A diretiva europeia NIS-2 está a redefinir a forma como as empresas encaram a cibersegurança, ao reforçar a responsabilidade direta dos órgãos de gestão na supervisão de riscos digitais, compliance e resposta a incidentes.

A entrada em vigor da diretiva europeia NIS-2 está a alterar o enquadramento da cibersegurança nas organizações, deixando de a tratar como uma matéria exclusivamente técnica para a integrar no âmbito da gestão e da governação empresarial. O novo quadro regulatório impõe às empresas abrangidas uma supervisão mais ativa dos riscos digitais, bem como maior envolvimento da liderança na definição de políticas e mecanismos de resposta.

A diretiva, aprovada pela União Europeia para reforçar a resiliência digital de setores considerados essenciais e importantes, exige às organizações a adoção de medidas estruturadas de gestão de risco, planos de resposta a incidentes, documentação de processos e controlo sobre vulnerabilidades ao longo da cadeia de fornecimento.

Neste contexto, a responsabilidade pela cibersegurança deixa de poder ser totalmente delegada às equipas técnicas, passando a exigir acompanhamento e supervisão ao nível da administração e gestão executiva.

Além das obrigações operacionais, a NIS-2 prevê mecanismos de responsabilização mais exigentes para as empresas que não demonstrem conformidade adequada, incluindo potenciais sanções e penalizações associadas ao incumprimento dos requisitos de segurança e governação.

A diretiva abrange um universo mais alargado de organizações do que o regime anterior, incluindo empresas de média dimensão que operem em setores estratégicos ou prestem serviços considerados críticos para a economia e para a sociedade.

A nova legislação reflete uma tendência crescente na Europa para encarar a cibersegurança como uma componente estrutural da gestão empresarial, equiparando a proteção digital a outras áreas centrais de risco corporativo e compliance regulatório.