A perspetiva da Cyber Academy
A NIS 2 (Diretiva (UE) 2022/2555) é a diretiva da UE que responsabiliza os conselhos de administração pela cibersegurança. As entidades de média dimensão ou superiores em 18 setores listados estão abrangidas. Perante um incidente significativo: alerta precoce em 24 horas, notificação em 72 horas, relatório completo ao fim de um mês. Sanções até 10 milhões de euros ou 2% do volume de negócios mundial para as entidades essenciais. Transposta de forma desigual pelos Estados-Membros desde outubro de 2024.
TL;DR
- 1Abrangidos: 18 setores, entidades de média dimensão (50+ ETI / 10M+ de volume de negócios) e superiores. Dois escalões, essenciais e importantes, com diferente intensidade de supervisão.
- 2Dez medidas de gestão de riscos de cibersegurança ao abrigo do Artigo 21. A diretiva diz o quê; a ISO 27001 é o como mais comum.
- 3Notificação de incidentes: alerta precoce em 24 horas, notificação em 72 horas, relatório completo ao fim de um mês. Defina o percurso antes de precisar dele.
- 4A responsabilidade pessoal e a prestação de contas pela gestão são agora explícitas. O conselho de administração está em causa, não apenas o CISO.
- 5O estado de transposição varia de país para país; verifique a sua autoridade nacional antes de presumir que o texto da UE se aplica tal como está.
Determinar se está abrangido e em que escalão
O âmbito é a questão que decide tudo o resto, por isso resolva-o primeiro e registe o raciocínio. A NIS 2 aplica-se a entidades que operam num dos 18 setores listados e que também cumprem um limiar de dimensão. A regra por defeito é o limiar das médias empresas: pelo menos 50 trabalhadores, ou volume de negócios anual e balanço superiores a 10 milhões de euros. Abaixo desse limiar fica normalmente fora, mas nem sempre: a diretiva inclui certos fornecedores independentemente da dimensão quando o serviço é suficientemente crítico (por exemplo, fornecedores de DNS, registos de domínios de topo, e alguns fornecedores de comunicações eletrónicas públicas e de serviços de confiança).
Os dois escalões, essenciais e importantes, não são duas listas à escolha. Decorrem do seu setor e dimensão. Os setores de alta criticidade (energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, administração pública, espaço) produzem entidades essenciais nas dimensões maiores; os restantes setores listados, e as entidades menores nos de alta criticidade, são geralmente classificados como importantes. A consequência prática é a intensidade da supervisão, não um conjunto de obrigações mais brando: as medidas de segurança e os prazos de notificação são iguais para ambos os escalões.
Essenciais vs. importantes: onde os dois escalões realmente divergem
Ambos os escalões carregam as mesmas medidas do Artigo 21 e o mesmo relógio de notificação de incidentes. O que muda é como o regulador o vigia e o que pode fazer quando algo está errado. As entidades essenciais enfrentam supervisão proativa, ex ante: uma autoridade pode inspecionar e exigir provas sem esperar por um incidente. As entidades importantes são supervisionadas de forma reativa, ex post, ou seja, o escrutínio segue-se tipicamente a um incidente ou a uma queixa credível. Os tetos das sanções também diferem, e essa diferença é a razão mais citada para confirmar cedo o seu escalão.
