Nova Diretiva de Segurança de Rede e Informação (NIS) da UE entra em vigor

Em 9 de maio encerrou-se o prazo de transposição para a nova Network and Information Security (NIS) Directive para a legislação nacional dos estados membros da União Europeia. Menos conhecida do que o GDPR, a diretiva da UE sobre a segurança de redes e sistemas de informação poder ter o mesmo impacto em certos setores críticos da indústria.

Este novo regulamento destina-se a criar um nível base de segurança para as organizações que operam serviços essenciais. Os principais setores abrangidos por este regulamento são: fornecedores de energia, transporte, bancos, infraestrutura de serviços financeiros, saúde, água e provedores de infraestrutura digital. As organizações neste âmbito são denominadas “operadores de serviços essenciais” e devem implementar as regras da diretiva para formar o “nível básico de segurança” exigido.

A diretiva da União Europeia foi aprovada em 6 de julho de 2016, e os estados-membros tiveram 21 meses para transpor a diretiva para sua legislação nacional e isso começar a impactar as empresas.

Paul McKay, analista da Forrester, levantou  algumas das principais maneiras pelas quais grandes corporações podem ser impactadas a partir das mudanças no setor de segurança pela Diretiva NIS.

1. Sanções financeiras por violação da directiva;
2. Notificação obrigatória de violação de segurança;
3. Compartilhamento de dados sobre violações para ajudar a informar países do grupo;
4. Ajuste ou implementação de novos controles de segurança para se adequar;
5. Gestão da cadeia de suprimentos/fornecedores com rigor em segurança;
6. A prestação de serviços digitais será particularmente afetada.

O analista pondera, porém, que o NIS é uma diretiva e não um regulamento, e cabe aos estados membros determinar como eles a aplicarão. Isso significa que diferentes estados membros da UE terão implementações diferentes dos controles de segurança necessários.