Tudo de que você precisa para se preparar para a Diretiva NIS2

Percorra o caminho à conformidade NIS2 com a Sophos

A Diretiva NIS2 entrou em vigor em janeiro de 2023, e os estados‑membros da União Europeia tiveram até 17 de outubro de 2024 para integrar os requisitos de segurança da NIS2 à legislação de seus países. A partir dessa data, todas as empresas sob o escopo da NIS2 devem assegurar o cumprimento dos requisitos atualizados.

Soluções Sophos para a NIS2

strengthen-your-nis2-cybersecurity-strategy-with-sophos

O que há de novo na NIS2?

A NIS2 substitui a Diretiva NIS original que foi apresentada em 2016 e a qual foi a primeira legislação normativa em segurança cibernética a abranger toda a União Europeia. A NIS2 amplia o escopo da estrutura inicial de forma a incluir mais segmentos da indústria, introduz medidas de fiscalização mais rigorosas para as autoridades nacionais, coloca maior enfoque nas cadeias de suprimentos e estabelece sanções mais rigorosas e penalidades mais rigorosas no caso de não cumprimento.

Conheça o escopo, as definições e o contexto da terminologia da NIS2

Leia o documento técnico da NIS2

A quem se aplica a NIS2?

Originalmente, a Diretiva NIS aplicava-se a organizações de infraestrutura crítica, consolidando em seus requisitos apenas sete setores da indústria como Operadores de serviços essenciais e três setores da indústria como Serviços digitais. A NIS2 expande significativamente esse escopo e passa a incluir 11 setores da indústria como Entidades essenciais e sete setores da indústria como Entidades importantes.

As Entidades essenciais estão sujeitas a um regime de fiscalização mais intenso, em que as conformidades ex-ante e ex-post são monitoradas, o que significa que as entidades terão que atender aos requisitos de fiscalização a partir da introdução da NIS2. As Entidades importantes estão sujeitas a uma forma mais leve de fiscalização, englobando apenas ex-post, o que significa que as medidas serão tomadas se e quando as autoridades receberem evidências do não cumprimento.

Uma organização é coberta pela Diretiva NIS2 se:

A organização oferecer serviços ou atuar em qualquer dos estados‑membros da União Europeia
Salvo exceções, a organização tiver no mínimo 50 funcionários ou um movimento anual ou balanço patrimonial de mais de 10 milhões de euros
A organização operar em um dos 18 setores especificados pela NIS2 sob os Anexo I e Anexo II

A NIS2 identifica as organizações que operam nos 18 setores a seguir como entidades essenciais e entidades importantes de acordo com a receita anual total e o tamanho da organização:

*Entidades essenciais:

Em geral, são organizações de médio e grande porte consideradas vitais para a atividade econômica, e que operam nos setores relacionados na coluna à esquerda.

**Entidades importantes:

Em geral, são organizações de médio e grande porte consideradas importantes para a atividade econômica, mas não vitais, e que operam nos setores relacionados na coluna à direita.

Exceções: empresas que são fornecedoras únicas e exclusivas de um determinado serviço em um estado‑membro da União Europeia, ou que a interrupção dos serviços prestados por elas poderia ter um impacto significativo, podem ser classificadas como uma entidade essencial ou uma entidade importante independentemente do tamanho.

Critérios básicos para que uma organização seja considerada de grande porte:

250 funcionários ou mais, ou
Movimento anual de 50 milhões de euros ou mais, e balanço patrimonial total de 43 milhões de euros ou mais

Critérios para que uma organização seja considerada de médio porte:

50 funcionários ou mais, ou
Movimento anual e balanço patrimonial total de 10 milhões de euros ou mais

Organizações de pequeno porte ou microempresas não estão excetuadas do escopo da NIS2. Os estados‑membros podem estender os requisitos da NIS2 se uma entidade atender a critérios específicos em papéis fundamentais a atividades socias, econômicas ou setores ou tipos de serviços.

Não tem certeza se a NIS2 se aplica à sua organização?

Faça um teste de autoavaliação sobre a NIS2 para descobrir.

