A União Europeia (EU) adotou a Diretiva NIS2 para melhor proteger os sistemas de rede e informação. Essa nova legislação fortalece a segurança digital em 18 setores críticos, como saúde, energia, transporte e serviços digitais. Além disso, ela exige que os Estados-Membros criem estratégias nacionais de cibersegurança e atuem de forma coordenada com as instituições europeias. Com isso, a UE pretende reagir com mais agilidade a ameaças cibernéticas, inclusive em situações transfronteiriças.
Por que a NIS2 é essencial?
A NIS2, formalmente conhecida como Diretiva 2022/2555, substitui a antiga NIS1, criada em 2016. De lá para cá, os riscos digitais aumentaram de forma expressiva. Por esse motivo, a nova norma amplia o alcance da legislação anterior e define exigências mais claras para empresas e governos. A NIS2 também introduz mecanismos de supervisão mais eficazes. Dessa forma, ela eleva o padrão europeu de proteção cibernética.
O que os Estados-Membros devem fazer?
Cada país da UE precisa adotar uma estratégia nacional de cibersegurança. Essa estratégia deve incluir medidas de proteção da cadeia de suprimentos, ações para gestão de vulnerabilidades e programas de educação digital. Além disso, os governos devem manter listas atualizadas de empresas que prestam serviços essenciais. Eles também precisam garantir que essas organizações sigam as regras desta diretiva.
Quais setores a diretiva abrange?
A NIS2 cobre todos os setores da NIS1 e ainda amplia seu escopo. Agora, ela também se aplica a plataformas digitais, serviços de telecomunicações, empresas de logística, setores espacial e postal, além da administração pública em níveis central e regional. Em especial, empresas de médio e grande porte devem implementar medidas de segurança eficazes e relatar incidentes relevantes às autoridades nacionais. Como resultado, essas ações ajudam a reduzir danos e evitar interrupções nos serviços essenciais.
Como funciona a fiscalização?
A diretiva determina que os órgãos nacionais fiscalizem o cumprimento das regras. Sempre que necessário, esses órgãos devem aplicar sanções. Mais importante ainda, a alta gestão das empresas deve se envolver diretamente na segurança digital. Assim, os líderes corporativos se tornam responsáveis pela adoção ou pela omissão de medidas de proteção. Com isso, a diretiva leva o tema da cibersegurança para o centro das decisões executivas.
Quem atua na resposta a incidentes?
A NIS2 cria estruturas para fortalecer a cooperação entre os países. Entre elas, destacam-se as Computer Security Incident Response Teams (CSIRTs), equipes responsáveis por responder a incidentes e compartilhar informações sobre ameaças. Além disso, a rede European cyber crisis liaison organisation network (EU-CyCLONe) coordena respostas em crises cibernéticas de grande escala. Paralelamente, o Grupo de Cooperação NIS oferece diretrizes estratégicas para harmonizar a implementação das medidas, embora suas recomendações não tenham caráter obrigatório.
Qual é o histórico da NIS2?
A Diretiva NIS1 representou um marco em 2016, ao ser a primeira legislação da UE voltada à segurança digital. No entanto, em 2020, a Comissão Europeia propôs uma atualização. Essa proposta deu origem à NIS2, que entrou em vigor em janeiro de 2023. Os Estados-Membros tiveram até 17 de outubro de 2024 para transformar a diretiva em lei nacional. No dia seguinte, em 18 de outubro, a NIS1 perdeu sua validade.
O que acontece com os países que descumpriram a norma?
Alguns Estados-Membros não respeitaram o prazo de transposição da NIS2. Por isso, a Comissão Europeia iniciou processos de infração contra 23 países. Ela enviou notificações formais e pediu respostas. Se os países não atenderem à solicitação, a Comissão poderá emitir pareceres fundamentados. Caso ainda persistam no descumprimento, o Tribunal de Justiça da União Europeia poderá julgar os casos e impor sanções financeiras. Em última instância, essas medidas visam garantir o cumprimento uniforme da diretiva em todo o bloco.