Vários países europeus estão enfrentando a ira regulatória da Comissão Europeia por não transpor a diretiva NIS2 para a legislação nacional.
Irlanda, Espanha, França, Bulgária, Luxemburgo, Holanda, Portugal e Suécia são os países que cometem erros, de acordo com o comissão.
Enquanto “regulamentos” como o GDPR se tornam lei automaticamente em todo o bloco, as diretivas europeias exigem que cada estado membro os converta em leis locais. Isso não apenas leva mais tempo, mas também pode significar que a aplicação das diretivas acaba sendo ligeiramente diferente em cada Estado-Membro.
O prazo para a transposição do NIS2 era 17 de outubro de 2024.
Em maio de 2025, a Comissão Europeia entrou em contato oficialmente com 19 estados membros sobre atrasos no processo. Alertou que tinham dois meses para “responder e tomar as medidas necessárias” ou “poderiam” remeter os casos para o Tribunal de Justiça da União Europeia (TJUE).
Resta saber se os oito resistentes enfrentarão novas ações legais.
Mesmo os países que assinaram a diretiva estão achando a conformidade irregular, na melhor das hipóteses.Um relatório da Enisa publicado em março apontou seis setores de infraestrutura crítica que estão enfrentando desafios particularmente agudos.
Ele destacou o gerenciamento de serviços de TI, espaço, administração pública, marítimo, saúde e gás como estando “dentro da zona de risco do NIS360”.
Por outro lado, os setores de eletricidade, telecomunicações e bancário foram elogiados como os três mais maduros, tendo se beneficiado de “supervisão regulatória significativa”, bem como financiamento e investimento, foco político e parcerias público-privadas.
Exceto para aqueles com presença na Europa, a maioria das empresas britânicas não precisa seguir o NIS2. Contudo um estudo da Green Raven de novembro de 2024 revelou que uma minoria considerável (22%) afirmou não saber se a nova diretiva se aplica às suas empresas.
Pior, 10% dos entrevistados que confirmaram que o NIS2 se aplica à sua organização admitiram que não estavam em conformidade até o prazo de 17 de outubro.
Espera-se que a variante NIS2 do Reino Unido, a Lei de Segurança Cibernética e Resiliência, avance no parlamento ainda este ano.
DORA também causaProblemas
Não é apenas o NIS2 que está causando dores de cabeça de conformidade para a Comissão Europeia. Cerca de 96% das empresas financeiras da região admitiram que seu nível atual de resiliência de dados está aquém da conformidade com o DORA, de acordo com um relatório da Veeam publicado no mês passado.
Um quinto (20%) disse que ainda não garantiu o orçamento necessário para atender aos requisitos do DORA.
Tanto para o DORA quanto para o NIS2, as organizações dentro do escopo enfrentam multas de não conformidade de até € 10 milhões (US$ 7,4 milhões) ou 2% da receita mundial, o que for maior.