Novo Regulamento de Cibersegurança da UE Enfrenta Atrasos na Implementação

A nova Diretiva NIS 2 da União Europeia, que impõe regras mais rigorosas de cibersegurança para as empresas, entrou em vigor na semana passada, mas a maioria dos países membros ainda não a transpos para as suas leis nacionais, este atraso levanta preocupações sobre a eficácia da medida e a vulnerabilidade de infraestruturas essenciais, como bancos e fornecedores de energia, a ataques cibernéticos.

A Diretiva NIS 2, parte da estratégia da União Europeia para melhorar a segurança das redes e sistemas de informação, foi criada em resposta ao aumento significativo de ciberataques e à crescente sofisticação das ameaças digitais, substituindo a versão anterior da Diretiva NIS, o novo regulamento abrange um maior número de sectores, como transportes, saúde e serviços financeiros, impondo medidas mais rígidas de gestão de risco e continuidade dos negócios, as empresas afetadas deverão notificar violações cibernéticas num prazo mais curto, de apenas 24 horas.

Apesar da entrada em vigor oficial da NIS 2, muitos Estados-membros da UE, incluindo Portugal, ainda não adaptaram o regulamento às suas legislações nacionais, o que tem gerado incertezas e atrasos na sua aplicação prática, de acordo com a Comissão Europeia, países como Bélgica e Itália já notificaram a transposição completa da diretiva, enquanto outros, como Croácia e Lituânia, estão a caminho de a implementar.

A aplicação desigual da NIS 2 nos diversos Estados-membros traz preocupações sobre o aumento das vulnerabilidades no espaço cibernético europeu. Especialistas em tecnologia e cibersegurnaça, alertam que “os maus atores podem aproveitar as lacunas na transposição da NIS 2, visando países que ainda não implementaram a diretiva ou fornecedores menores e menos protegidos”. O risco não se limita às empresas de tecnologia, mas abrange setores críticos, como transportes e água, que podem enfrentar sanções severas em caso de não conformidade, com multas que podem chegar a 10 milhões de euros ou 2% das receitas globais.

As organizações de menor porte expressaram dificuldades em lidar com as discrepâncias entre as adaptações locais da diretiva, uma situação agravada pela falta de recursos para acompanhar as exigências regulatórias.

A Comissão Europeia, em comunicado, sublinhou o compromisso de auxiliar os Estados-membros na implementação da diretiva, destacando que tem oferecido orientações e apoio nos últimos 21 meses, a Comissão também advertiu que “está pronta para usar os mecanismos à sua disposição” para garantir que os países concluam a transposição.

Desde o lançamento da primeira Diretiva NIS em 2016, a União Europeia tem procurado melhorar a resiliência cibernética de suas infraestruturas críticas, a rápida evolução dos ciberataques, incluindo aqueles patrocinados por estados, exigiu uma atualização substancial da legislação, a NIS 2 visa precisamente preencher estas lacunas, com uma cobertura mais ampla de sectores e requisitos mais rigorosos, incluindo a obrigação de partilhar informações sobre vulnerabilidades, mesmo quando empresas são vítimas de ataques.

Analistas destacam que a eficácia da NIS 2 dependerá, em grande parte, da sua implementação uniforme em toda a União Europeia, desigualdades no cumprimento podem criar “portas abertas” para ciberataques, enfraquecendo o impacto do regulamento. O futuro da segurança cibernética na UE depende da rápida ação dos Estados-membros para integrar a NIS 2 nas suas legislações nacionais, pois, sem uma aplicação consistente, a diretiva corre o risco de ser ineficaz, deixando setores críticos expostos a potenciais ataques. A Comissão Europeia deverá intensificar a pressão para assegurar a implementação completa e uniforme da diretiva, enquanto as empresas, particularmente as de menor dimensão, precisarão de apoio adicional para adaptar as suas operações às novas exigências. Nos próximos meses, será crucial observar como os países que ainda não transpus a diretiva lidam com a pressão regulatória, e se o setor privado conseguirá responder adequadamente às exigências de resiliência cibernética estabelecidas pela UE.