Diretiva NIS 2 - o que você precisa saber
Introdução
Em dezembro passado, uma nova Estratégia de Cibersegurança da UE foi apresentada pela UE para reforçar a resiliência coletiva da Europa contra ameaças cibernéticas. A Comissão Europeia apresentou duas propostas para abordar a resiliência cibernética e física de entidades e redes críticas:
-
Diretiva sobre medidas para alto nível comum de cibersegurança em toda a União (Diretiva NIS revisada ou NIS 2); e
-
Diretiva sobre a resiliência de entidades críticas, para as quais elaboramos um blog separado.
Neste artigo, vamos fornecer alguns antecedentes por que o NIS 2 já foi considerado necessário (após apenas 4 anos!), quais são as principais mudanças em relação à Diretiva NIS e como isso pode afetar o seu negócio.
Avaliação da Diretiva DO NIS
Em 2016, a Diretiva do NIS introduziu a primeira parte da legislação da UE que impõe requisitos de segurança cibernética e obrigações de relatórios de incidentes aos operadores de serviços essenciais e provedores de serviços digitais. O prazo para a implementação da Diretiva DO NIS no direito nacional era de apenas dois anos atrás, mas a Comissão considerou uma atualização da Diretiva do NIS já necessária, possivelmente acelerada pela pandemia mundial.
A Comissão realizou uma avaliação do funcionamento da Diretiva do NIS. Os principais achados desta análise são que o escopo da Diretiva DO NIS é muito limitado em termos dos setores abrangidos e que não é suficientemente claro. A Diretiva do NIS permitiu ampla discrição aos países da UE ao estabelecer requisitos de segurança e relatórios de incidentes, criando um ônus adicional para as empresas que operam em mais de um país da UE. Além disso, o regime de supervisão e fiscalização da Diretiva DO NIS é ineficaz, enquanto os vários países da UE não compartilham informações sistematicamente entre si. Resumindo: ele não faz o que era suposto fazer e ninguém sabe o que tem que fazer.
A Comissão considerou uma série de opções políticas na sua avaliação de impacto para melhorar as deficiências identificadas na Diretiva do NIS. A avaliação de impacto conclui que a opção preferida implica mudanças sistêmicas e estruturais na Diretiva do NIS (por meio de uma Diretiva revisada do NIS).
Se aprovada, a diretiva revisada do NIS aplicaria-se juntamente com leis setoriais específicas, incluindo a proposta de Diretiva sobre a resiliência de entidades críticas (discutida [aqui]) e a regulamentação recentemente proposta sobre resiliência operacional digital para o setor financeiro (Regulamento DORA). As leis específicas do setor prevalecerão na medida em que impõem obrigações de gerenciamento de risco de cibersegurança ou de notificação de pelo menos um efeito equivalente às obrigações estabelecidas na Diretiva revisada do NIS.
A diretiva proposta do NIS 2 está aberta para comentários até 3 de março de 2021.
O anúncio sobre o NIS 2 veio na mesma semana do ataque cibernético contra a Agência Europeia de Medicamentos (expondo informações confidenciais sobre as vacinas Covid-19) e logo após o ataque do SolarWinds (um dos ataques cibernéticos mais consecutivos da história).
A proposta da Comissão busca modernizar o regime atual para enfrentar o cenário de ameaças à segurança cibernética em evolução e abordar “várias fraquezas que impediram a Diretiva do NIS de desbloquear todo o seu potencial”. As principais alterações são as seguintes:
Efeito Extra-Territorial
Ampliando o efeito extra-territorial já em vigor no regime atual, os provedores selecionados de infraestrutura digital ou serviços digitais que não têm um estabelecimento europeu, mas oferecem serviços na UE, também se enquadrarão no escopo da diretiva proposta do NIS 2 (e, para isso, terão de designar um representante na UE). Isso afetará os provedores de serviços DNS, registros de nomes TLD, provedores de serviços de computação em nuvem, provedores de serviços de data center e provedores de rede de entrega de conteúdo, bem como provedores de marketplaces online, mecanismos de busca on-line e plataformas de serviços de rede social.
