A Diretiva SRI2 alarga o foco da SRI1 da cibersegurança técnica isolada para a resiliência em toda a empresa. Exige que as organizações mantenham serviços essenciais sob ameaça, recuperem rapidamente de incidentes e protejam a estabilidade da cadeia de abastecimento.

Com a SRI2, se os seus sistemas falharem, não são apenas os consumidores que estão em risco – a liderança também pode agora enfrentar sanções pessoais. Com a aplicação em vigor em todos os Estados-Membros a partir de outubro de 2024, precisa de se preparar agora para garantir que está em conformidade.

O que a SRI2 exige da sua organização

A SRI2 revisa a estrutura original da SRI1 e agora abrange novos setores, categoriza-os e coloca expetativas específicas sobre esses setores. Setores que podem nunca ter tido de pensar em regulamentação de cibersegurança – como os serviços de alimentação ou postais – enfrentam agora o mesmo escrutínio que os bancos e os hospitais.

A SRI2 também aperta a aplicação, aumenta as sanções e coloca a responsabilidade direta na liderança quando comparada com a SRI1. Isso significa que, se operar na UE, a não conformidade pode custar dinheiro e credibilidade à sua organização, ao mesmo tempo que coloca as suas equipas de liderança pessoalmente em risco. Estas implicações apontam para uma verdade: ao abrigo da SRI2, todos são responsáveis pela resiliência.

O que mudou da SRI1 para a SRI2?

A mudança mais importante na SRI2 é que os conselhos de administração e os executivos são agora pessoalmente responsáveis pela conformidade. Já não podem simplesmente delegar a responsabilidade, o que obriga os conselhos de administração a supervisionarem mais de perto a gestão de riscos e a governação.

A SRI2 também alarga a cobertura dos setores regulamentados e distingue entre entidades essenciais e importantes, designando áreas de foco para ambos. A conformidade é delineada por 10 medidas mínimas de gestão de riscos, bem como prazos de reporte para garantir a divulgação.

No geral, o objetivo é elevar a cibersegurança e a resiliência operacional a uma preocupação ao nível do conselho de administração. A não conformidade acarreta riscos graves, incluindo responsabilidade pessoal, destituição do cargo e sanções. A conformidade proativa não evita apenas sanções; também protege a liderança e fortalece toda a organização.

Principais funcionalidades introduzidas pela SRI2

A SRI2 introduz várias obrigações em comparação com a SRI1 que as organizações devem abordar imediatamente:

Área SRI1 SRI2
Âmbito Operadores limitados de serviços essenciais e prestadores de serviços digitais selecionados Expande-se para setores críticos, incluindo produção, alimentação, produtos químicos, serviços postais, investigação, espaço e administração pública
Classificação de entidades Nenhuma “Essencial” (Anexo I) e “Importante” (Anexo II)
Governação e Responsabilidade Delegada Os conselhos de administração e os executivos são responsabilizados; a não conformidade persistente pode exigir mudanças de liderança
Reporte de Incidentes Definido de forma vaga Notificação inicial em 24 horas, um relatório detalhado após 72 horas e um relatório final após um mês
Gestão de Riscos Orientação mínima 10 medidas de risco específicas
Sanções Variadas Multas à escala da UE, instruções vinculativas, divulgação pública e responsabilidade da liderança

Classificação de entidades em detalhe

  • Essencial (Anexo I): Águas residuais, administração pública, espaço
  • Importante (Anexo II): Serviços postais e de estafetas, gestão de resíduos (distinta de águas residuais), produção de produtos químicos, produção de alimentos, produção, prestadores de serviços digitais, investigação

As entidades essenciais apoiam a infraestrutura social crítica. A não conformidade pode significar interrupções nos serviços de que os consumidores dependem. As entidades importantes podem não ser tão críticas para a sociedade, mas as falhas ainda podem causar danos financeiros e de reputação significativos.

Ao abrigo da SRI2, as entidades essenciais têm requisitos de supervisão, enquanto as entidades importantes estão sujeitas a supervisão retroativa, o que significa que serão tomadas medidas se não estiverem em conformidade. Os Estados-Membros podem determinar o que constitui “supervisão” a partir de uma série de opções delineadas na diretiva.

As multas e sanções também são mais elevadas para as entidades essenciais comparativamente. As entidades essenciais enfrentam multas administrativas de até 10 milhões de euros ou, pelo menos, 2% do volume de negócios global anual total da empresa no exercício financeiro anterior, consoante o valor que for mais elevado. As entidades importantes não conformes enfrentam multas administrativas de até 7 milhões de euros ou, pelo menos, 1,4% do volume de negócios global anual total da empresa, consoante o que for mais elevado. Com estas sanções mais duras e uma visão rigorosa da responsabilidade pessoal pela liderança, a SRI2 visa aumentar a importância da não conformidade.

Quem tem de cumprir a SRI2?