| Dimensão | Entidades essenciais | Entidades importantes |
|---|---|---|
| Modelo de supervisão | Proativo (ex ante): inspeções e pedidos de provas a qualquer momento | Reativo (ex post): desencadeado por um incidente ou queixa |
| Coima administrativa máxima | Pelo menos 10 milhões de euros ou 2% do volume de negócios anual mundial total, consoante o que for mais elevado | Pelo menos 7 milhões de euros ou 1,4% do volume de negócios anual mundial total, consoante o que for mais elevado |
| Obrigações de segurança (Artigo 21) | Aplicam-se todas as dez medidas | Aplicam-se todas as dez medidas (idênticas) |
| Calendário de notificação | 24h / 72h / 1 mês (idêntico) | 24h / 72h / 1 mês (idêntico) |
| Prestação de contas pela gestão | Explícita; os órgãos podem ser responsabilizados, os indivíduos podem enfrentar proibições temporárias de gestão | Explícita; aplica-se a responsabilidade individual, as proibições de gestão estão geralmente reservadas às entidades essenciais |
Leia a tabela como um auditor o fará: as medidas e os prazos são inegociáveis para todos, por isso o escalão diz-lhe sobretudo quanta margem de erro tem antes de alguém vir procurar. As entidades essenciais devem partir do princípio de que uma inspeção pode acontecer numa terça-feira calma. As entidades importantes devem partir do princípio de que o primeiro teste real será um incidente em direto, que é o pior momento para descobrir que as suas provas são frágeis.
As dez medidas do Artigo 21, e porque é que a ISO 27001 é a resposta habitual
O Artigo 21(2) enumera dez categorias de medidas de gestão de riscos de cibersegurança que todas as entidades abrangidas têm de implementar, de forma proporcional à sua exposição ao risco. A diretiva descreve resultados, não controlos, o que é deliberado: diz-lhe o que tem de ser coberto e deixa o como a seu cargo.
- Políticas de análise de riscos e de segurança dos sistemas de informação.
- Tratamento de incidentes (deteção, resposta e as obrigações de notificação abaixo).
- Continuidade das atividades, incluindo gestão de cópias de segurança e recuperação de desastres, e gestão de crises.
- Segurança da cadeia de abastecimento, cobrindo a segurança das relações com fornecedores diretos e prestadores de serviços.
- Segurança na aquisição, desenvolvimento e manutenção de sistemas de rede e de informação, incluindo o tratamento e a divulgação de vulnerabilidades.
- Políticas e procedimentos para avaliar a eficácia das medidas.
- Práticas básicas de higiene cibernética e formação em segurança.
- Políticas e procedimentos de criptografia e, sempre que adequado, de cifragem.
- Segurança dos recursos humanos, políticas de controlo de acessos e gestão de ativos.
- Autenticação multifator, comunicações seguras e comunicação de emergência segura, sempre que adequado.
Leia essa lista ao lado de um conjunto de controlos do Anexo A e a sobreposição é óbvia. É por isso que, na prática, a via mais comum para uma conformidade demonstrável é um sistema de gestão da segurança da informação ISO 27001. A NIS 2 nomeia os resultados; a ISO 27001 dá-lhe o sistema de gestão, a disciplina de tratamento do risco e as provas documentadas que mapeiam em nove das dez categorias sem muita tradução. Não precisa estritamente de um certificado para satisfazer a NIS 2, mas a estrutura do ISMS é a forma mais limpa de produzir os registos que uma autoridade espera.
A forma mais rápida de uma equipa interiorizar tanto a obrigação como a construção é combinar a visão regulatória com a visão de implementação: o curso NIS 2 Directive Lead Implementer para o programa em si, e o curso ISO 27001 Lead Implementer para erguer o ISMS que carrega a maior parte do peso do Artigo 21.
O relógio de notificação: 24 horas, 72 horas, um mês
A obrigação de notificação é desencadeada por um incidente significativo, ou seja, um que causou ou é suscetível de causar uma perturbação operacional grave ou perda financeira, ou que afetou terceiros através de danos materiais ou imateriais consideráveis. O relógio corre então em três fases até ao seu CSIRT nacional ou autoridade competente.
- 24 horas: um alerta precoce. Indique se suspeita que o incidente é ilícito ou malicioso e se poderia ter impacto transfronteiriço. Isto é um sinalizador, não um relatório forense.
- 72 horas: uma notificação de incidente. Atualize o alerta precoce com uma avaliação inicial, incluindo gravidade, impacto e quaisquer indicadores de comprometimento que tenha.
