A Diretiva NIS 2 (UE 2022/2555) já está em vigor em toda a União Europeia — e a maioria das organizações afetadas ainda não está preparada.
Esta não é apenas “mais uma diretiva europeia”.
É um verdadeiro divisor de águas na forma como os setores importantes, essencias e críticos (com a Diretiva CER (EU 2022/2557)) devem lidar com cibersegurança, gestão de risco e reporte de incidentes.
Se a sua organização atua em setores como energia, transportes, saúde, financeiro, digital, ou se presta serviços a entidades essenciais, este artigo é obrigatório.
O que é a NIS 2?
A NIS 2 substitui a anterior Diretiva NIS (2016/1148) e estabelece regras mais rigorosas e abrangentes para garantir a segurança das redes e sistemas de informação na UE.
Entre os principais objetivos estão:
- Reduzir disparidades de segurança entre Estados-Membros
- Reforçar a resiliência dos setores essenciais e digitais
- Criar uma abordagem comum à gestão e reporte de riscos e incidentes
O que mudou, na prática?
1. Mais setores incluídos
A NIS 2 aplica-se agora a muito mais áreas — incluindo serviços digitais, alimentação, produtos químicos, resíduos, correios, e gestão de água potável.
2. Mais entidades abrangidas
A regra agora é: se a sua organização é essencial para o funcionamento da sociedade ou da economia, está incluída.
Não importa se a organização é pública ou privada.
Importa o impacto que se teria se parasse de funcionar.
3. Responsabilidades da gestão de topo
Os membros da administração podem ser responsabilizados pessoalmente pela não implementação de medidas adequadas de cibersegurança.
4. Reportes obrigatórios de incidentes
As organizações devem:
- Notificar incidentes críticos até 24 horas após detetarem.
- Atualizar informações até 72h.
- Submeter relatório final até 1 mês.
5. Fiscalização, coimas e sanções
Reguladores nacionais têm agora poderes reforçados de auditoria e penalização.
Coimas podem atingir milhões de euros — e a reputação… bem, essa pode não ter recuperação.
O que as organizações devem fazer agora
Identificar se estão abrangidas
Consultar a lista de setores e tipos de entidades incluídos. A legislação nacional (como a Lei do Ciberespaço, em Portugal) já estabelece os critérios.
Avaliar o grau de maturidade atual
- Existe na organização uma política formal de cibersegurança?
- Existe uma abordagem sistemática à gestão de riscos TIC?
- A organização está preparada para reportar incidentes em menos de 24 horas?
Implementar controlos técnicos e organizativos
Deve-se cumprir os requisitos mínimos de segurança previstos no Art. 21 da Diretiva, como:
- Gestão de riscos
- Gestão de incidentes
- Continuidade de negócio
- Segurança na cadeia de fornecimento
- Ciber-higiene e formação
- Criptografia, controlo de acesso e demais requisitos
Nomear responsáveis e criar governança clara
Definir quem lidera, quem executa e quem aprova as medidas de segurança.
A responsabilidade tem de ser visível, rastreável e eficaz.
Preparação exige mais do que “ler a diretiva”
A aplicação prática da NIS 2 requer:
- Formação especializada
- Simulações de resposta a incidentes
- Auditorias internas
- Atualização de políticas, procedimentos e assegurar planos de continuidade testados
Como a Behaviour pode ajudar
Somos especialistas em formar profissionais e equipas para liderarem a implementação, a auditoria e a conformidade com a NIS 2:
- NIS 2 Compliance Lead Manager
- ISO/IEC 27001 Lead Implementer
- ISO 22301 – Continuidade de Negócio
- DORA Compliance Lead Manager
Estes cursos não são apenas técnicos.
São pensados para quem lidera, decide, implementa e responde.
A NIS 2 já está em vigor. A fiscalização já começou. E a sua organização?
Preparar-se não é uma opção.
É uma responsabilidade legal, ética e estratégica.
O que está em jogo não é só a conformidade.
É a continuidade do teu negócio, a confiança dos clientes e o futuro da reputação da organização.
Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.