Os setores recentemente regulamentados – e os líderes que os supervisionam – estão agora dentro do âmbito da SRI2. Esta diretiva não se trata apenas de cobertura, trata-se de quem será responsabilizado pelas interrupções. Para a sua organização, a responsabilidade da SRI2 estende-se para além das TI e envolve:

  • Gestão da continuidade de negócios (BCM): Manter os serviços essenciais em funcionamento
  • Resiliência operacional: Coordenar a recuperação em todas as unidades de negócios
  • Governação, risco e conformidade (GRC): Garantir que os protocolos de supervisão e governação são seguidos
  • Cibersegurança: Defender contra ameaças e apoiar o reporte de incidentes

Com esta responsabilidade partilhada, a coordenação multifuncional é fundamental para manter os serviços em funcionamento e mitigar os riscos de interrupção. A falta de colaboração pode levar a riscos de não conformidade, como a divulgação pública ou mesmo mudanças obrigatórias de liderança.

Os 10 requisitos de conformidade essenciais da SRI2

A SRI2 exige 10 medidas mínimas de gestão de riscos que a sua organização deve colocar em prática. Estas medidas são a base; os reguladores esperarão provas, e os líderes serão responsabilizados se não forem cumpridas:

1. Análise de riscos e segurança do sistema de informação

Expetativa: Identificar vulnerabilidades e definir controlos de proteção.
As lacunas aqui são a causa principal da maioria das falhas de conformidade, e os conselhos de administração serão questionados sobre o motivo pelo qual foram negligenciadas.

2. Tratamento de incidentes

Expetativa: Responder eficazmente para reduzir o impacto operacional e financeiro.
Os prazos são apertados ao abrigo da SRI2, e um processo de incidentes fraco arrisca prazos perdidos.

3. Medidas de continuidade de negócios

Expetativa: Manter os serviços essenciais durante as interrupções.
Se o seu plano falhar sob pressão, os serviços essenciais podem ficar offline.

4. Segurança da cadeia de abastecimento

Expetativa: Prevenir interrupções ou violações relacionadas com fornecedores.
Um fornecedor fraco pode colocar toda a sua organização fora de conformidade. Os reguladores não aceitarão “o nosso fornecedor falhou” como desculpa.

5. Segurança na aquisição, desenvolvimento e manutenção de sistemas, incluindo o tratamento e a divulgação de vulnerabilidades

Expetativa: Proteger os sistemas desde o início para reduzir os riscos.
Se a segurança for adicionada demasiado tarde, as vulnerabilidades multiplicam-se, deixando-o responsável por fraquezas evitáveis.

6. Políticas e procedimentos para avaliar a eficácia das medidas de gestão de riscos de cibersegurança

Expetativa: Garantir que os controlos de risco permanecem eficazes ao longo do tempo.
Os controlos obsoletos não satisfarão os reguladores. Os conselhos de administração devem mostrar evidências de que as proteções são testadas e ainda eficazes.

7. Higiene informática básica e formações

Expetativa: Equipar os funcionários para prevenir violações e erros.
A maioria das violações remontam a erros simples. A formação inadequada pode expor a sua organização a sanções por negligência.

8. Políticas sobre o uso adequado de criptografia e encriptação

Expetativa: Proteger dados e comunicações confidenciais.
A criptografia fraca pode expor os dados dos clientes, desencadeando multas e requisitos de divulgação pública que prejudicam diretamente a credibilidade.

9. Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos:

Expetativa: Limitar a exposição a ameaças internas e externas.
O controlo de acesso deficiente é uma das formas mais rápidas de falhar as auditorias de conformidade.

10. Uso de comunicação de voz/vídeo/texto multifator e segura e comunicação de emergência segura

Expetativa: Impor um acesso forte e garantir a comunicação durante as crises.
A autenticação fraca ou os canais de comunicação interrompidos podem paralisar a resposta à crise.

De acordo com as diretrizes, estas medidas devem ser implementadas proporcionalmente ao risco, tamanho, custo e impacto dos incidentes. Ao abrigo da diretiva, a UE também pode realizar avaliações de risco de serviços, sistemas ou cadeias de abastecimento críticos, impor obrigações de certificação e adotar requisitos técnicos relacionados com estas medidas.

Estas 10 medidas devem ser vistas como o piso, não o teto, da resiliência. Os reguladores esperarão que as demonstre na prática e responsabilizarão pessoalmente os líderes se alguma for negligenciada.

Barreiras comuns à conformidade com a SRI2

Muitas organizações podem deparar-se com estas questões ao tentar cumprir a SRI2:

