O Parlamento Europeu deu luz verde a uma nova diretiva europeia de cibersegurança que servirá de prelúdio ao regulamento final com aprovação prevista para 2023.
Por Irene Iglesias Alvarez
Bruxelas deu um passo firme para a consolidação de um dos grandes pilares da cibersegurança no Velho Continente: o NIS2. Uma diretiva de grande significado para o futuro da Europa cuja aprovação final está prevista para o próximo ano de 2023. O Parlamento Europeu deu assim um facelift à já conhecida diretiva de Segurança de Redes e Informação (NIS1) através de uma reformulação que pretende tornar-se o prelúdio à grande estratégia comum de cibersegurança da Europa . Um marco regulatório “chave para muitos setores críticos adotarem com sucesso a transformação digital e aproveitarem ao máximo os benefícios económicos, sociais e sustentáveis da digitalização” com garantias protecionistas.
O NIS2 lança as bases para “medidas de gestão de riscos de cibersegurança e obrigações de informação em todos os setores que se enquadram no seu âmbito de aplicação” . Tudo isto com um objetivo definido: “ promover as capacidades de cibersegurança em toda a União Europeia, mitigar as ameaças às redes e sistemas de informação utilizados para a prestação de serviços essenciais em setores chave e garantir a continuidade destes serviços em caso de incidentes, contribuindo assim para a segurança da Zona Euro e o funcionamento eficiente da sua economia e sociedade”.
O que há de novo à vista
A nova norma, acordada em maio passado com os Estados-Membros, foi formalmente adoptada pelo Parlamento Europeu por 577 votos a favor, 6 contra e 31 abstenções ; isto é, com uma maioria curta. No entanto, para sua plena entrada em vigor, é necessário que o Conselho Europeu, órgão que reúne os governos dos países da União, passe por mais um processo de votação. Poderia dar asas à imposição de obrigações de cibersegurança mais rígidas para empresas e administrações, especialmente em termos de prevenção de riscos. Além disso, estabelece padrões comuns para defesa digital e amplia a lista de “setores essenciais” a serem protegidos para energia, transporte, bancos e saúde. Da mesma forma, inclui várias obrigações ao notificar ataques e compartilhar informações com o resto dos Estados.
Neste sentido, o NIS2 contempla detalhes muito específicos sobre como corporações e administrações devem responder a incidentes, gestão de crises, prevenção de vulnerabilidades, testes cibernéticos ou necessidade de usar criptografia de qualidade. A legislação aplicar-se-á tanto à administração pública quanto às médias e grandes empresas dos setores determinados nas listas como “importantes” na redação da norma. Estas áreas incluem, por exemplo, serviços postais, gestão de resíduos, indústrias químicas, farmacêuticas e alimentares, bem como a fabrico de máquinas pesadas, veículos e dispositivos digitais.
Neste cenário e após a apresentação da diretiva, a comissária europeia Margarethe Vestager exortou os Vinte e Sete a avançar na implementação de todas as medidas possíveis porque “aqueles que nos atacam não vão esperar pela transposição” do NIS2. E é que “haverá defesa europeia sem cibersegurança.“