Em 17 de outubro de 2024, a Network and Information Systems 2 (NIS2) entrará em vigor e, além de redefinir o quadro de cibersegurança na Europa, inaugurará uma era de transparência. Em comparação com a primeira diretiva NIS, essa nova medida amplia o alcance para cerca de 160 mil empresas e instituições de 27 Estados-membros.

A NIS 2 é a segunda versão da Diretiva de redes e sistemas de informação. Esta legislação histórica de segurança cibernética visa estabelecer um nível mais alto de resiliência cibernética nas organizações em toda a União Europeia (UE), especialmente nos operadores de infraestrutura crítica e serviços essenciais.

De acordo com o regramanto, as empresas internacionais, incluindo prestadores de serviços em nuvem, redes sociais e de pesquisa, deverão cumprir a NIS2 se operarem no mercado da União Europeia. As organizações brasileiras interessadas em realizar transações com empresas europeias necessitarão examinar rapidamente a nova legislação de segurança digital, pois a NIS2 já está transformando a União Europeia.

De maneira similar à iniciativa europeia de 2016 em relação à proteção de dados, representada pela concepção e implementação da GDPR (General Data Protection Regulation) – o paradigma que serviu de base para a legislação brasileira da Lei Geral de Proteção de Dados (LGPD), a NIS2 apresenta-se como um componente crucial na salvaguarda de regiões inteiras contra ciberataques e terrorismo digital.

Também terá um impacto estrutural nas relações entre a alta direção e as políticas de segurança em nível operacional. A Check Point Software explica como a NIS2 vai transformar a cultura corporativa em direção a uma maior transparência e responsabilidade em matéria de cibersegurança:

• Cultura de cibersegurança como bandeira: com a NIS2, a gestão de cibersegurança já não é apenas um dever técnico, mas uma responsabilidade executiva, o que leva a uma maior visibilidade das práticas e falhas de segurança dentro das empresas. Este enfoque pode transformar a maneira como as empresas discutem e divulgam suas estratégias e vulnerabilidades de cibersegurança.

• Penalizações significativas em caso de não conformidade: essa nova diretiva introduz multas de até 10 milhões de euros ou 2% do volume de negócios anual global da entidade infratora por descumprimento de suas obrigações.

• CISOs e diretores de mãos dadas: esta nova normativa busca diferenciar dois cargos corporativos no que diz respeito às responsabilidades de cibersegurança. A NIS2 promove uma divisão clara de responsabilidades entre as funções do CISO (Chief of Information Security Officer) e do DPO (Data Protection Officer), permitindo um diálogo com mais foco e especializado sobre cibersegurança e proteção de dados, respectivamente. Esta estrutura fomenta uma colaboração mais eficaz e uma tomada de decisões mais informada na cúpula empresarial.

• Respostas e gestão de incidentes: a NIS2 introduz um processo de notificação de incidentes em fases, que obriga as empresas a informar as autoridades dentro das primeiras 24 horas após detectar um incidente significativo. Isso permite uma resposta mais rápida e coordenada aos ciberataques, minimizando o impacto potencial.

• Formação contínua para a diretoria: estabelece a necessidade de que os diretores estejam informados sobre as tendências de cibersegurança. Isso sublinha a importância da educação contínua na alta direção para uma liderança eficaz.

• Preparação proativa para a conformidade: os passos para a implementação da NIS2 devem começar agora, com medidas organizacionais e técnicas que vão desde a revisão interna até a formação específica, preparando as empresas para cumprir não apenas a NIS2, mas também o próximo Ato de Resiliência Cibernética (CRA) da UE.

Com o objetivo de garantir uma maior segurança e resiliência no âmbito digital europeu, a NIS2 não é apenas uma diretiva sobre cibersegurança, mas também permite impulsionar a transformação cultural nas empresas. Ao fomentar a transparência, a responsabilidade compartilhada e um enfoque estratégico, empodera as empresas a criar uma cultura de cibersegurança sólida que as proteja contra ameaças e as impulsione para o sucesso.