- Um mês: um relatório final. Um relato completo do incidente, a sua provável causa raiz, a mitigação aplicada e qualquer impacto transfronteiriço. Se o incidente ainda estiver em curso ao fim de um mês, fornece um relatório de progresso e um final quando encerrar.
Os prazos parecem generosos até os mapear contra um incidente real. O alerta de 24 horas chega enquanto ainda está a confirmar o que aconteceu, por isso o percurso tem de ser definido com antecedência: quem decide que um incidente é "significativo", quem redige o alerta precoce, quem tem autoridade para o submeter, e a que portal ou contacto vai em cada Estado-Membro onde opera. Ensaie-o. Um exercício de simulação que termina com um rascunho de alerta precoce escrito contra o relógio vale mais do que qualquer documento de política sobre notificação.
Responsabilidade da gestão e os erros que aparecem na sala de auditoria
A NIS 2 sobe a prestação de contas. Os órgãos de gestão têm de aprovar as medidas de gestão de riscos de cibersegurança, supervisionar a sua implementação e frequentar formação para poderem identificar riscos por si próprios. A não conformidade pode imputar-se a indivíduos identificados e, no caso das entidades essenciais, as autoridades podem impor proibições temporárias a indivíduos que exercem funções de gestão. O conselho de administração está em causa, e "o CISO trata da segurança" já não é uma resposta completa para um regulador.
As falhas recorrentes que vemos raramente são exóticas. São previsíveis, e são evitáveis:
- Tratar a transposição como uniforme. A diretiva é transposta para o direito nacional e o calendário, os limiares, os deveres de registo e os portais de notificação variam por país. Verifique a autoridade nacional de cada Estado-Membro onde opera antes de presumir que o texto da UE se aplica tal como está.
- Ignorar o dever de registo e autoidentificação. Muitos Estados-Membros exigem que as entidades abrangidas se registem junto da autoridade competente. Estar abrangido e não registado é, por si só, uma constatação, separada de qualquer lacuna de segurança.
- Subinvestir na segurança da cadeia de abastecimento. É uma das dez medidas, e é onde as maiores entidades estão mais expostas. Um processo fraco de risco de fornecedores é uma fraqueza visível.
- Confundir escalões com obrigações. As entidades importantes por vezes presumem que uma supervisão mais leve significa deveres mais leves. Não significa: aplicam-se as mesmas medidas e o mesmo relógio de notificação.
- Nenhum percurso de notificação ensaiado. O alerta de 24 horas é a obrigação mais frequentemente falhada, porque ninguém assumiu a decisão e o rascunho até que o incidente os forçou.
Se a sua equipa precisa de se orientar quanto ao âmbito, escalões e obrigações antes de se comprometer com uma construção, o curso NIS 2 Directive Foundation é o ponto de partida certo; avance para o Lead Implementer e para os percursos ISO 27001 quando estiver a definir o âmbito do programa em si.
A NIS 2 interage com outros regimes da UE (o DORA rege a resiliência operacional do setor financeiro e geralmente tem precedência aí como regra mais específica; o Regulamento Inteligência Artificial acrescenta as suas próprias obrigações para os sistemas de IA), por isso confirme qual o regime que lidera uma dada obrigação em vez de notificar o mesmo incidente duas vezes ou, pior, não o notificar de todo. Em caso de dúvida, a postura segura é a que a própria diretiva recompensa: decisões documentadas, um mapeamento de controlos mantido e um percurso de notificação que já tenha percorrido antes de precisar dele.
Frequently asked questions
01Estou abrangido pela NIS 2?
