0
0
O Conselho Europeu adotou legislação para um elevado nível comum de cibersegurança em toda a União, a fim de melhorar ainda mais a resiliência e as capacidades de resposta a incidentes dos setores público e privado e da UE como um todo. A nova diretiva, denominada “ NIS2 “, substituirá a atual diretiva sobre segurança de redes e sistemas de informação (a diretiva NIS ).
“Não há dúvida de que a segurança cibernética continuará sendo um desafio fundamental para os próximos anos. As apostas para nossas economias e nossos cidadãos são enormes. Hoje, demos mais um passo para melhorar nossa capacidade de combater essa ameaça”, disse Ivan Bartoš, vice-primeiro-ministro tcheco para Digitalização e ministro do Desenvolvimento Regional.
Gerenciamento e cooperação mais fortes de riscos e incidentes
O NIS2 definirá a linha de base para medidas de gerenciamento de riscos de segurança cibernética e obrigações de relatórios em todos os setores cobertos pela diretiva, como energia, transporte, saúde e infraestrutura digital.
A diretiva revisada visa harmonizar os requisitos de segurança cibernética e a implementação de medidas de segurança cibernética em diferentes estados membros. Para isso, estabelece regras mínimas para um quadro regulamentar e estabelece mecanismos para uma cooperação eficaz entre as autoridades relevantes em cada estado membro. Ele atualiza a lista de setores e atividades sujeitos a obrigações de segurança cibernética e prevê recursos e sanções para garantir a aplicação.
A diretiva estabelecerá formalmente a Rede Europeia de Organizações de Ligação para Crises Cibernéticas, EU-CyCLONe, que apoiará a gestão coordenada de incidentes e crises de segurança cibernética em grande escala.
Ampliação do escopo das regras
Enquanto sob a antiga diretiva NIS os estados membros eram responsáveis por determinar quais entidades atenderiam aos critérios para se qualificar como operadoras de serviços essenciais, a nova diretiva NIS2 introduz uma regra de limite de tamanho como regra geral para identificação de entidades reguladas. Isto significa que todas as médias e grandes entidades que operam nos setores ou prestam serviços abrangidos pela diretiva serão abrangidos pelo seu âmbito de aplicação.
Embora a diretiva revista mantenha esta regra geral, o seu texto inclui disposições adicionais para assegurar a proporcionalidade, um nível mais elevado de gestão do risco e critérios de criticidade claros para permitir que as autoridades nacionais determinem outras entidades abrangidas.
O texto também esclarece que a diretiva não se aplica a entidades que exerçam atividades em áreas como defesa ou segurança nacional, segurança pública e aplicação da lei. Judiciário, parlamentos e bancos centrais também estão excluídos do escopo.
A NIS2 também se aplicará às administrações públicas a nível central e regional. Além disso, os Estados-Membros podem decidir que se aplica a essas entidades também a nível local.
Outras alterações introduzidas pela nova lei
Além disso, a nova diretiva foi alinhada com a legislação específica do setor, em particular o regulamento sobre resiliência operacional digital para o setor financeiro (DORA) e a diretiva sobre resiliência de entidades críticas (CER), para proporcionar clareza jurídica e garantir a coerência entre NIS2 e estes atos.
Um mecanismo voluntário de aprendizagem entre pares aumentará a confiança mútua e a aprendizagem com as boas práticas e experiências na União, contribuindo assim para alcançar um elevado nível comum de cibersegurança.
A nova legislação também agiliza as obrigações de reporte, de forma a evitar a sobredeclaração e a criar um ónus excessivo para as entidades abrangidas.
Próximos passos
A adoção pelo Conselho da UE ocorre algumas semanas depois que o Parlamento Europeu aprovou a nova legislação.
A diretiva NIS2 será publicada no Jornal Oficial da União Europeia nos próximos dias e entrará em vigor em meados de dezembro.
Os Estados-Membros terão 21 meses a partir da entrada em vigor da diretiva para incorporar as disposições na sua legislação nacional. (No entanto, deve-se notar que ainda existem alguns estados membros da UE que ainda não implementaram as medidas exigidas pela Diretiva NIS.)
FONTE: HELPNET SECURITY