A perspetiva da Cyber Academy
A NIS 1 (Diretiva 2016/1148) foi a primeira diretiva europeia de cibersegurança transversal a todos os setores, abrangendo operadores de serviços essenciais e prestadores de serviços digitais. Foi substituída pela NIS 2 em outubro de 2024 porque o âmbito era demasiado restrito, a aplicação era desigual e as obrigações de notificação de incidentes careciam de eficácia. É referida aqui sobretudo para que saiba o que era efetivamente o "regime anterior" que os seus colegas ainda recordam vagamente.
O que a NIS 1 pretendia fazer
A Diretiva NIS 1 foi a primeira tentativa da União Europeia de estabelecer um patamar mínimo comum de cibersegurança sob os setores que mantêm um país a funcionar. Antes dela, os Estados-Membros abordavam a segurança das infraestruturas críticas segundo os seus próprios critérios, sem uma base partilhada e sem uma forma coordenada de lidar com incidentes transfronteiriços. A NIS 1 mudou isso ao pedir a cada Estado-Membro que identificasse os operadores cuja perturbação teria um grave efeito em cadeia, os sujeitasse a obrigações de segurança e de notificação de incidentes, e criasse a maquinaria nacional encarregada de os supervisionar. Em França, essa maquinaria era a ANSSI, e os operadores que ela designou já conheciam o regime mais pesado dos OIV, anterior à diretiva.
Por ser uma diretiva e não um regulamento, a NIS 1 não se aplicava diretamente. Cada Estado-Membro tinha de a transpor para o direito nacional, de onde provém grande parte da desigualdade. Dois Estados podiam ler o mesmo texto e acabar com listas diferentes de entidades reguladas, limiares de notificação diferentes e apetites muito diferentes pela aplicação. Esse mosaico é a principal razão pela qual o regime acabou por ser reconstruído.
Duas categorias: serviços essenciais e prestadores de serviços digitais
A NIS 1 dividiu o mundo regulado em dois grupos, e a distinção importa porque as obrigações e a supervisão não eram simétricas.
| Aspeto | Operadores de serviços essenciais | Prestadores de serviços digitais |
|---|---|---|
| Quem eram | Energia, transportes, banca, infraestruturas dos mercados financeiros, saúde, água potável, infraestruturas digitais | Mercados em linha, motores de pesquisa, serviços de computação em nuvem |
| Como eram abrangidos | Identificados caso a caso por cada Estado-Membro segundo critérios | Abrangidos automaticamente, com uma abordagem mais leve |
| Supervisão | Proativa: as autoridades podiam auditar e exigir provas | Sobretudo reativa: ação após um incidente |
| Expectativa de segurança | Medidas técnicas e organizativas adequadas e proporcionadas | Medidas semelhantes, mas um regime regulamentar mais leve |
Os operadores de serviços essenciais eram o coração da diretiva. Os Estados-Membros tinham de os nomear, e uma vez nomeados assumiam obrigações reais de gerir o risco e de notificar os incidentes significativos à autoridade nacional ou ao CSIRT. Os prestadores de serviços digitais eram tratados de forma mais leve, com base na teoria de que já operavam além-fronteiras e competiam em resiliência, pelo que um regime harmonizado mas mais leve evitaria fragmentar o mercado único.
Por que foi substituída
O veredicto honesto sobre a NIS 1 é que provou o conceito mas ficou aquém do prometido. Três fraquezas surgiram repetidamente. O âmbito era demasiado estreito, deixando setores inteiros e a maioria das organizações de média dimensão fora de qualquer obrigação, mesmo quando a sua falha causaria danos. A aplicação era desigual, porque a transposição deixava a cada Estado-Membro decidir quem estava no âmbito e com que firmeza pressionar, pelo que uma empresa podia estar regulada num país e intocada mesmo ao lado. E a notificação de incidentes era, na prática, inofensiva, com limiares e prazos que variavam tanto que a visibilidade transfronteiriça que a diretiva deveria criar nunca se concretizou realmente.
A NIS 2 foi a resposta a todos os três. Alargou o âmbito a muitos mais setores e a um critério baseado na dimensão, substituiu a divisão OES/DSP por entidades essenciais e importantes, apertou a notificação de incidentes em fases mais claras, e colocou verdadeira responsabilização da direção e sanções por detrás das obrigações. Para um profissional de hoje, a NIS 1 é sobretudo contexto: explica a forma das regras sob as quais agora vive e os reflexos que a sua organização construiu antes da reconstrução.
Frequently asked questions
01A NIS 1 ainda está em vigor?
Não. A NIS 1 foi revogada e substituída pela Diretiva NIS 2, que se tornou aplicável em outubro de 2024. As obrigações decorrem agora da NIS 2 e da sua transposição nacional, não da diretiva de 2016.
02Qual é a diferença entre um OES e um DSP ao abrigo da NIS 1?
Os operadores de serviços essenciais eram identificados caso a caso pelos Estados-Membros em setores críticos e estavam sujeitos a uma supervisão proativa. Os prestadores de serviços digitais, como os fornecedores de nuvem e os mercados em linha, eram abrangidos de forma mais automática e supervisionados sob um regime mais leve, sobretudo reativo.
03Por que a NIS 1 era considerada demasiado fraca?
O seu âmbito era estreito, a transposição tornava a aplicação desigual entre os Estados-Membros, e as regras de notificação de incidentes variavam tanto que a visibilidade transfronteiriça nunca funcionou como se pretendia. A NIS 2 foi redigida especificamente para colmatar essas três lacunas.
04Se a minha organização cumpria a NIS 1, isso cobre a NIS 2?
Não por defeito. A NIS 2 alarga o âmbito, eleva as exigências sobre gestão de riscos e notificação, e acrescenta responsabilização da direção. Um programa NIS 1 é um ponto de partida útil mas necessita de uma análise de lacunas face à NIS 2.
05Como se relaciona a NIS 1 com o RGPD?
São distintos. O RGPD protege os dados pessoais e é aplicado pelas autoridades de proteção de dados. A NIS 1 dizia respeito à segurança operacional e à resiliência dos serviços essenciais e digitais. Um incidente pode desencadear ambos os regimes em simultâneo.