NIS2: entendendo o Network and Information Security Directive

Com o avanço da digitalização e o aumento das ciberameaças, a União Europeia decidiu fortalecer suas defesas com a criação da NIS2 Directive (Network and Information Security Directive).

Ela é uma atualização ambiciosa da primeira diretiva NIS e estabelece novas regras obrigatórias de cibersegurança para empresas e entidades públicas em toda a Europa.

Mas o que muda, quem será impactado e como as organizações podem se preparar?

Neste artigo, você vai entender o que é a NIS2, seus objetivos e os setores que ela abrange.

Também explicaremos as novas regras de responsabilização e governança corporativa introduzidas pela diretiva.

Por fim, apresentaremos as principais medidas de gestão de riscos, as obrigações de notificação de incidentes, as penalidades e como as organizações garantir a conformidade.

1. O que é a NIS2 e por que ela foi criada

A primeira versão da diretiva - a NIS1 promulgada em 2016 - foi o esforço inicial da União Europeia para criar um arcabouço regulatório de segurança cibernética. 

No entanto, conforme a digitalização avançou, especialmente após a pandemia de COVID-19, ficou evidente que o texto original havia se tornado limitado.

Entre os principais problemas identificados pela Comissão Europeia estavam:

1. Baixa resiliência cibernética de empresas e órgãos públicos;
2. Falta de coordenação entre os Estados-Membros diante de incidentes de grande escala;
3. Inconsistência nas respostas e requisitos regulatórios;
4. Ausência de uma visão comum sobre as ameaças e vulnerabilidades críticas.

A NIS2 foi promulgada em 2023 para corrigir essas lacunas e criar regras unificadas e mais rigorosas em toda a União Europeia.

Ela está alinhada à crescente integração entre tecnologias da informação (IT) e tecnologias operacionais (OT), cuja conexão amplia significativamente o risco de incidentes físicos e cibernéticos.

A partir de 2025, milhares de empresas públicas e privadas deverão comprovar conformidade com a nova diretiva.

Isso exigirá a implementação de políticas, controles técnicos e planos de resposta a incidentes cibernéticos padronizados em toda a União Europeia.

2. Quais setores são abrangidos pela NIS2?

Uma das principais inovações da NIS2 é o amplo escopo de aplicação. 

A nova diretiva expande de 7 para 16 setores considerados críticos, divididos entre os Anexos I e II.

O Anexo I abrange os setores de alta criticidade, incluindo:

• Energia, transportes, saúde, abastecimento de água potável e tratamento de águas residuais;
• Infraestruturas digitais, bancos e instituições financeiras;
• Serviços de gestão de TIC (como provedores de nuvem e data centers);
• Espaço e administração pública.

Já o Anexo II inclui setores igualmente relevantes, como:

• Correios e entregas, alimentos, manufatura (incluindo química), gestão de resíduos e provedores digitais.

As organizações abrangidas são classificadas em duas categorias:

• Entidades essenciais: grandes empresas e operadoras de serviços críticos, sob supervisão proativa das autoridades nacionais;
• Entidades importantes: médias e grandes empresas de setores relevantes, sob supervisão reativa, ou seja, fiscalizadas em caso de incidentes ou não conformidade.

Essa distinção não altera as exigências de segurança mas afeta o nível de monitoramento e de responsabilidade executiva.

3. Novas regras de governança e responsabilização introduzidas pela NIS2

A NIS2 introduz uma novidade crucial: a responsabilidade direta dos executivos sobre as medidas de segurança adotadas pela organização.

De acordo com o Artigo 20, os conselhos de administração e diretores devem:

• Aprovar e supervisionar as medidas de gestão de risco cibernético (conforme o Artigo 21);
• Participar de treinamentos regulares de cibersegurança e garantir que os colaboradores também recebam capacitação;
• Responder legalmente por falhas de conformidade - podendo sofrer sanções pessoais ou restrições profissionais.

Essa responsabilização tem o objetivo de assegurar que a segurança digital não seja tratada como um tema técnico isolado.

Ela deve ser reconhecida como um pilar de governança corporativa, integrado ao planejamento estratégico e à gestão de riscos empresariais.

4. Medidas obrigatórias de gestão de riscos definidas pela NIS2

O Artigo 21 detalha as medidas técnicas, operacionais e organizacionais que devem ser implementadas pelas entidades sob a NIS2. 

