CyberS3c, Cybersecurity Artisans
Conformidade

NIS2, O que muda para as Empresas Portuguesas

Equipa CyberS3c 2 min de leitura

A Diretiva NIS2 (Network and Information Security) representa uma expansão significativa do âmbito e requisitos da NIS1. Em vigor desde outubro de 2024 e transposta para o direito nacional, impõe novas obrigações a um número muito maior de organizações.

Quem está abrangido?

A NIS2 cobre entidades essenciais e entidades importantes em 18 setores críticos:

Setores de alta criticidade: Energia, Transportes, Banca, Infraestruturas financeiras, Saúde, Água potável, Águas residuais, Infraestrutura digital, Gestão de serviços TIC, Administração Pública, Espaço.

Outros setores críticos: Serviços postais, Gestão de resíduos, Química, Alimentação, Fabricação, Fornecedores digitais, Investigação.

Principais Requisitos

Medidas de Gestão de Risco

As organizações devem implementar medidas técnicas e organizacionais proporcionais ao risco:

  • Políticas de análise de risco e segurança dos sistemas
  • Tratamento de incidentes
  • Continuidade de negócio e gestão de crises
  • Segurança da cadeia de fornecimento
  • Aquisição, desenvolvimento e manutenção seguros de sistemas
  • Políticas e procedimentos para avaliar a eficácia das medidas
  • Formação em cibersegurança
  • Criptografia e cifragem
  • MFA e comunicações seguras (explicitamente mencionados)

Reporte de Incidentes

Prazo de notificação significativamente reduzido:

  • 24 horas, alerta precoce ao CNCS
  • 72 horas, notificação do incidente
  • 30 dias, relatório final

Sanções

As coimas são substancialmente mais elevadas que na NIS1:

  • Entidades essenciais: até €10.000.000 ou 2% do volume de negócios global
  • Entidades importantes: até €7.000.000 ou 1,4% do volume de negócios global

Responsabilidade dos Órgãos de Gestão

Uma novidade importante: os órgãos de gestão (conselhos de administração, gerências) são pessoalmente responsáveis pelo cumprimento dos requisitos NIS2. Podem ser proibidos temporariamente de exercer funções de gestão em caso de incumprimento grave.

Próximos Passos para a sua Organização

  1. Avalie se está no âmbito da NIS2
  2. Faça um gap analysis face aos requisitos
  3. Implemente as medidas em falta
  4. Registe-se na plataforma do CNCS
  5. Prepare os processos de reporte de incidentes

Precisa de ajuda com a conformidade NIS2? Comece pela nossa checklist de prontidão NIS2 ou fale com a nossa equipa de Conformidade Legal, que realiza o gap analysis e desenvolve o roadmap de implementação.

Tags:

Partilhar: