- Cerca de 160.000 entidades em toda a UE estão agora no âmbito de aplicação, muito mais do que o NIS1 cobria
- Você tem 24 horas para registrar um alerta precoce após descobrir um incidente significativo
- Os órgãos de gestão são pessoalmente responsáveis se as medidas exigidas não forem implementadas
- O Artigo 21 exige 10 medidas de segurança específicas, desde segurança da cadeia de fornecimento até MFA
- Entidades essenciais enfrentam multas de até €10 milhões ou 2% do faturamento anual global
Por que NIS2 é uma obrigação fundamentalmente diferente
NIS1 cobria cerca de 5.000 entidades em toda a UE. NIS2 abrange aproximadamente 160.000. A diretiva original tinha como alvo operadores de infraestrutura crítica e um conjunto restrito de prestadores de serviços digitais. NIS2 se estende a médias e grandes empresas em 18 setores, incluindo saúde, serviços financeiros, manufatura, produção alimentícia e serviços postais.
A outra mudança significativa é a fiscalização. No âmbito do NIS1, os Estados-Membros tratavam da conformidade e as penalidades variavam muito. NIS2 especifica multas diretamente no texto da diretiva: até €10 milhões ou 2% do faturamento anual global para entidades essenciais (o que for maior), e até €7 milhões ou 1,4% do faturamento global para entidades importantes. Os reguladores nacionais nos Países Baixos (o NCSC e organismos setoriais específicos) têm agora autoridade para auditar, sancionar e nomear publicamente organizações não conformes. NIS2 também introduz responsabilidade pessoal para a gestão: seu conselho pode ser diretamente responsável por aprovar e supervisionar as medidas de gestão de risco de cibersegurança. Se ocorrer uma violação e sua organização não conseguir demonstrar que a gestão levou a sério suas obrigações, os diretores individuais ficam expostos.
Você está no âmbito de aplicação?
NIS2 classifica as entidades em dois níveis com base no setor e no tamanho. As entidades essenciais pertencem a 11 setores críticos: energia, transportes, banca, infraestrutura dos mercados financeiros, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços de TIC, administração pública e espaço. As entidades importantes pertencem a sete setores adicionais: serviços postais e de correio, gestão de resíduos, produtos químicos, produção e distribuição alimentícia, manufatura (dispositivos médicos, computadores, maquinário, veículos a motor), prestadores digitais (mercados online, motores de busca, plataformas sociais) e organizações de investigação.
Os limiares de dimensão são relevantes para ambos os níveis. Médias empresas (50 a 249 funcionários, ou €10 milhões a €49 milhões de faturamento anual) e superiores enquadram-se geralmente no âmbito de aplicação. Pequenas empresas (menos de 50 funcionários, menos de €10 milhões de faturamento) estão tipicamente isentas, com exceções para certas categorias como fornecedores únicos de serviços críticos no seu Estado-Membro.
Algumas entidades estão no âmbito independentemente do tamanho. Fornecedores de DNS, registos de nomes de TLD, fornecedores de computação em nuvem, operadores de centros de dados, redes de distribuição de conteúdo e fornecedores de serviços de segurança gerenciados enquadram-se automaticamente. Se sua organização se enquadrar em alguma destas categorias, a questão do número de funcionários é irrelevante.
NIS2 aplica-se apenas nos Estados-Membros da UE. O Reino Unido opera sob seus próprios Regulamentos de Segurança de Redes e Sistemas de Informação (2018), atualizados separadamente pelo DCMS. Se sua organização tiver operações na UE ou clientes na UE, essas operações estão sujeitas ao NIS2 mesmo que sua sede esteja em Londres. Espera-se que o Reino Unido introduza um quadro NIS revisto, mas nenhuma data de transposição foi definida até ao início de 2026.
As 10 medidas de segurança do Artigo 21
O Artigo 21 do NIS2 especifica as medidas de segurança mínimas que todas as entidades no âmbito de aplicação devem implementar. Estas não são diretrizes aspiracionais. Os reguladores podem auditar a conformidade em relação a cada uma delas.
A maioria das organizações já tem controles parciais nessas áreas. A lacuna tende a ser processos não documentados, planos de recuperação não testados e cláusulas da cadeia de fornecimento que existem no papel mas nunca foram validadas.
Notificação de incidentes: os três prazos
NIS2 introduz um requisito de notificação em três etapas para incidentes significativos. Um incidente significativo é aquele que causa ou arrisca causar perturbação operacional grave ou prejuízo financeiro, ou que afeta outras entidades ou outros Estados-Membros.