Elas incluem, entre outras:

• Análise de riscos e políticas de segurança da informação;
• Procedimentos de tratamento de incidentes;
• Planos de continuidade e recuperação de desastres;
• Segurança da cadeia de suprimentos;
• Gestão de vulnerabilidades e políticas de atualização;
• Treinamento e conscientização em cibersegurança;
• Uso de autenticação multifator e comunicações seguras;
• Criptografia e gerenciamento de chaves;
• Controle de acesso e gestão de ativos.

A diretiva segue uma abordagem de proporcionalidade, em que as medidas adotadas devem considerar o porte, o risco e o impacto potencial de cada organização.

Mesmo assim, todas devem garantir um nível mínimo de proteção alinhado aos padrões de segurança definidos pela União Europeia.

5. Obrigações da NIS2 relacionadas à notificação de incidentes

Outro ponto central da NIS2 é o fortalecimento dos protocolos de resposta e comunicação de incidentes.

O Artigo 23 estabelece que qualquer incidente com impacto significativo deve ser notificado à CSIRT (Computer Security Incident Response Team) ou à autoridade competente, seguindo uma linha do tempo rigorosa:

• Em até 24 horas: envio de um early warning informando a natureza e possível causa do incidente;
• Em até 72 horas: relatório inicial com a avaliação de gravidade, impacto e indicadores de comprometimento;
• Em até 1 mês: entrega de um relatório final detalhado sobre o ocorrido e as medidas corretivas adotadas.

As organizações também são obrigadas a informar clientes e parceiros potencialmente afetados, indicando ações ou remediações recomendadas.

6. Penalidades e consequências da não conformidade com a NIS2

A NIS2 adota um sistema de penalidades semelhante ao GDPR e LGPD, impondo multas expressivas em caso de descumprimento.

• Entidades essenciais: até €10 milhões ou 2% do faturamento global anual, prevalecendo o maior valor;
• Entidades importantes: até €7 milhões ou 1,4% do faturamento global anual.

Além das multas, os executivos também podem ser responsabilizados individualmente.

Em casos de negligência comprovada, podem até ser proibidos de exercer cargos de direção em outras empresas.

Essas sanções demonstram a seriedade com que a União Europeia pretende assegurar o cumprimento da diretiva e elevar o nível de maturidade cibernética em todos os Estados-Membros.

7. Como as organizações devem se preparar para a NIS2

Quatro ações estratégicas são fundamentais para alcançar a NIS2 readiness:

1. Promover a conscientização na alta liderança: conformidade deve ser tratada como prioridade estratégica. CEOs, COOs e CISOs precisam compreender suas responsabilidades e definir uma equipe dedicada à integração entre IT e OT;
2. Estabelecer uma linha de base e plano de ação: avaliar o estado atual da cibersegurança da organização e compará-lo com os requisitos da NIS2. O uso de frameworks como IEC 62443 e C2M2 (Cybersecurity Capability Maturity Model) ajuda a identificar vulnerabilidades e priorizar melhorias;
3. Implementar ações corretivas: corrigir vulnerabilidades críticas de forma ágil, priorizando medidas de alto impacto como segmentação de rede, autenticação forte e gestão de vulnerabilidades;
4. Garantir governança e responsabilidade contínua: designar responsáveis por riscos específicos e implementar soluções de GRC para monitorar o progresso, reportar conformidade e automatizar alertas.

A cultura organizacional deve ser fortalecida por meio de programas de treinamento contínuo em cibersegurança.

Essas ações devem abranger não apenas os profissionais técnicos, mas todos os colaboradores, incluindo os membros do conselho de administração.

8. Considerações finais

Mais do que um conjunto de regras, a NIS2 representa uma mudança estrutural na postura digital das empresas que atuam na União Europeia.

Ela coloca a cibersegurança no centro da governança corporativa, reconhecendo que falhas em sistemas críticos não afetam apenas empresas, mas a própria estabilidade da sociedade.

Ao exigir medidas robustas de prevenção, resposta e transparência, a NIS2 busca criar uma Europa mais segura, resiliente e preparada para os desafios da economia digital.

Para as empresas brasileiras que atuam na UE - seja diretamente ou integrando cadeias de fornecimento digitais - a adequação à NIS2 representa uma oportunidade estratégica.

Estar em conformidade com a diretiva garante o acesso e a permanência em um mercado altamente regulado.

Além disso, eleva a maturidade cibernética, fortalece a confiança de clientes e parceiros europeus e melhora a reputação internacional da marca.

Na Diazero Security, ajudamos organizações a fortalecer seus processos, políticas e controles de segurança, apoiando cada etapa rumo à conformidade com normas como LGPD, GPDR e NIS2.

Entre em contato e descubra como podemos ajudar sua empresa a alcançar um novo nível de resiliência e confiança digital.