A diretiva NIS2 (diretiva EU 2022/2555) está remodelando as obrigações de segurança cibernética na União Europeia. Com dez estados-membros já transpondo o regulamento para suas legislações nacionais, as organizações têm se deparado com uma colcha de retalhos de exigências de conformidade. A versão 2 dessa diretiva dedicada a redes e sistemas de informação (Network and Information Systems, NIS) expandiu seu escopo, passando a cobrir mais setores e parceiros terceirizados, além de introduzir a responsabilização pessoal das equipes de liderança. Para empresas multinacionais, isso significa ter que gerenciar sua conformidade em um cenário regulatório fragmentado, que exige atenção da diretoria, uma execução localizada e uma estratégia clara para implementar uma base de segurança cibernética em toda a empresa.

A diretiva NIS2 representa uma evolução significativa na abordagem da União Europeia para a regulamentação da segurança cibernética. Concebida para fortalecer a resiliência digital nos serviços essenciais e críticos, a NIS2 impõe obrigações mais rigorosas, tem uma aplicabilidade mais ampla e, pela primeira vez, prevê a responsabilização pessoal da liderança da empresa.

Estado de implementação: uma colcha de retalhos de leis nacionais

Até agora, 10 estados-membros da União Europeia fizeram a transposição da diretiva NIS2 para leis nacionais, cada uma com seu próprio marco legal e órgão de aplicação:

• Bélgica: Lei de 26 de Abril de 2024 sobre segurança cibernética de redes e sistemas de segurança pública
• Croácia: Lei de Segurança Cibernética
• Grécia: Lei sobre a Autoridade Nacional de Segurança Cibernética e outras disposições
• Hungria: Lei XXIII de 2023 sobre certificação e supervisão em segurança cibernética
• Itália: Decreto Legislativo nº 138, de 4 de setembro de 2024
• Letônia: Lei Nacional de Segurança Cibernética
• Lituânia: Lei nº 12-1428 sobre segurança cibernética
• Romênia: Portaria de emergência sobre a segurança cibernética do ciberespaço civil nacional
• Eslováquia: Lei 366/2024, alterando os regulamentos existentes de segurança cibernética
• Finlândia: Lei de Segurança Cibernética

Embora esse seja um avanço notável, as divergências na forma como cada estado-membro estrutura a aplicação da lei e as exigências operacionais estão revelando um dos principais desafios da NIS2: a variabilidade.

Um cenário de aplicação fragmentado para organizações multinacionais

Diferentemente de outros regulamentos centralizados, a diretiva NIS2 permite que cada estado-membro use seus próprios critérios para definir procedimentos de aplicação, possibilitando até mesmo a ampliação do escopo da diretiva. Isso resulta em um cenário regulatório fragmentado, especialmente problemático para organizações multinacionais que operam em várias jurisdições dentro da UE.

Essas organizações precisam levar em consideração:

• Diferentes definições de entidades “essenciais” e “importantes”;
• Cronogramas e autoridades variadas para a comunicação de incidentes;
• Penalidades e requisitos de auditoria específicos para cada país;
• Critérios próprios de cada país para inclusão no escopo.

A consequência é uma expansão da conformidade, o que exige o alinhamento operacional das áreas jurídica, de segurança cibernética e de riscos, em coordenação contínua com as autoridades de supervisão de cada país.

Escopo ampliado: mais entidades, mais exposição

No cerne da diretiva NIS2 está um escopo amplamente expandido. A diretiva abrange duas categorias de entidades:

• Entidades essenciais: energia, transporte, serviços bancários, saúde, infraestrutura digital e administração pública.
• Entidades importantes: serviços postais, produção de alimentos, fabricação de produtos críticos e provedores digitais.

Além disso, fornecedores e provedores terceirizados que desempenham papéis fundamentais na execução desses serviços também estão sujeitos a requisitos de gestão de riscos e due diligence.

Complicando ainda mais o cenário, os estados-membros têm o direito de ampliar o escopo da diretiva em suas legislações nacionais, colocando setores adicionais ou organizações menores no alcance da diretriz. Para organizações multinacionais, isso traz incerteza quanto à conformidade e aumenta a necessidade de uma governança centralizada e de uma implementação localizada.

 
A responsabilidade pessoal começa no topo

Para executivos de nível sênior e membros dos conselhos de administração, a diretiva NIS2 não é só mais uma exigência técnica, e sim uma questão fundamental de liderança. De acordo com o artigo 20 da diretiva, os organismos administrativos são legalmente obrigados a aprovar e supervisionar medidas de segurança cibernética. Em caso de não conformidade, eles podem ser responsabilizados pessoalmente.

Essa cláusula representa uma mudança significativa:

• A supervisão da segurança cibernética passa a ser uma responsabilidade no âmbito do conselho.
• O não cumprimento pode levar à penalização individual, incluindo a suspensão ou a exclusão de cargos de liderança.
• Os mecanismos de aplicação dos regulamentos estão se tornando mais agressivos e transparentes.

Evolução na adversidade

Ao mesmo tempo, a diretiva NIS2 cria oportunidades reais para que os líderes aprimorem suas bases de segurança cibernética, não apenas para assegurar a conformidade, mas para incorporar resiliência, confiança e continuidade operacional aos negócios.

A NIS2 está transformando as exigências de segurança cibernética na União Europeia. Seus objetivos são claros: elevar os parâmetros de referência, preencher lacunas e assegurar a responsabilização. No entanto, a aplicação descentralizada e o escopo abrangente da diretiva mostram que a conformidade não é mais um exercício igual para todos.

Para os líderes corporativos e profissionais de segurança, a hora de agir é agora. As organizações precisam adotar uma abordagem proativa e interfuncional em relação à NIS2, fundamentada em governança sólida, procedimentos claros de geração de relatórios e responsabilidade executiva.

Solicite uma demonstração e saiba mais sobre a solução Tech Risk & Compliance da OneTrust.