Nova Diretiva de Segurança de Rede e Informação (NIS) da UE entra em vigor
Menos conhecida do que o GDPR, a diretiva poder ter grande impacto
Em 9 de maio encerrou-se o prazo de transposição para a nova Network and Information Security (NIS) Directive para a legislação nacional dos estados membros da União Europeia. Menos conhecida do que o GDPR, a diretiva da UE sobre a segurança de redes e sistemas de informação poder ter o mesmo impacto em certos setores críticos da indústria.
Este novo regulamento destina-se a criar um nível base de segurança para as organizações que operam serviços essenciais. Os principais setores abrangidos por este regulamento são: fornecedores de energia, transporte, bancos, infraestrutura de serviços financeiros, saúde, água e provedores de infraestrutura digital. As organizações neste âmbito são denominadas “operadores de serviços essenciais” e devem implementar as regras da diretiva para formar o “nível básico de segurança” exigido.
A diretiva da União Europeia foi aprovada em 6 de julho de 2016, e os estados-membros tiveram 21 meses para transpor a diretiva para sua legislação nacional e isso começar a impactar as empresas.
Paul McKay, analista da Forrester, levantou algumas das principais maneiras pelas quais grandes corporações podem ser impactadas a partir das mudanças no setor de segurança pela Diretiva NIS.
- Sanções financeiras por violação da directiva;
- Notificação obrigatória de violação de segurança;
- Compartilhamento de dados sobre violações para ajudar a informar países do grupo;
- Ajuste ou implementação de novos controles de segurança para se adequar;
- Gestão da cadeia de suprimentos/fornecedores com rigor em segurança;
- A prestação de serviços digitais será particularmente afetada.
O analista pondera, porém, que o NIS é uma diretiva e não um regulamento, e cabe aos estados membros determinar como eles a aplicarão. Isso significa que diferentes estados membros da UE terão implementações diferentes dos controles de segurança necessários.