Fazer o teste

Penalidades pelo descumprimento da NIS2

A NIS2 introduz penalidades mais rigorosas às Entidades essenciais e Entidades importantes pelo não cumprimento dos requisitos de segurança ou por omitir-se em relatar incidentes. Embora as multas específicas possam variar de acordo com o estado‑membro, a NIS2 visa equilibrar as penalidades entre todos os estados-membros ao estabelecer uma lista de sanções administrativas mínimas. Os diferentes tipos de penalidades pelo não cumprimento incluem:

Penalidades não monetárias

A NIS2 dá mais poder às autoridades de fiscalização nacionais para supervisionar e impor a conformidade com recursos de remediação não monetários, incluindo:

Atos jurídicos de conformidade (órgãos reguladores podem emitir uma ordem para implementar ações específicas)
Instruções de cumprimento obrigatório (órgãos reguladores podem exigir que uma empresa tome medidas específicas)
Obrigações de implementação de auditoria de segurança (ordens por órgãos reguladores para implementar uma medida de segurança)
Obrigações de notificação de ameaça a clientes de entidades (nota pública de não conformidade)
Proibições temporárias (ordens por órgãos reguladores proibindo que a gestão execute funções de gerenciamento)

Multas administrativas

Para Entidades essenciais: patamar máximo de € 10.000.000 ou 2% da receita anual global, o que for mais alto.
Para Entidades importantes: patamar máximo de € 7.000.000 ou 1,4% da receita anual global, o que for mais alto.

Responsabilidade pessoal para gerentes de Entidades essenciais e Entidades importantes

A NIS2 inclui novas medidas que permitem aos estados‑membros atribuir à gestão sênior (por exemplo, membros de conselho diretivo, diretores, executivos) de Entidades essenciais e Entidades importantes a responsabilidade civil pelas exigências da NIS2. Isso inclui exigir que a empresa leve a público as infrações de conformidade, declare publicamente a natureza da infração que ocorreu e as pessoas responsáveis pela falha, e suspenda temporariamente os indivíduos envolvidos de seus cargos de gestão. Além disso, os encarregados do gerenciamento podem arcar com a responsabilidade civil pelo exercício negligente no cumprimento de suas responsabilidades na gestão da segurança cibernética.

Soluções Sophos para a NIS 2

Webinar gratuito sobre a NIS2

Registre-se em nosso webinar sob demanda, em que especialistas decifrarão a NIS2 para você. Saiba como a Sophos pode ajudar você no cumprimento das novas regras.

Assistir ao webinar sob demanda

Atenda à conformidade da NIS2 com a Sophos

A conformidade com a NIS2 é uma oportunidade para as organizações fortalecerem sua postura de segurança e resiliência contra as ameaças cibernéticas, contribuindo para um cenário digital mais forte na União Europeia.

A Sophos pode ajudá-lo a atender aos requisitos da NIS2 com confiança. Nossa ampla capacidade nas questões da segurança cibernética pode ajudá-lo no cumprimento de requisitos‑chave da NIS2.

	Sophos Endpoint	Sophos Firewall	Sophos MDR	Sophos XDR
Políticas sobre análises de risco
Tratamento de incidentes
Continuidade dos negócios
Segurança da cadeia de suprimentos
Garantia da segurança de sistemas de rede e informação, incluindo tratamento de vulnerabilidades e exposição
Avaliação da eficiência das medidas de gestão de risco de segurança cibernética
Políticas de uso de criptografia e cifragem
Segurança de recursos humanos, políticas de controle de acesso e gestão de ativos
Uso de autenticação multifator
Obrigações de notificação e informes

Para saber mais sobre as soluções de segurança intuitivas da Sophos que podem auxiliá-lo no cumprimento da NIS2, baixe as Soluções Sophos para a NIS2.

Comparação da NIS2 com outras regulamentações de segurança cibernética

A NIS2 é apenas uma das muitas regulamentações em segurança cibernética que os operadores na União Europeia devem cumprir. Veja aqui a relação da Diretiva NIS2 com as outras estruturas e como elas se sobrepõem:

