Diretiva NIS 1.

A NIS 1 (Diretiva 2016/1148) foi a primeira diretiva europeia de cibersegurança transversal a todos os setores, abrangendo operadores de serviços essenciais e prestadores de serviços digitais. Foi substituída pela NIS 2 em outubro de 2024 porque o âmbito era demasiado restrito, a aplicação era desigual e as obrigações de notificação de incidentes careciam de eficácia. É referida aqui sobretudo para que saiba o que era efetivamente o "regime anterior" que os seus colegas ainda recordam vagamente.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

A perspetiva da Cyber Academy

A NIS 1 (Diretiva 2016/1148) foi a primeira diretiva europeia de cibersegurança transversal a todos os setores, abrangendo operadores de serviços essenciais e prestadores de serviços digitais. Foi substituída pela NIS 2 em outubro de 2024 porque o âmbito era demasiado restrito, a aplicação era desigual e as obrigações de notificação de incidentes careciam de eficácia. É referida aqui sobretudo para que saiba o que era efetivamente o "regime anterior" que os seus colegas ainda recordam vagamente.

O que a NIS 1 pretendia fazer

A Diretiva NIS 1 foi a primeira tentativa da União Europeia de estabelecer um patamar mínimo comum de cibersegurança sob os setores que mantêm um país a funcionar. Antes dela, os Estados-Membros abordavam a segurança das infraestruturas críticas segundo os seus próprios critérios, sem uma base partilhada e sem uma forma coordenada de lidar com incidentes transfronteiriços. A NIS 1 mudou isso ao pedir a cada Estado-Membro que identificasse os operadores cuja perturbação teria um grave efeito em cadeia, os sujeitasse a obrigações de segurança e de notificação de incidentes, e criasse a maquinaria nacional encarregada de os supervisionar. Em França, essa maquinaria era a ANSSI, e os operadores que ela designou já conheciam o regime mais pesado dos OIV, anterior à diretiva.

Por ser uma diretiva e não um regulamento, a NIS 1 não se aplicava diretamente. Cada Estado-Membro tinha de a transpor para o direito nacional, de onde provém grande parte da desigualdade. Dois Estados podiam ler o mesmo texto e acabar com listas diferentes de entidades reguladas, limiares de notificação diferentes e apetites muito diferentes pela aplicação. Esse mosaico é a principal razão pela qual o regime acabou por ser reconstruído.

Duas categorias: serviços essenciais e prestadores de serviços digitais

A NIS 1 dividiu o mundo regulado em dois grupos, e a distinção importa porque as obrigações e a supervisão não eram simétricas.

Categorias NIS 1
AspetoOperadores de serviços essenciaisPrestadores de serviços digitais
Quem eramEnergia, transportes, banca, infraestruturas dos mercados financeiros, saúde, água potável, infraestruturas digitaisMercados em linha, motores de pesquisa, serviços de computação em nuvem
Como eram abrangidosIdentificados caso a caso por cada Estado-Membro segundo critériosAbrangidos automaticamente, com uma abordagem mais leve
SupervisãoProativa: as autoridades podiam auditar e exigir provasSobretudo reativa: ação após um incidente
Expectativa de segurançaMedidas técnicas e organizativas adequadas e proporcionadasMedidas semelhantes, mas um regime regulamentar mais leve

Os operadores de serviços essenciais eram o coração da diretiva. Os Estados-Membros tinham de os nomear, e uma vez nomeados assumiam obrigações reais de gerir o risco e de notificar os incidentes significativos à autoridade nacional ou ao CSIRT. Os prestadores de serviços digitais eram tratados de forma mais leve, com base na teoria de que já operavam além-fronteiras e competiam em resiliência, pelo que um regime harmonizado mas mais leve evitaria fragmentar o mercado único.

Por que foi substituída

O veredicto honesto sobre a NIS 1 é que provou o conceito mas ficou aquém do prometido. Três fraquezas surgiram repetidamente. O âmbito era demasiado estreito, deixando setores inteiros e a maioria das organizações de média dimensão fora de qualquer obrigação, mesmo quando a sua falha causaria danos. A aplicação era desigual, porque a transposição deixava a cada Estado-Membro decidir quem estava no âmbito e com que firmeza pressionar, pelo que uma empresa podia estar regulada num país e intocada mesmo ao lado. E a notificação de incidentes era, na prática, inofensiva, com limiares e prazos que variavam tanto que a visibilidade transfronteiriça que a diretiva deveria criar nunca se concretizou realmente.

A NIS 2 foi a resposta a todos os três. Alargou o âmbito a muitos mais setores e a um critério baseado na dimensão, substituiu a divisão OES/DSP por entidades essenciais e importantes, apertou a notificação de incidentes em fases mais claras, e colocou verdadeira responsabilização da direção e sanções por detrás das obrigações. Para um profissional de hoje, a NIS 1 é sobretudo contexto: explica a forma das regras sob as quais agora vive e os reflexos que a sua organização construiu antes da reconstrução.

Frequently asked questions

01A NIS 1 ainda está em vigor?

Não. A NIS 1 foi revogada e substituída pela Diretiva NIS 2, que se tornou aplicável em outubro de 2024. As obrigações decorrem agora da NIS 2 e da sua transposição nacional, não da diretiva de 2016.

02Qual é a diferença entre um OES e um DSP ao abrigo da NIS 1?

Os operadores de serviços essenciais eram identificados caso a caso pelos Estados-Membros em setores críticos e estavam sujeitos a uma supervisão proativa. Os prestadores de serviços digitais, como os fornecedores de nuvem e os mercados em linha, eram abrangidos de forma mais automática e supervisionados sob um regime mais leve, sobretudo reativo.

03Por que a NIS 1 era considerada demasiado fraca?

O seu âmbito era estreito, a transposição tornava a aplicação desigual entre os Estados-Membros, e as regras de notificação de incidentes variavam tanto que a visibilidade transfronteiriça nunca funcionou como se pretendia. A NIS 2 foi redigida especificamente para colmatar essas três lacunas.

04Se a minha organização cumpria a NIS 1, isso cobre a NIS 2?

Não por defeito. A NIS 2 alarga o âmbito, eleva as exigências sobre gestão de riscos e notificação, e acrescenta responsabilização da direção. Um programa NIS 1 é um ponto de partida útil mas necessita de uma análise de lacunas face à NIS 2.

05Como se relaciona a NIS 1 com o RGPD?

São distintos. O RGPD protege os dados pessoais e é aplicado pelas autoridades de proteção de dados. A NIS 1 dizia respeito à segurança operacional e à resiliência dos serviços essenciais e digitais. Um incidente pode desencadear ambos os regimes em simultâneo.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.