Entidades Essenciais e Importantes

Estados-Membros (EM)

Alterações face à Diretiva NIS(1)

A nova diretiva elimina a distinção entre operadores de serviços essenciais e prestadores de serviços digitais. As entidades são agora classificadas com base na sua importância e divididas em duas categorias: entidades essenciais e entidades importantes, que estão sujeitas a um regime de supervisão diferente.

O âmbito de aplicação é alargado, sendo adicionados à lista de setores críticos os seguintes:

• Águas residuais e gestão de resíduos;
• Infraestruturas digitais;
• Gestão de serviços TIC;
• Administração pública;
• Espaço;
• Serviços postais e de estafeta;
• Produção, fabrico e distribuição de produtos químicos;
• Produção, transformação e distribuição de produtos alimentares;
• Indústria transformadora;
• Prestadores de serviços digitais;
• Organismos de investigação.

Todas as médias e grande empresas dos setores previstos estão incluídas no âmbito de aplicação. É, ainda, prevista a possibilidade de cada EM identificar as entidades mais pequenas com um perfil de risco de segurança elevado que devem ser abrangidas pela nova Diretiva.

É estabelecida a rede “Cyber Crisis Liaison Organization Network” (CyCLONe), com o objetivo de promover a cooperação entre as autoridades nacionais responsáveis pela gestão de crises cibernéticas. Esta rede vai permitir uma colaboração coordenada por meio da partilha de informação e o conhecimento da situação com base em ferramentas e apoio fornecidos pela Agência Europeia para a Segurança das Redes e da Informação (ENISA).

Os EM devem assegurar que, no exercício das suas funções de supervisão em relação a entidades essenciais, as autoridades competentes dispõem de poderes para submeter essas entidades a, nomeadamente:

• Inspeções no local e supervisão remota, incluindo controlos aleatórios efetuados por profissionais qualificados;
• Auditorias de segurança regulares e específicas realizadas por um organismo independente ou por uma autoridade competente;
• Auditorias ad hoc, incluindo em casos justificados por um incidente significativo ou por infração à diretiva;
• Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios, equitativos e transparentes, se necessário em cooperação com a entidade em causa.

Medidas e Documentos a Implementar

Estão previstos 10 elementos-chave que todas empresas têm de abordar ou implementar como parte das medidas aplicáveis:

• Políticas de análise dos riscos e de segurança dos sistemas de informação;
• Tratamento de incidentes;
• Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises;
• Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;
• Segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação, incluindo o tratamento e a divulgação de vulnerabilidades;
• Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
• Práticas básicas de ciber-higiene e formação em cibersegurança;
• Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem;
• Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;
• Utilização de soluções de autenticação multifatores ou de autenticação contínua, comunicações seguras de voz, vídeo e texto e sistemas seguros de comunicações de emergência no seio da entidade, se for caso disso.

Os EM são obrigados a:

• Adotar uma estratégia nacional de cibersegurança;
• Designar equipas nacionais de resposta a incidentes de segurança informática (CSIRT);
• Designar uma autoridade competente para a área de cibersegurança nacional;
• Designar um ponto de contacto único, de forma a assegurar a cooperação transfronteiriça entre as autoridades dos vários EM (SPOC).

Os EM têm até 17 de outubro de 2024 para transpor a diretiva.

Obrigação de Notificação

• A diretiva estabelece a obrigação de comunicação de incidentes, tanto em nível nacional quanto internacional, para as empresas que prestam serviços nos setores mais relevantes. Estas entidades têm de proceder a um registo formal junto da ENISA.
• As empresas afetadas dispõem de 24 horas a partir do momento em que tomam conhecimento de um incidente para apresentar um alerta rápido à CSIRT ou à autoridade nacional competente. O alerta rápido deve ser seguido de uma notificação de incidente nas 72 horas seguintes à tomada de conhecimento do incidente e de um relatório final, o mais tardar um mês depois.
• Compete a cada EM garantir que as entidades comunicam as devidas informações de forma a permitir à autoridade competente determinar o eventual impacto transfronteiriço do incidente.
• O EM assegura que a autoridade competente transmite a respetiva notificação à CSIRT. 

Sanções

• Quanto às entidades essenciais, podem ser aplicadas coimas num montante máximo não inferior a 10 000 000 EUR ou num montante máximo não inferior a 2 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da empresa a que a entidade essencial pertence, consoante o montante que for mais elevado.
• Às entidades importantes, podem ser aplicadas coimas num montante máximo não inferior a 7 000 000 EUR ou num montante máximo não inferior a 1,4 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da empresa a que a entidade importante pertence, consoante o montante que for mais elevado.

–