A cibersegurança das empresas activas no Luxemburgo passa a estar sujeita a um quadro legal muito mais exigente, com a entrada em vigor de uma nova lei que transpõe a directiva europeia NIS 2 e alarga significativamente o número de entidades abrangidas. A legislação foi apresentada publicamente pelo Instituto Luxemburguês de Regulamentação (ILR), numa conferência de imprensa dedicada aos principais aspectos da reforma, entre os quais se destaca a obrigatoriedade de auto-registo das entidades visadas junto do ILR até ao próximo dia 10 de Julho.
O objectivo central da chamada «lei NIS 2» é elevar o nível de protecção das redes e dos sistemas de informação, reforçando assim a segurança dos cidadãos. Esta directiva europeia sucede à primeira directiva NIS, de 2016, e procura harmonizar e aumentar, à escala europeia, as exigências aplicáveis à segurança informática das organizações.
Uma das alterações mais relevantes prende-se com o alargamento do âmbito de aplicação da lei, que passa a abranger um número substancialmente maior de entidades. Além de certas categorias já sujeitas à legislação independentemente da sua dimensão, a nova lei passa a aplicar-se também a empresas de dimensão «média», ou seja, entidades que empreguem, no mínimo, 50 pessoas, ou cujo volume de negócios ou balanço anual ultrapasse os 10 milhões de euros. São agora definidas duas categorias distintas: as entidades essenciais, que correspondem a empresas de grande dimensão activas em sectores altamente críticos, elencados no Anexo I da lei, empregando pelo menos 250 pessoas ou com um volume de negócios anual superior a 50 milhões de euros ou um balanço anual acima dos 43 milhões de euros; e as entidades importantes, que abrangem, salvo excepções, empresas de dimensão média activas nesses mesmos sectores do Anexo I, bem como empresas de grande ou média dimensão que operem noutros sectores considerados críticos, previstos no Anexo II da lei.
A lista de sectores abrangidos foi também alargada de forma considerável, passando a incluir áreas como a indústria transformadora, as plataformas em linha, o sector espacial ou a produção alimentar, entre outras. Muitas entidades poderão assim ficar sujeitas às novas obrigações sem disso terem ainda plena consciência, razão pela qual o ILR disponibilizou um simulador de aplicabilidade que permite às organizações verificar se se enquadram no âmbito da nova legislação.
Em matéria de resposta a incidentes, as entidades abrangidas ficam obrigadas a notificar, no prazo de 24 horas, qualquer incidente com impacto significativo, através de uma notificação preliminar. O conceito de incidente é definido de forma ampla, abrangendo desde ciberataques a erros humanos, falhas técnicas ou mesmo acontecimentos de natureza física susceptíveis de afectar sistemas e dados. A lei introduz ainda uma responsabilização directa dos órgãos de direcção das entidades, que passam a ter o dever de se informar, de formar as respectivas equipas e de aprovar e supervisionar a implementação de medidas de gestão do risco em matéria de cibersegurança, elevando assim a cibersegurança à categoria de tema estratégico ao mais alto nível de governação.
O incumprimento das novas obrigações poderá resultar em sanções dissuasoras, que vão desde a simples advertência até coimas que podem atingir os 10 milhões de euros ou 2% do volume de negócios global da entidade em causa. Mais do que uma imposição regulamentar, a NIS 2 é apresentada pelo ILR como uma oportunidade para as entidades reforçarem a sua resiliência e a sua estrutura organizativa em matéria de segurança digital.