	NIS2	GDPR	DORA	CER
Diretiva EU	(EU) 2022/2555	(EU) 2016/679	(EU) 2022/2554	(EU) 2022/2557
Nome da diretiva	Network and Information Security Directive 2	General Data Protection Regulation	Digital Operational Resilience Act	Critical Entities Resilience Directive
Escopo	Aplica-se a organizações que são Entidades essenciais e Entidades importantes; substitui a NIS1 (EU) 2016/1148.	Aplica-se a qualquer organização que processa os dados pessoais de indivíduos que vivem na União Europeia e no Espaço Econômico Europeu.	Aplica-se a todas as entidades financeiras na União Europeia.	Aplica-se a organizações que são consideradas vitais de acordo com a decisão do estado‑membro.
Finalidade	Estipulada para aumentar a segurança cibernética e a resiliência dos sistemas de rede e informação em toda a União Europeia.	Protege os direitos fundamentais e a liberdade dos indivíduos, especificamente o direito à privacidade e à proteção de dados pessoais.	Além das exigências pertinentes à segurança cibernética, a diretiva coloca ênfase na resiliência geral das instituições financeiras.	Enfatiza a resiliência e continuidade dos negócios de Entidades críticas designadas no corpo da Diretiva e oferece orientação sobre defesas contra riscos não relacionados à cibernética.
Status de conformidade com respeito à NIS2	-	Organizações cobertas pela NIS2, que também são controladoras de dados ou processadoras de dados sob a EU GDPR, devem atender às Diretivas EU GDPR e EU NIS2.	DORA e NIS2 devem trabalhar em conjunto para fortalecer os requisitos de segurança cibernética; cada qual determina exigências distintas e ambas são aplicáveis a instituições financeiras.	As Entidades críticas também devem atender à NIS2 quando se trata de segurança cibernética e à diretiva CER nos incidentes não cibernéticos.
Data efetiva	17 de outubro de 2024	25 de maio de 2018	17 de janeiro de 2025	18 de outubro de 2024
Sanções	Inclui penalidades não monetárias (como atos jurídicos de conformidade), multas administrativas e sanções penais. Multas por não conformidade a Entidades essenciais podem chegar a 2% do movimento anual total em âmbito mundial ou a € 10 milhões (o que for mais elevado), enquanto que, para Entidades importantes, esse valor pode chegar a 1,4% do movimento anual total em âmbito mundial ou a € 7 milhões.	Infrações às disposições do GDPR podem incorrer em multas substanciais, incluindo até € 10 milhões, ou 2% do movimento global anual (primeiro patamar das penalidades monetárias), ou até € 20 milhões, ou 4% do movimento global anual (segundo patamar das penalidades monetárias), dependendo da natureza da infração.	Penalidades financeiras por violações à DORA podem ser impostas, mas o exato montante dependerá das disposições infringidas e da severidade da violação. Os órgãos reguladores também podem tomar outras medidas, incluindo avisos, restrições operacionais ou atos jurídicos que restrinjam as operações até que haja prova de conformidade.	As penalidades pela não conformidade variam por estado‑membro, mas espera‑se que incluam multas, notificação pública, correção e suspensão de autorização.

Disclaimer: Specifications and descriptions are subject to change without notice. Sophos disclaims all warranties and guarantees regarding this information. The use of Sophos products alone does not comprise legal advice and does not guarantee legal compliance. The information in this document does not constitute legal advice. Customers are solely responsible for compliance with all laws and regulations and should consult their own legal counsel for advice regarding such compliance.

For more information on how to achieve your NIS 2 compliance goals before the deadline, contact us today.

Anwenderberichte

Lesen Sie, wie sich unsere Kunden mit Sophos-Lösungen vor Cyberbedrohungen schützen.

Sicher vor modernen Cyberattacken

Die Schletter Solar GmbH profitiert jetzt von einer IT-Security-Lösung, die flexibel auf die Anforderungen der Zukunft reagieren kann.

Mehr erfahren

Mehr Schutz und Effizienz

Dank Sophos MDR hat die Transportgemeinschaft Wangen AG (TGW) nun maximale Kontrolle und Transparenz und kann auch modernsten Attacken Paroli bieten.

Mehr erfahren

Fit für die Zukunft

Die WEFRA LIFE ist jetzt langfristig für die Aufgaben in IT-Sicherheit gewappnet und optimal aufgestellt, um das Thema Cyber-Versicherung anzugehen.

Mehr erfahren

AG Barr

Sophos has enabled AG Barr’s IT teams to undertake more proactive tasks instead of being drawn into managing security challenges.

Learn More

HammondCare

Sophos extended HammondCare’s existing security practice - eliminating the need for them to build up their own in-house capability.

Learn More

Weitere Erfahrungsberichte finden Sie hier

Entre em contato

A NIS2 afeta você? Preencha este formulário para receber o link para uma rápida autoavaliação.

Nome

Sobrenome

E-mail comercial

Empresa

Função de trabalho

Número de telefone

País

How Did You Hear About Us?

I agree to all the terms and conditions in the Sophos End User Terms of Use.

Envie-me atualizações sobre produtos, serviços, promoções, convite para eventos especiais e outras ofertas da Sophos. (Se desejar, cancele sua assinatura usando o link localizado no rodapé dos e-mails da Sophos.)

Ao enviar este formulário, você concorda em ser contatado sobre os produtos e serviços Sophos pelos membros do grupo de empresas Sophos e outras empresas selecionadas que realizam parcerias conosco para fornecer nossos produtos e serviços. A Sophos tem o compromisso de proteger a sua privacidade. Caso queira mais informações sobre como coletamos e usamos os seus dados pessoais, leia a nossa página de política de privacidade e informações sobre cookies.