  • Propriedade não designada em equipas de governação, operacionais e de TI
    • Armadilha: Todos assumem que “outra pessoa” é responsável pela conformidade. Os prazos de reporte podem ser ultrapassados porque nenhuma equipa se sente verdadeiramente responsável.
    • Como Evitar: Atribua um único proprietário executivo com autoridade multifuncional e, em seguida, rastreie as responsabilidades em todas as equipas com transparência.
  • Estratégias desalinhadas de cibersegurança e resiliência operacional
    • Armadilha: As equipas de cibersegurança concentram-se estritamente em defesas técnicas, enquanto as equipas de continuidade de negócios concentram-se na recuperação, deixando uma lacuna entre elas. Esta desconexão aparece quando ocorre um incidente, e os planos de recuperação não correspondem à ameaça real.
    • Como Evitar: Trate a resiliência e a cibersegurança como um processo contínuo, não como silos separados. Realize exercícios de mesa conjuntos, para que os planos não colapsem sob pressão.
  • Conformidade desconjuntada em locais e equipas
    • Armadilha: As grandes organizações podem permitir que os locais regionais interpretem a SRI2 de forma diferente. Alguns cumprem em excesso, outros cumprem em falta, criando reportes inconsistentes e lacunas de auditoria.
    • Como Evitar: Centralize as políticas de conformidade e, em seguida, adapte-se localmente onde for necessário. Use painéis de software para manter uma única fonte de verdade.
  • Prazos de reporte e documentação perdidos
    • Armadilha: As equipas correm após um incidente porque os caminhos de escalonamento não são claros. Os relatórios são enviados atrasados ou incompletos, desencadeando sanções regulatórias.
    • Como Evitar: Predefina os protocolos de escalonamento e automatize a recolha de evidências. Pratique o ciclo de reporte de 24/72 horas com antecedência, para que não falhe no momento.
  • Fornecedores não monitorizados
    • Armadilha: As empresas assumem que os fornecedores têm controlos adequados, mas não verificam. Quando ocorre uma violação do fornecedor, os reguladores responsabilizá-lo-ão.
    • Como Evitar: Crie revisões de risco do fornecedor em contratos e exija evidências de conformidade. Monitore os seus fornecedores continuamente, não apenas anualmente.

A maioria das falhas da SRI2 não acontecem porque as organizações estão a ignorar as regras. Acontecem por causa de pequenas lacunas na propriedade, no tempo ou na supervisão do fornecedor. A diferença entre a conformidade e a falha dispendiosa muitas vezes resume-se a se estas lacunas são fechadas com antecedência.

Como preparar-se para a conformidade com a NIS2

Para estar pronto, as organizações devem:

  • Realizar uma análise de lacunas para identificar fraquezas contra as 10 medidas da SRI2.
  • Estabelecer colaboração entre as equipas de BCM, GRC e cibersegurança.
  • Fortalecer a supervisão do fornecedor e da cadeia de abastecimento para prevenir interrupções externas.
  • Definir protocolos de governação e escalonamento para decisões oportunas e conformes.
  • Integrar a resiliência no planeamento de negócios com testes regulares e auditorias de continuidade.

As organizações que tomarem estas medidas agora estão em melhor posição para evitar atrasos no reporte e interrupções de serviço. Quanto mais cedo começar, mais tempo terá para fechar as lacunas e menos provável será que seja apanhado de surpresa quando os reguladores exigirem provas.

Como o software de gestão de riscos simplifica a conformidade com a SRI2

Quando as equipas estão a correr para obter evidências após um incidente, o software automatiza todo o seu rasto de evidências. A sua organização pode usar o software para fechar lacunas comuns da SRI2 através de:

  • Realizar uma análise de lacunas para identificar fraquezas contra as 10 medidas da SRI2.
  • Centralização de dados: A sua organização tem uma fonte de verdade pronta para auditoria sem folhas de cálculo dispersas ou relatórios conflitantes.
  • Automatização do reporte: Pode automatizar o fluxo de trabalho de reporte de 24/72 horas com evidências com carimbo de data/hora, escalonamentos automáticos e encaminhamento de aprovação.
  • Ligar a responsabilidade da liderança aos resultados: Torne a responsabilidade da liderança visível com painéis e registos de ação que mapeiam os riscos para os proprietários e as decisões.
  • Rastrear a conformidade em tempo real: Forneça instantâneos executivos prontos para auditoria a pedido, para que o conselho de administração possa ver a postura atual e as remediações pendentes.
  • Fornecer documentação estruturada: Capture rastos de papel invioláveis, incluindo carimbos de data/hora, históricos de versões e anexos, para que as auditorias não causem caos.

Os fluxos de trabalho automatizados podem ajudá-lo a entregar aos reguladores um pacote de evidências estruturado e oportuno. Especialmente durante uma crise stressante, pode manter a conformidade calma em vez de se apressar a reunir documentos e perder prazos.

A SRI2 define uma fasquia mais alta para a resiliência com novas alavancas de aplicação, como prazos rigorosos, medidas mínimas e sanções pessoais. Como a SRI2 já está em vigor, é hora de garantir que a sua organização atribuiu responsabilidade, automatizou o reporte de incidentes e tem monitorização contínua em vigor.

Com um software eficaz, pode mostrar um instantâneo auditável da sua postura da SRI2 a tempo para a sua próxima reunião do conselho de administração. No geral, a capacidade da sua organização de mostrar aos reguladores evidências a pedido – e a sua responsabilidade pessoal como líder – é o que define o sucesso ao abrigo da SRI2.

Para obter mais informações sobre resiliência, leia o nosso ebook, O Seu Guia para a Resiliência Cibernética, e para saber mais sobre como fortalecer o seu programa de resiliência cibernética, consulte o Gestão da Continuidade de Negócios da Riskonnect e o software GRC.