Dois filtros: setor e dimensão. Tem de pertencer a um dos 18 setores listados (energia, transportes, finanças, saúde, infraestrutura digital, administração pública, espaço, produção alimentar, produtos químicos, serviços postais, fabrico de produtos críticos, investigação, gestão de resíduos, entre alguns outros). E tem de cumprir o limiar de dimensão: 50+ trabalhadores ou 10 milhões de euros de volume de negócios anual. Abaixo disso, fica fora do âmbito por defeito, com exceções nacionais para entidades críticas de qualquer dimensão.
Dois escalões dentro do âmbito: as entidades essenciais (energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços TIC B2B, administração pública, espaço) enfrentam uma supervisão mais pesada e sanções mais elevadas. As entidades importantes (postal, resíduos, produtos químicos, produção alimentar, fabrico, fornecedores digitais, investigação) enfrentam uma supervisão mais leve, mas as mesmas obrigações de controlo.
02Quais são as dez medidas do Artigo 21?
O Artigo 21(2) enumera dez medidas de gestão de riscos de cibersegurança: (a) políticas de análise de riscos e de segurança dos sistemas de informação; (b) tratamento de incidentes; (c) continuidade das atividades e gestão de crises; (d) segurança da cadeia de abastecimento; (e) segurança na aquisição, desenvolvimento e manutenção; (f) políticas e procedimentos para avaliar a eficácia das medidas de gestão de riscos de cibersegurança; (g) higiene cibernética básica e formação em cibersegurança; (h) políticas de criptografia e cifragem; (i) segurança dos recursos humanos, controlo de acessos e gestão de ativos; (j) a utilização de autenticação multifator, comunicações de voz/vídeo/texto seguras e sistemas de comunicação de emergência seguros.
A diretiva não diz como implementar cada uma. A ISO 27001 mapeia de forma limpa nas dez; o NIST CSF e os CIS Controls cobrem a maioria delas. Escolha um referencial, documente o mapeamento, e a autoridade de supervisão fica satisfeita.
03Qual é o calendário de notificação de incidentes?
Perante um incidente significativo, três prazos: alerta precoce em 24 horas (avaliação inicial, se há suspeita de que o incidente foi causado por atos ilícitos ou maliciosos, potencial impacto transfronteiriço); notificação em 72 horas (avaliação mais ampla, indicadores de comprometimento); relatório final ao fim de um mês (descrição detalhada do incidente, gravidade, impacto, medidas de mitigação adotadas, análise da causa raiz quando disponível).
Um incidente significativo é aquele que causou ou é suscetível de causar uma perturbação operacional grave ou perdas financeiras, ou que afeta terceiros ao causar danos materiais ou imateriais consideráveis. Os limiares são clarificados pelas autoridades nacionais; verifique os seus.
04Quais são as sanções?
As entidades essenciais enfrentam coimas administrativas até 10 milhões de euros ou 2% do volume de negócios anual mundial, consoante o que for mais elevado. As entidades importantes enfrentam até 7 milhões de euros ou 1,4% do volume de negócios anual mundial. As autoridades nacionais podem também impor sanções não financeiras: ordens de conformidade, divulgação pública da não conformidade, proibições temporárias de pessoas da gestão exercerem o seu cargo.
As sanções não são o único vetor de aplicação. O diálogo de supervisão, as auditorias e as ordens para executar uma ação corretiva específica situam-se todos abaixo do limiar das coimas e são mais comuns na prática.
05Como é que a NIS 2 interage com o DORA e o Regulamento Inteligência Artificial?
Para as entidades financeiras, o DORA é lex specialis nos temas TIC: onde o DORA se aplica, prevalece sobre a NIS 2 nas disposições relacionadas com as TIC. As entidades financeiras continuam a aplicar a NIS 2 para os temas não TIC abrangidos pela diretiva.
O Regulamento Inteligência Artificial é paralelo: rege os sistemas de IA, não os programas de cibersegurança. Se opera sistemas de IA de risco elevado dentro de um setor crítico, enfrenta ambos: a NIS 2 para a base de cibersegurança, o Regulamento Inteligência Artificial para o trabalho de conformidade da IA.