Os prazos contam a partir do momento em que sua organização toma conhecimento do incidente, não a partir de quando ele começou.
- 24 horas: alerta precoce. Notifique o CSIRT ou a autoridade competente relevante de que ocorreu um incidente significativo. Nesta fase, uma breve descrição e uma indicação sobre se o incidente parece ser intencional ou malicioso é suficiente.
- 72 horas: notificação de incidente. Uma avaliação mais completa: gravidade inicial, indicadores de comprometimento e serviços afetados.
- 1 mês: relatório final. Uma análise completa cobrindo a causa raiz, as medidas de remediação tomadas, qualquer impacto transfronteiriço e as lições aprendidas.
O prazo de 24 horas surpreende a maioria das organizações porque os processos de resposta a incidentes se concentram tipicamente na contenção primeiro, na notificação depois. Se seu plano de resposta a incidentes não incluir uma etapa de notificação regulatória na primeira hora de um incidente declarado, ele precisa ser atualizado antes que um evento real force a questão.
Notificar sua autoridade competente dentro de 24 horas não exige que você tenha um quadro completo do incidente. O alerta precoce existe precisamente para dar às autoridades tempo para ajudar. Atrasar a notificação enquanto investiga é o erro comum, e é o que atrai a atenção das autoridades de fiscalização.
Responsabilidade da gestão: a parte que a maioria das organizações ignora
O Artigo 20 do NIS2 coloca obrigações explícitas sobre a gestão sénior. Os conselhos e executivos de alto nível devem aprovar as medidas de gestão de risco de cibersegurança, supervisionar sua implementação e receber formação regular em cibersegurança.
Este é um território novo. Anteriormente, a cibersegurança era uma função de TI sobre a qual a gestão recebia briefings anuais. Ao abrigo do NIS2, os membros do conselho podem enfrentar sanções pessoais por infrações. A diretiva exige que os Estados-Membros responsabilizem pessoalmente a gestão, e espera-se que os reguladores nacionais prossigam com indivíduos, não apenas com multas contra a organização.
A obrigação de formação é concreta: a gestão deve completar formação em cibersegurança suficiente para identificar e avaliar riscos de cibersegurança e avaliar seu impacto nas operações empresariais. Muitos conselhos não estão atualmente equipados para demonstrar isso. Um memorando de briefing de uma página não satisfaz o requisito. Um programa de formação documentado, com registos de presença, satisfaz.
O que fazer agora
Se ainda não mapeou sua exposição ao NIS2, faça-o nos próximos 30 dias. Comece pelo setor e pelo tamanho para confirmar seu nível, depois percorra o Artigo 21 como uma lista de verificação de conformidade, notando onde tem evidências documentadas versus onde os controles existem informalmente.
- Determine seu nível de entidade (essencial ou importante) e confirme sua obrigação de registo junto à autoridade nacional relevante em cada Estado-Membro da UE onde opera.
- Mapeie o Artigo 21 em relação aos seus controles atuais. Priorize lacunas documentadas sobre as informais: os reguladores procuram evidências, não garantias verbais.
- Atualize seu plano de resposta a incidentes para incluir o processo de notificação em três etapas e nomeie o indivíduo responsável pela comunicação regulatória durante um incidente.
- Reveja os contratos com fornecedores. As cláusulas de segurança precisam ser executáveis e incluir disposições de direito de auditoria para seus terceiros mais críticos.
- Realize uma sessão de formação ao nível do conselho e documente-a. As atas do conselho que registam a discussão sobre cibersegurança são úteis; um programa de formação estruturado com registos de presença é melhor.
- Encomende uma avaliação de lacunas independente se ainda não o fez. Uma auditoria pela autoridade competente cobrirá o mesmo terreno, num momento muito menos conveniente.
A fiscalização do NIS2 está ativa nos Países Baixos. O NCSC e os supervisores setoriais estão trabalhando nos requisitos de registo e nas auditorias iniciais agora. Uma organização que chega a um regulador com uma avaliação de lacunas concluída e um roteiro de remediação está numa posição materialmente diferente de uma que não fez nada.
A Diretiva NIS2 está publicada na íntegra no EUR-Lex (Diretiva 2022/2555). O Nationaal Cyber Security Centrum publica orientações de implementação para os Países Baixos, requisitos específicos por setor e o processo de registo para entidades obrigadas.