apdc news APDC & VDA | DIGITAL UNION: DIRETIVA NIS 2 Ir além da teia regulatória É a mais abrangente legislação de sempre em matéria de cibersegurança no espaço europeu. Tem como prazo final de transposição o dia 17 de outubro e vai implicar alterações de tal forma profundas que as organizações têm de se preparar desde já para a mudança. Texto de Isabel Travessa 56 https://bit.ly/3vFqBeA Perante o acelerado desenvolvimento tecnológico e a crescente digitalização, que trouxeram consigo inúmeras vantagens, mas também muitas ameaças, Bruxelas avançou no final de 2020 com uma nova Estratégia de Cibersegurança para a Década Digital. Objetivo: criar uma economia digital segura, aumentar a ciber-resiliência na UE, melhorar a capacidade de resposta a incidentes e melhorar a proteção das infraestruturas críticas. A Diretiva NIS 2 faz parte desta “resposta legislativa” e implicará uma profunda alteração nas organizações. Mas não há tempo a perder. Na 9ª sessão do Digital Union, uma parceria entre a APDC e a VdA, que se realizou a 2 de abril em formato híbrido, a partir da sede da PT, em Lisboa, debateu-se a nova diretiva, a estratégia de cibersegurança do espaço europeu e os impactos esperados no mercado nacional. E as recomendações para as organizações portuguesas são claras: antecipar, capacitar e implementar. Estes são os passos necessários, num processo em que as empresas não deverão conseguir estar totalmente preparadas no prazo legal, mas já terão “identificado medidas realistas para capacitar a organização”, como afirmou no evento Inês Barros, sócia da Área de Comunicações, Proteção de Dados & Tecnologia da VdA. Num breve resumo da NIS 2 e da sua aplicação, esta responsável explicou que Bruxelas teve como meta,
Fernando Resina da Silva, Sócio da Área Comunicações, Proteção de Dados & Tecnologia, Sócio Responsável da Área PI Transacional, VdA Rogério Carapuça, Presidente APDC Inês Antas de Barros, Sócia da Área de Comunicações, Proteção de Dados & Tecnologia, VdA José Capote, Cyber Security and Privacy Officer (CSPO), Huawei André Baptista, Founder, Ethiack Joel Guerreiro, Diretor de Modernização Administrativa e Financeira, Município de Lagos Pedro Pinto, Responsável de Cibersegurança, Instituto Politécnico da Guarda Moderação: Sandra Fazenda Almeida, Diretora Executiva, APDC Moderação: Tiago Bessa, Sócio da Área de Comunicações, Proteção de Dados & Tecnologia e da Área de PI Transacional, VdA com a Estratégia de Cibersegurança para a Década Digital, responder a um contexto de utilização de novas tecnologias e ferramentas, crescente sofisticação dos incidentes e ciberataques, maior dependência de terceiros, ambientes de armazenamento e transferência de dados mais complexos, preservação de informação sensível e partilha de grandes volumes de dados e a sua transferência para países terceiros. Perante estes “catalisadores de risco”, a NIS 2, uma das diretivas do pacote, determina um alargamento As organizações têm de capacitar, planear e implementar as necessárias mudanças a nível estratégico, jurídico e tecnológico dos setores e empresas sujeitas a regulação, assim como um reforço sem paralelo das obrigações e da responsabilização. Aliás, Inês Barros advertiu: “As alterações provocadas por esta diretiva são de tal forma profundas que a preparação deve iniciar-se o mais cedo possível”. Trata-se de uma “complexa teia regulatória”, pelo que as organizações terão de antecipar, monitorizando e acompanhando todos os desenvolvimentos regulatórios e tecnológicos, assim como capacitar os stakeholders internos e planear e implementar as mudanças necessárias, a nível estratégico, jurídico e tecnológico. COMEÇAR, E JÁ! Entre as principais alterações que a NIS 2 vem introduzir estão o alargamento do seu âmbito de aplicação a mais setores e um novo conceito de operadores de serviços digitais, que se dividem em operadores de serviços essenciais, com regras mais apertadas, e entidades importantes. Há ainda um reforço dos requisitos de segurança, uma maior proteção das cadeias de abastecimento e relação com fornecedores. As regras de supervisão vão ser mais estritas e as sanções muito mais pesadas. Também José Capote, Cyber Se- 57
