EU 2022/2555

O que é a NIS2?

Diretiva UE 2022/2555 sobre cibersegurança, a revisão mais significativa da regulamentação de cibersegurança à escala da UE desde 2016.

Simon OrzelSimon Orzel·Laufend geprüft

Síntese

A Diretiva NIS2 (Diretiva (UE) 2022/2555) é o quadro atualizado da União Europeia para alcançar um elevado nível comum de cibersegurança em todos os Estados-Membros. Substitui a Diretiva NIS original de 2016.

A NIS2 amplia drasticamente o âmbito da regulamentação de cibersegurança da UE: de cerca de 10 000 entidades ao abrigo da NIS1 para um número estimado de 160 000 em toda a Europa. Só na Alemanha, são abrangidas cerca de 29 500 empresas.

A diretiva impõe medidas harmonizadas de gestão de riscos, obrigações de comunicação de incidentes e requisitos de segurança da cadeia de abastecimento. Introduz a responsabilidade pessoal da gestão e sanções significativamente mais elevadas em caso de incumprimento.

Datas-chave
DataEvento
27 de dezembro de 2022Diretiva NIS2 publicada no Jornal Oficial da UE
16 de janeiro de 2023A NIS2 entra em vigor a nível da UE
17 de outubro de 2024Prazo para os Estados-Membros transporem para o direito nacional
17 de abril de 2025Prazo para os Estados-Membros estabelecerem registos de entidades
17 de outubro de 2027A Comissão Europeia revê o funcionamento da diretiva
Ver calendário completo da NIS2
NIS1 versus NIS2
AspetoNIS1 (2016)NIS2 (2022)
Âmbito~10 000 entidades na UE~160 000 entidades na UE
Setores7 setores18 setores (11 altamente críticos + 7 outros críticos)
Classificação de entidadesOperadores de serviços essenciais (OSE) + prestadores de serviços digitaisEntidades essenciais + entidades importantes (em função da dimensão)
SançõesDefinidas pelos Estados-Membros, variavam muitoHarmonizadas: até 10 milhões de EUR ou 2% do volume de negócios global
Responsabilidade da gestãoNão abordadaResponsabilidade pessoal dos órgãos de gestão
Comunicação de incidentesSem demora injustificadaCascata rigorosa de 24h / 72h / 1 mês
Cadeia de abastecimentoNão abordadaAvaliação obrigatória da segurança da cadeia de abastecimento
SupervisãoDeixada aos Estados-MembrosProativa (essenciais) + reativa (importantes)

18 setores abrangidos

Anexo I: Setores de elevada criticidade
As grandes entidades nestes setores são classificadas como essenciais (entidades essenciais). As entidades médias são classificadas como importantes.
  1. 01Energia (eletricidade, aquecimento/arrefecimento urbano, petróleo, gás, hidrogénio)
  2. 02Transportes (aéreo, ferroviário, por via navegável, rodoviário)
  3. 03Banca
  4. 04Infraestruturas do mercado financeiro
  5. 05Saúde (hospitais, indústria farmacêutica, dispositivos médicos, laboratórios de referência)
  6. 06Água potável
  7. 07Águas residuais
  8. 08Infraestrutura digital (DNS, TLD, nuvem, centros de dados, CDN, telecomunicações)
  9. 09Gestão de serviços TIC, B2B (MSP, MSSP)
  10. 10Administração pública
  11. 11Espaço
Anexo II: Outros setores críticos
As entidades nestes setores são classificadas como importantes, quer sejam médias quer grandes.
  1. 01Serviços postais e de mensageiro
  2. 02Gestão de resíduos
  3. 03Produtos químicos (fabrico, produção, distribuição)
  4. 04Alimentação (comércio grossista, produção industrial, transformação)
  5. 05Indústria transformadora (dispositivos médicos, eletrónica, equipamento elétrico, maquinaria, veículos automóveis, outros transportes)
  6. 06Prestadores digitais (mercados em linha, motores de pesquisa, redes sociais)
  7. 07Organizações de investigação
Limiares de dimensão
A NIS2 utiliza a definição de PME da UE. A classificação é determinada pelo número de trabalhadores OU por indicadores financeiros (tanto o volume de negócios COMO o balanço total têm de ser excedidos para o teste financeiro).
DimensãoTrabalhadoresLimiar financeiroÂmbito NIS2
Grande≥ 250> 50 milhões de EUR de volume de negócios E > 43 milhões de EUR de balanço totalAbrangida
Média≥ 50 (e < 250)> 10 milhões de EUR de volume de negócios E > 10 milhões de EUR de balanço totalAbrangida
Pequena< 50≤ 10 milhões de EUR de volume de negócios E ≤ 10 milhões de EUR de balanço totalGeralmente fora do âmbito

Determinados tipos de entidades estão abrangidos independentemente da dimensão, incluindo prestadores de DNS, registos de TLD, prestadores qualificados de serviços de confiança, operadores de KRITIS e prestadores únicos de serviços essenciais.

Principais obrigações num relance
  • Implementar 10 medidas obrigatórias de gestão de riscos de cibersegurança
  • Comunicar incidentes significativos no prazo de 24h / 72h / 1 mês
  • A gestão deve aprovar, supervisionar e receber formação em cibersegurança
  • Avaliar e gerir os riscos de cibersegurança na cadeia de abastecimento
  • Registar-se junto da autoridade nacional competente
  • Manter provas de conformidade (auditorias aos operadores de KRITIS a cada 3 anos)