Mais setores e serviços
Embora a diretiva proposta do NIS 2 continue a abordagem setorial de seu antecessor, ela prevê uma cobertura mais abrangente de setores e serviços considerados de vital importância para o mercado interno europeu. Além dos setores já abrangidos pelo regime atual (infraestrutura de energia, transporte, bancos e mercado financeiro, saúde, água potável, infraestrutura digital e determinados prestadores de serviços digitais), novos setores são trazidos ao escopo, incluindo telecomunicações, produtos químicos, alimentos, correios e correios, determinada fabricação, administração pública, plataformas de redes sociais, espaço, gestão de resíduos e gestão de efluentes (ver Anexo da proposta). Além disso, em vez da identificação atual de operadores individuais a nível nacional, as regras propostas introduzem um limite de tamanho para cobrir, dentro dos setores selecionados, todas as empresas de médio e grande porte, conforme definido pela legislação da UE. As entidades micro e pequenas são isentas, a menos que tenham um perfil de risco de alta segurança, nesse caso, as regras propostas se aplicam independentemente do tamanho da entidade.
Entidades Essenciais e Importantes
A diretiva proposta do NIS 2 não distingue mais entre operadores de serviços essenciais e prestadores de serviços digitais, mas, em vez disso, classifica as entidades entre categorias essenciais e importantes. Tanto as entidades essenciais quanto importantes estarão sujeitas aos mesmos requisitos de gestão de cibersegurança e relatórios, mas os regimes de supervisão e penalidade diferirão: enquanto um regime de supervisão plena e ex-ante será aplicado a entidades essenciais, entidades importantes estão sujeitas a uma supervisão ex-post mais leve em caso de evidências ou indícios de não conformidade. Desta forma, a Comissão Europeia procura abordar as críticas frequentes de que, sob a atual Diretiva do NIS, algumas entidades enfrentam um ônus desproporcional de conformidade.
Pênaltis
No que talvez seja o elemento mais atraente do pacote, os Estados-Membros da UE seriam obrigados a fornecer multas administrativas de até pelo menos 10 milhões de euros ou 2% do volume de negócios mundial total (a nível de compromisso), o que for maior. Em consonância com o regime de execução mais rigoroso aplicável a eles, as entidades essenciais que persistem no não cumprimento também podem ver suas autorizações relevantes suspensas ou ter a alta administração suspensa de exercer suas funções gerenciais (cada vez até que as medidas corretivas necessárias sejam tomadas).
Gerenciamento de riscos de cibersegurança
As novas regras introduzem, pela primeira vez, requisitos expressos de governança, exigindo que a gestão de entidades submetidas aprove e supervisione medidas de gerenciamento de riscos de cibersegurança e siga o treinamento de segurança cibernética. Em termos da própria gestão de risco de cibersegurança, a renovação proposta continua o padrão de tomada aberto, no que diz respeito ao estado da arte e ao risco representado, medidas “apropriadas” e “proporcionais”, mas adiciona uma série de elementos mínimos de segurança básica que devem ser previstos em qualquer caso. Significativamente, a diretiva proposta do NIS 2 introduziria requisitos expressos para gerenciar riscos de terceiros nas cadeias de suprimentos e nas relações com fornecedores, abordando assim um dos desafios mais importantes enfrentados pela segurança cibernética hoje. A proposta prevê que a Comissão Europeia estabelecerá as especificações técnicas e metodológicas dos requisitos mínimos, e prevê que as entidades podem (e certas entidades essenciais devem) demonstrar conformidade através da obtenção de certificação de segurança cibernética sob o quadro de certificação de segurança cibernética da UE previsto pela recente Lei de Cibersegurança da UE.
Relatórios
As obrigações de notificação serão ampliadas, em termos do que deve ser relatado, a quem devem ser feitos relatórios e dentro de qual prazo.
-
De acordo com o regime atual, as entidades devem informar às autoridades competentes ou ao CSIRT quaisquer incidentes com impacto significativo na prestação de seus serviços. Além disso, sob as novas regras, as entidades também seriam obrigadas a relatar qualquer ameaça cibernética significativa que pudesse ter resultado em um incidente significativo.
