Exigências de Compliance
Com a introdução da diretiva da UE 2022/2555, também conhecida como NIS 2, as exigências de compliance nas empresas aumentaram. Com a NIS 2, reage-se à ameaça de ataques cibernéticos na UE. A diretiva regula a segurança cibernética e da informação de empresas e instituições. Ataques cibernéticos são atualmente considerados um dos maiores riscos empresariais mundialmente.
A NIS 2 substitui a diretiva da UE 2016/1148 (NIS 1) e visa contribuir para melhorar a segurança cibernética na União Europeia e proteger melhor as empresas. A implementação da diretriz NIS-2, portanto, também representa maiores exigências para a gestão de riscos e compliance em muitas empresas. Se as medidas não forem adequadamente implementadas nas empresas, isso pode resultar em sanções, segundo a firma MTR Legal Rechtsanwälte.
A UE aprovou a diretriz NIS 2 em 2023, e até 2025 os estados membros devem incorporá-la ao direito nacional. Quais empresas são afetadas pela diretiva depende principalmente do tipo de sua atividade. A diretiva foi ampliada para incluir outras empresas consideradas essenciais e importantes. Isso leva a um aumento significativo no número de empresas e instituições que têm obrigações legais a cumprir perante o Escritório Federal para a Segurança da Informação (BSI).
Infraestruturas críticas afetadas
Além das infraestruturas críticas que já estavam sob a alçada da diretiva NIS 1, como energia, transporte, saúde, finanças, gestão da água e infraestruturas digitais, outros setores são afetados pela diretiva NIS 2. Estes incluem serviços eletrônicos públicos, outros serviços digitais, como plataformas sociais, gestão de águas residuais e resíduos, serviços postais e de correio, administração pública ou fabricantes de produtos críticos. Estima-se que cerca de 29.000 empresas na Alemanha, em vários setores, serão afetadas pela implementação da diretriz NIS 2. Principalmente empresas médias e grandes nos setores críticos serão solicitadas a adotar medidas adequadas de segurança cibernética e estabelecer uma compliance eficaz. Elas também serão obrigadas a informar as autoridades competentes sobre incidentes de segurança com interrupções ou danos significativos.
A diretiva NIS 2 também contém disposições para supervisão, aplicação e revisões entre pares voluntárias, a fim de fortalecer a confiança mútua e a segurança cibernética em toda a União Europeia. Isso também significa que a gestão é responsável se as medidas de gestão de riscos de segurança cibernética não forem observadas.
Reação a ataques de cibersegurança
Com a diretiva NIS 2, também se estabelece uma rede de equipes de resposta a incidentes de segurança cibernética (Computer Security Incident Response Teams) para compartilhar ameaças de segurança e reagir adequadamente a incidentes. Além disso, a rede europeia de organizações de ligação para crises cibernéticas é criada. Essa rede apoia uma troca regular de informações entre os estados membros e as instituições da UE, para poder reagir a incidentes e crises de grande escala.
Ainda não está definido como exatamente a NIS 2 será transposta para o direito nacional na Alemanha. A razão é que a implementação foi atrasada pelas eleições antecipadas do Bundestag. No entanto, é certo que com a implementação, a segurança cibernética também se tornará uma questão para muitas empresas de médio porte.
Empresas devem implementar medidas de segurança
As empresas enfrentarão o desafio de implementar as medidas de segurança necessárias para proteger dados e infraestrutura crítica contra possíveis ataques cibernéticos por meio da NIS 2. Para isso, devem ser adotadas as medidas técnicas e organizacionais necessárias. Se a empresa for vítima de um ataque cibernético, é necessário ter planos para conter imediatamente os danos e restaurar os sistemas. As autoridades competentes também devem ser informadas. Além disso, as empresas devem realizar testes regulares para identificar e corrigir vulnerabilidades. A segurança cibernética também deve existir dentro da cadeia de fornecimento. Portanto, devem ser tomadas medidas para reagir aos riscos também nessa área.
A implementação da diretriz NIS 2 implica desafios para uma compliance eficiente nas empresas afetadas, especialmente porque os executivos e diretores podem ser pessoalmente responsáveis se as medidas de segurança necessárias não forem implementadas.
MTR Legal Rechtsanwälte ajuda empresas na implementação de sistemas de compliance eficazes e garante que as exigências legais sejam atendidas. Como escritório de advocacia, MTR Legal oferece consultoria sobre compliance e outros temas de direito penal econômico.
Sinta-se à vontade para entrar em contato conosco!
