitos específicos: até 18 meses após a entrada em vigor. |
A não adequação a estas regulamentações traz riscos significativos para as instituições. As empresas podem enfrentar multas substanciais e sanções legais, implicando a perda de confiança dos clientes e o enfraquecimento do negócio.
Adicionalmente, a exposição a ciberataques pode resultar em violações de dados sensíveis, perdas financeiras, e danos irreparáveis à reputação da empresa.
Os regulamentos de segurança da informação NIS 2 e DORA têm por objetivo melhorar a resiliência global das empresas que trabalham em setores sensíveis, de forma que possam preparar-se a si próprias e aos seus funcionários para evitar ou gerir riscos de cibersegurança, tais como:
Além da NIS 2 e DORA, outras regulamentações europeias em andamento desempenham um papel crucial na segurança da informação, nomeadamente:
Dada a complexidade e a abrangência dessas regulamentações, é altamente recomendável que as empresas busquem o suporte de consultorias especializadas que podem fornecer a expertise necessária para garantir conformidade, ajudar na implementação de melhores práticas e na preparação das empresas para auditorias e possíveis incidentes.
Além disso, as consultorias – como a da act digital – oferecem suporte contínuo, ajudando as empresas a se adaptarem às mudanças regulamentares e a manterem-se focadas em suas atividades principais, enquanto permanecem seguras e em conformidade com a legislação vigente.
Em resumo, a conformidade com as regulamentações de segurança da informação na Europa não é apenas uma exigência legal, mas uma prática essencial para proteger os negócios e manter a confiança no mercado digital.
