A Diretiva sobre Segurança das Redes e dos Sistemas de Informação 2 (Network and Information Systems 2 - NIS 2) é parte da estratégia da União Europeia em matéria de cibersegurança. Ela visa aumentar a segurança das redes e dos sistemas de informação em toda a UE, especialmente em setores essenciais para a economia e a sociedade. O NIS 2 baseia-se na Diretiva anterior NIS e introduz novos requisitos para operadores de serviços essenciais (OSE) e prestadores de serviços digitais (PSD).
A diretiva estende o escopo para mais setores e serviços, incluindo marketplaces online, mecanismos de busca e redes sociais. OSEs e PSDs devem relatar incidentes significativos de cibersegurança às autoridades nacionais. As organizações devem implementar medidas de gestão de riscos e aderir a padrões de cibersegurança. Melhoria na cooperação e coordenação entre os Estados membros da UE para garantir uma resposta eficaz a incidentes de cibersegurança transfronteiriços. O NIS 2 introduz penalidades para o não cumprimento, incluindo penalidades financeiras por não relatar incidentes ou implementar medidas de segurança. o NIS 2 visa fortalecer a resiliência da cibersegurança em toda a UE e melhorar a segurança geral das redes e dos sistemas de informação.
Conforme artigo CISO Advisor do Alex Rodriguez, a Europa encontrou, na NIS 2, um roteiro completo de reinvenção de processos e posturas de segurança digital para elevar a maturidade digital de um continente estratégico. Há um descontentamento geral com o que foi conquistado com a primeira versão da NIS 2 — a NIS 1, lançada em 2016. De lá para cá, os ataques se multiplicaram. Conforme artigo Novo Nordisk, Nestlé, Hermes International, L´Oreal, Novartis, Shell, Siemens, HSBC, Airbus e Allianz. As empresas brasileiras que desejam realizar negócios com essas e outras gigantes europeias precisam estudar, com urgência, a nova lei de segurança digital que está mudando a face da União Europeia.
O impacto direto do NIS 2 nas empresas brasileiras pode ser limitado, uma vez que a diretiva é parte da legislação da União Europeia e se aplica principalmente a empresas que operam dentro da UE. No entanto, empresas brasileiras que prestam serviços para clientes na UE ou que têm operações significativas dentro da UE podem ser afetadas pelas exigências do NIS 2.
Se uma empresa brasileira for considerada um prestador de serviços digitais (PSD) sob o escopo do NIS 2, ela pode precisar cumprir com os requisitos da diretiva, como relatar incidentes de segurança significativos às autoridades competentes da UE e implementar medidas de segurança cibernética adequadas.
Além disso, a experiência com o NIS 2 na UE pode influenciar o desenvolvimento de regulamentações de cibersegurança em outros países e regiões, incluindo o Brasil. Portanto, é importante que as empresas brasileiras estejam atentas às tendências globais em cibersegurança e estejam preparadas para cumprir com os requisitos de segurança de dados em diferentes jurisdições.