-
As entidades sujeitas às novas regras também seriam obrigadas a notificar os destinatários de seus serviços de quaisquer incidentes que provavelmente afetassem negativamente a prestação do serviço relevante. No caso de uma ameaça cibernética significativa que afete potencialmente o serviço relevante, os destinatários dos serviços devem ser notificados de quaisquer medidas ou remédios que esses destinatários possam tomar em resposta a essa ameaça e, “quando apropriado”, da própria ameaça. Os recitais da diretiva proposta do NIS 2 esclarecem que isso deve ser feito “gratuitamente” e que isso não dispensa a própria obrigação de tomar, às suas próprias custas, medidas apropriadas e imediatas para prevenir ou remediar quaisquer ameaças cibernéticas e restaurar o nível normal de segurança de seu serviço (ver recitais 52-53).
-
Em termos de tempo, a notificação deve, conforme o regime vigente, ser feita “sem demora indevida”. No entanto, para o relatório às autoridades competentes ou CSIRT, é introduzida uma abordagem em duas etapas, exigindo que as entidades, no prazo de 24 horas após tomar conhecimento do incidente, apresentem uma notificação inicial seguida de um relatório final dentro de um prazo máximo de um mês. Notavelmente, de acordo com as regras propostas, as autoridades nacionais competentes ou CSIRT também devem responder, no prazo de mais 24 horas, ao relatório inicial com feedback inicial sobre o incidente e, se solicitado, orientações sobre a implementação de possíveis medidas de mitigação.
Divulgação de vulnerabilidades
Finalmente, e significativamente, a diretiva proposta do NIS 2 busca incentivar práticas coordenadas de divulgação de vulnerabilidades, pelas quais uma entidade convida pessoas de fora (muitas vezes “hackers éticos”) a relatar vulnerabilidades de forma a permitir diagnosticar e remediar a vulnerabilidade antes de ser divulgada (e potencialmente abusada por) terceiros. Para isso, a agência de segurança cibernética da UE, a ENISA, seria obrigada a desenvolver e manter um registro europeu de vulnerabilidade para permitir que entidades importantes e essenciais e seus fornecedores de sistemas de rede e informações divulguem e registrem vulnerabilidades em produtos de TIC ou serviços de TIC.
Proposta NIS 2: visão geral
Entidades Essenciais e Importantes
O NIS 2 se aplicará a determinadas entidades essenciais e algumas entidades importantes que atuam nos seguintes setores:
entidades essenciais (Anexo I):
-
energia
-
transporte
-
bancário
-
infraestruturas do mercado financeiro
-
Saúde
-
água potável
-
águas residuais
-
infraestrutura digital
-
administração pública
-
espaço
Entidades importantes (Anexo II)
-
Serviços postais e de correio
-
gestão de resíduos
-
fabricar
-
produção e distribuição de produtos químicos
-
produção de alimentos
-
processamento e distribuição
-
manufatura e provedores digitais
-
serviços postais e de correio
-
gestão de resíduos
Entidades micro e PME
Entidades micro e pequenas no sentido da Recomendação da Comissão 2003/361/CE são excluídas do escopo do NIS 2, exceto para provedores de redes de comunicações eletrônicas ou de serviços de comunicação eletrônica disponíveis publicamente, provedores de serviços de confiança, registros de nomes de nomes de alto nível (TLD) e administração pública, e certas outras entidades, como o único provedor de um serviço no país da UE. Os principais fatores que determinam se uma empresa é uma micro ou pequena são o número de funcionários e o volume de negócios ou o total do balanço total:
Categoria empresa Chefe de equipe Turnover ou Balanço total
< médios 250 ≤ € 50 m ≤ € 43 m
Pequeno < 50 ≤ € 10 m ≤ € 10 m
Micro < 10 ≤ € 2 m ≤ € 2 m
Você pode usar esta ferramenta para determinar se sua organização se qualifica como uma empresa de pequeno e médio porte.
Estruturas nacionais de cibersegurança
Os países da UE são obrigados a adotar uma estratégia nacional de cibersegurança que defina os objetivos estratégicos e as medidas políticas e regulatórias apropriadas para alcançar e manter um alto nível de segurança cibernética. Eles são obrigados a colocar em prática os Quadros Nacionais de Gerenciamento de Crises de Cibersegurança, designando autoridades nacionais competentes responsáveis pela gestão de incidentes e crises de cibersegurança em larga escala.
