Diretiva NIS2 — O Que os EPDs Precisam de Saber

A NIS2 aplica-se a duas categorias de entidades: entidades essenciais e entidades importantes. As entidades essenciais incluem setores como energia, transportes, banca, infraestruturas de mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC e administração pública. As entidades importantes cobrem setores como serviços postais, gestão de resíduos, fabrico, produção alimentar, produtos químicos e prestadores digitais. Os limiares de dimensão são diretos: organizações com mais de 50 colaboradores ou mais de 10 milhões de EUR de volume de negócios anual nestes setores estão automaticamente abrangidas. No entanto, certas entidades estão abrangidas independentemente da dimensão — como prestadores de serviços DNS, registos de TLD e prestadores de redes de comunicações eletrónicas públicas. Para EPDs, isto significa que muitos dos seus clientes existentes podem agora ter obrigações NIS2 para além dos seus requisitos RGPD. Identificar proativamente quais clientes estão abrangidos pela NIS2 posiciona-o como um consultor estratégico valioso, não apenas um responsável por verificações de conformidade.

A NIS2 exige que as organizações abrangidas implementem um conjunto abrangente de medidas de gestão de riscos de cibersegurança. Estas incluem: políticas de análise de riscos e segurança dos sistemas de informação, procedimentos de gestão de incidentes, continuidade de negócio e gestão de crises, segurança da cadeia de fornecimento, segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, políticas de avaliação da eficácia das medidas de cibersegurança, práticas básicas de ciberhigiene e formação, políticas relativas a criptografia, segurança de recursos humanos, controlo de acesso e gestão de ativos. As organizações devem também reportar incidentes significativos à autoridade nacional no prazo de 24 horas para um alerta precoce, 72 horas para uma notificação completa e um mês para um relatório final. Esta obrigação de reporte em três níveis é mais rigorosa do que a notificação de violação de 72 horas do RGPD e exige procedimentos de resposta a incidentes bem preparados. A sobreposição entre as medidas de segurança NIS2 e o Artigo 32 do RGPD (segurança do tratamento) é substancial. EPDs que já aconselham clientes sobre medidas técnicas e organizativas ao abrigo do RGPD estão bem posicionados para estender este aconselhamento à conformidade NIS2.

A alteração mais significativa que a NIS2 introduz é a responsabilidade pessoal da administração. O Artigo 20 exige que os órgãos de gestão aprovem e supervisionem a implementação das medidas de cibersegurança. Devem também receber formação em cibersegurança. Importantemente, os órgãos de gestão podem ser pessoalmente responsabilizados por infrações. As coimas ao abrigo da NIS2 são substanciais: até 10 milhões de EUR ou 2% do volume de negócios global anual para entidades essenciais, e até 7 milhões de EUR ou 1,4% do volume de negócios global para entidades importantes. Estas acrescem-se às — não substituem as — coimas do RGPD. Este aspeto de responsabilidade pessoal é o que gera urgência junto da administração. Como EPD, pode usar isto para garantir orçamento e atenção para projetos de conformidade que de outra forma seriam despriorizados. Membros da administração que anteriormente viam o RGPD como um centro de custo ficam subitamente muito interessados em conformidade quando os seus ativos pessoais estão em jogo.

Como EPD externo, já tem conhecimento profundo do panorama de tratamento de dados dos seus clientes, medidas de segurança e estrutura organizacional. Isto torna-o o consultor natural para a conformidade NIS2 — não precisa de começar do zero. Comece por mapear a sobreposição entre os requisitos RGPD e NIS2. Muitas das medidas técnicas e organizativas que os seus clientes já têm para o RGPD (encriptação, controlos de acesso, procedimentos de resposta a incidentes) satisfazem diretamente os requisitos NIS2. Documente esta sobreposição para mostrar aos clientes que não estão a começar do zero. Ofereça avaliações de preparação NIS2 como serviço complementar. Uma lista de verificação estruturada que cobre todas as obrigações NIS2, mapeada contra o que o cliente já tem implementado, proporciona valor imediato e posiciona-o para monitorização contínua de conformidade. Utilize uma ferramenta que suporte tanto RGPD como NIS2 num painel unificado. Manter sistemas separados para conformidade RGPD e preparação NIS2 duplica a sua carga de trabalho e torna mais difícil identificar sinergias. O Trustee.eu combina ambos numa só vista, para que possa aconselhar de forma holística.