CSA2 e NIS2: Novas Regras de Cibersegurança na Europa Impactam o Brasil

O EDPB e o EDPS divulgaram parecer conjunto sobre o Cybersecurity Act 2 e a Diretiva NIS2, reforçando a convergência entre segurança cibernética e proteção de dados.

R

Ilustração técnica representando cibersegurança e proteção de dados em servidores europeus.
Ilustração técnica representando cibersegurança e proteção de dados em servidores europeus.

O Comitê Europeu para a Proteção de Dados (EDPB) e o Supervisor Europeu para a Proteção de Dados (EDPS) adotaram recentemente um parecer conjunto sobre a proposta da Comissão Europeia para o Cybersecurity Act 2 (CSA2) e as emendas à Diretiva NIS2. O documento destaca que a relação entre cibersegurança e proteção de dados é recíproca e profundamente interligada, estabelecendo que a segurança deve servir para proteger dados pessoais sem comprometer os direitos e liberdades fundamentais dos indivíduos.

Para o profissional de TI brasileiro, essa movimentação na União Europeia é um indicativo claro de como os frameworks de conformidade global, incluindo a LGPD, devem evoluir para integrar infraestrutura e privacidade de forma indissociável.

A Convergência entre Segurança e Direitos Fundamentais

Segundo Anu Talus, presidente do EDPB, enquanto a cibersegurança limita riscos de acesso indesejado ou modificação de dados, é vital que os controles de segurança não se tornem ferramentas que prejudiquem a privacidade. A proposta europeia busca criar um ecossistema onde a resiliência digital e a privacidade caminhem juntas, fortalecendo o papel da ENISA (Agência da União Europeia para a Cibersegurança). Essa integração visa reduzir a fragmentação regulatória que muitas vezes sobrecarrega departamentos de infraestrutura e segurança da informação.

AspectoStatus NIS2 OriginalProposta CSA2 / NIS2 Atualizada
Notificação de IncidentesProcessos fragmentadosPonto de entrada único (Single-entry point)
Escopo de EntidadesFoco em setores críticos tradicionaisInclusão de Carteiras de Identidade Digital
Papel da ENISASuporte técnico consultivoMandato reforçado e cooperação com EDPB/EDPS
Cadeia de SuprimentosFoco em vulnerabilidades técnicasAvaliação de riscos técnicos e não técnicos

Arraste para o lado para ver toda a tabela.

Fortalecimento da ENISA e Gestão da Cadeia de Suprimentos

Um dos pontos centrais do parecer é o apoio ao fortalecimento da ENISA para facilitar a adoção de certificações de cibersegurança. O EDPB e o EDPS defendem que a agência deve abordar não apenas riscos técnicos, mas também riscos não técnicos nas cadeias de suprimentos de TIC. Isso inclui a análise de fornecedores e a integridade dos processos de fabricação e distribuição de software e hardware. Para arquitetos de soluções e gestores de infraestrutura, isso sinaliza uma exigência maior de transparência por parte dos vendors globais.

Certificação e Sincronia com o GDPR

Para garantir a consistência normativa, o parecer sugere que a ENISA consulte o EDPB antes de adotar esquemas de certificação que envolvam o processamento de dados pessoais. O objetivo é evitar que uma certificação de cibersegurança entre em conflito com as exigências do GDPR (e, por extensão, da LGPD no contexto brasileiro). As recomendações incluem:

  • Esclarecimento da relação entre certificações de cibersegurança e certificações de proteção de dados.

  • Inclusão de controles de segurança que ajudem a demonstrar conformidade com o GDPR em produtos e serviços.

  • Expansão do Quadro Europeu de Competências em Cibersegurança para incluir perfis gerais de força de trabalho, e não apenas especialistas.

Notificação Unificada e Carteiras Digitais

Uma mudança prática significativa proposta é a criação de um ponto de entrada único para a notificação de violações de dados pessoais. Atualmente, organizações enfrentam uma carga administrativa pesada ao ter que reportar incidentes a múltiplas autoridades sob diferentes prazos e formatos. A unificação desse processo promete reduzir custos operacionais e acelerar a resposta a incidentes. Além disso, os provedores de Carteiras Digitais Europeias (Wallets) foram designados como entidades essenciais, o que impõe a esses serviços os níveis mais rigorosos de vigilância e resiliência cibernética.

Impacto para o Profissional de TI no Brasil

Embora as diretrizes sejam europeias, o efeito cascata no Brasil é imediato. Empresas brasileiras que operam com dados de cidadãos europeus ou que buscam parcerias internacionais precisarão alinhar seus frameworks de segurança ao CSA2 e à NIS2. Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) frequentemente utiliza as resoluções do EDPB como doutrina para interpretar a LGPD. Profissionais de DevOps e CISO devem observar de perto a implementação do ponto de entrada único para notificações, pois esse modelo de eficiência administrativa é um forte candidato a ser replicado em futuras revisões da nossa legislação nacional.

R

Sobre o autor

Redação

Editor-chefe

Usuário técnico criado para escrever conteúdos da redação.

Mais em Cibersegurança

Newsletter

Receba os destaques no seu e-mail

Cadastre-se e acompanhe as novidades em primeira mão.