Os Estados-Membros também são obrigados a designar uma ou mais autoridades nacionais competentes sobre segurança cibernética para as tarefas de supervisão no âmbito do NIS 2 e um único ponto de contato nacional sobre segurança cibernética (SPOC). Nos Países Baixos, esta pode muito bem ser a Autoridade Holandesa de Proteção de Dados ou a Agência de Radiocomunicações Países Baixos, mas também uma nova autoridade pode ser estabelecida para cumprir esse papel.
O NIS 2 também estabelece uma estrutura para divulgação coordenada de vulnerabilidades e exige que os países designem CSIRTs para atuar como intermediários confiáveis e facilitar a interação entre as entidades de relatórios e os fabricantes ou fornecedores de produtos de TIC e serviços de TIC. A ENISA é necessária para desenvolver e manter um registro europeu de vulnerabilidade para as vulnerabilidades descobertas.
Cooperação
O NIS 2 estabelece um Grupo de Cooperação para apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os países da UE. Também estabelece uma rede CSIRTs para contribuir para o desenvolvimento da confiança e confiança entre os países e promover uma cooperação operacional rápida e eficaz.
Uma Rede Europeia de Organização de Ligação de Crises Cibernéticas (UE - CyCLONe) é criada para apoiar a gestão coordenada de incidentes e crises de cibersegurança em larga escala e garantir o intercâmbio regular de informações.
Obrigações de gerenciamento de riscos e relatórios de segurança cibernética
Os órgãos de gestão de todas as entidades sob o escopo do NIS 2 devem aprovar as medidas de gerenciamento de risco de cibersegurança tomadas por suas organizações e terão que seguir treinamento específico relacionado à segurança cibernética.
As entidades do NIS 2 devem tomar medidas técnicas e organizacionais adequadas e proporcionais para gerenciar os riscos de cibersegurança colocados à segurança dos sistemas de rede e de informação. Eles também são obrigados a garantir que as entidades notifiquem as autoridades nacionais competentes ou os CSIRTs de qualquer incidente de cibersegurança que tenha um impacto significativo na prestação do serviço que prestam.
Os registros TLD e as entidades que fornecem serviços de registro de nomes de domínio para o TLD coletarão e manterão dados precisos e completos de registro de nomes de domínio. Além disso, tais entidades são obrigadas a fornecer acesso eficiente aos dados de registro de domínio para solicitantes de acesso legítimos.
Jurisdição e Registro
Como regra geral, entidades essenciais e importantes são consideradas sob a jurisdição do país onde prestam seus serviços. No entanto, certos tipos de entidades (provedores de serviços DNS, registros de nomes TLD, provedores de serviços de computação em nuvem, provedores de serviços de data center e provedores de rede de entrega de conteúdo, bem como certos provedores digitais) são considerados sob a jurisdição do país em que têm seu principal estabelecimento na União. Isto é para garantir que tais entidades não enfrentem uma infinidade de requisitos legais diferentes, uma vez que fornecem serviços além das fronteiras em uma medida particularmente elevada. A ENISA é obrigada a criar e manter um registro do tipo posterior de entidades.
Compartilhamento de informações
Os países da UE fornecerão regras que permitam que as entidades se envolvam no compartilhamento de informações relacionadas à segurança cibernética no âmbito de acordos específicos de compartilhamento de informações sobre segurança cibernética. Entidades fora do escopo do NIS 2 podem relatar, de forma voluntária, incidentes significativos, ameaças cibernéticas ou quase misses.
Supervisão e fiscalização
As autoridades competentes são obrigadas a supervisionar as entidades sob o escopo do NIS 2 e, em particular, para garantir o cumprimento dos requisitos de segurança e notificação de incidentes. Distingue entre um regime de ex-supervisão para entidades essenciais e um ex regime de supervisão pós-posto para entidades importantes, posteriormente exigindo que as autoridades competentes tomem medidas quando fornecidas com provas ou indícios de que uma entidade importante não atende aos requisitos de segurança e notificação de incidentes.
O NIS 2 também exige que os países da UE imponham multas administrativas a entidades essenciais e importantes e define certas multas máximas.