Guia Conformidade Cibersegurança

Prontidão para NIS2: os 10 controles de segurança que sua organização precisa

NIS2 é uma linha de base prática de cibersegurança: controle de acesso, detecção de incidentes, risco na cadeia de fornecimento e outras sete medidas de segurança obrigatórias. A maioria das grandes e médias empresas nos Países Baixos está sujeita a ela. Este guia aborda os 10 controles do Artigo 21 e como documentá-los e testá-los antes que um incidente force a questão.

1 de maio de 2026
7 min de leitura
Principais conclusões
  • Cerca de 160.000 entidades em toda a UE estão agora no âmbito de aplicação, muito mais do que o NIS1 cobria
  • Você tem 24 horas para registrar um alerta precoce após descobrir um incidente significativo
  • Os órgãos de gestão são pessoalmente responsáveis se as medidas exigidas não forem implementadas
  • O Artigo 21 exige 10 medidas de segurança específicas, desde segurança da cadeia de fornecimento até MFA
  • Entidades essenciais enfrentam multas de até €10 milhões ou 2% do faturamento anual global

Por que NIS2 é uma obrigação fundamentalmente diferente

NIS1 cobria cerca de 5.000 entidades em toda a UE. NIS2 abrange aproximadamente 160.000. A diretiva original tinha como alvo operadores de infraestrutura crítica e um conjunto restrito de prestadores de serviços digitais. NIS2 se estende a médias e grandes empresas em 18 setores, incluindo saúde, serviços financeiros, manufatura, produção alimentícia e serviços postais.

A outra mudança significativa é a fiscalização. No âmbito do NIS1, os Estados-Membros tratavam da conformidade e as penalidades variavam muito. NIS2 especifica multas diretamente no texto da diretiva: até €10 milhões ou 2% do faturamento anual global para entidades essenciais (o que for maior), e até €7 milhões ou 1,4% do faturamento global para entidades importantes. Os reguladores nacionais nos Países Baixos (o NCSC e organismos setoriais específicos) têm agora autoridade para auditar, sancionar e nomear publicamente organizações não conformes. NIS2 também introduz responsabilidade pessoal para a gestão: seu conselho pode ser diretamente responsável por aprovar e supervisionar as medidas de gestão de risco de cibersegurança. Se ocorrer uma violação e sua organização não conseguir demonstrar que a gestão levou a sério suas obrigações, os diretores individuais ficam expostos.

160.000
entidades no âmbito de aplicação em toda a UE, contra cerca de 5.000 no NIS1
€10M
multa máxima para entidades essenciais, ou 2% do faturamento anual global
24h
para submeter a notificação inicial de incidente à autoridade competente

Você está no âmbito de aplicação?

NIS2 classifica as entidades em dois níveis com base no setor e no tamanho. As entidades essenciais pertencem a 11 setores críticos: energia, transportes, banca, infraestrutura dos mercados financeiros, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços de TIC, administração pública e espaço. As entidades importantes pertencem a sete setores adicionais: serviços postais e de correio, gestão de resíduos, produtos químicos, produção e distribuição alimentícia, manufatura (dispositivos médicos, computadores, maquinário, veículos a motor), prestadores digitais (mercados online, motores de busca, plataformas sociais) e organizações de investigação.

Os limiares de dimensão são relevantes para ambos os níveis. Médias empresas (50 a 249 funcionários, ou €10 milhões a €49 milhões de faturamento anual) e superiores enquadram-se geralmente no âmbito de aplicação. Pequenas empresas (menos de 50 funcionários, menos de €10 milhões de faturamento) estão tipicamente isentas, com exceções para certas categorias como fornecedores únicos de serviços críticos no seu Estado-Membro.

Algumas entidades estão no âmbito independentemente do tamanho. Fornecedores de DNS, registos de nomes de TLD, fornecedores de computação em nuvem, operadores de centros de dados, redes de distribuição de conteúdo e fornecedores de serviços de segurança gerenciados enquadram-se automaticamente. Se sua organização se enquadrar em alguma destas categorias, a questão do número de funcionários é irrelevante.

Nota sobre o Reino Unido

NIS2 aplica-se apenas nos Estados-Membros da UE. O Reino Unido opera sob seus próprios Regulamentos de Segurança de Redes e Sistemas de Informação (2018), atualizados separadamente pelo DCMS. Se sua organização tiver operações na UE ou clientes na UE, essas operações estão sujeitas ao NIS2 mesmo que sua sede esteja em Londres. Espera-se que o Reino Unido introduza um quadro NIS revisto, mas nenhuma data de transposição foi definida até ao início de 2026.

As 10 medidas de segurança do Artigo 21

O Artigo 21 do NIS2 especifica as medidas de segurança mínimas que todas as entidades no âmbito de aplicação devem implementar. Estas não são diretrizes aspiracionais. Os reguladores podem auditar a conformidade em relação a cada uma delas.

1
Análise de riscos e políticas de segurança da informação
Um quadro de gestão de riscos documentado cobrindo seus sistemas de rede e informação, revisto em intervalos definidos.
2
Tratamento de incidentes
Procedimentos de deteção, análise, contenção, erradicação e recuperação, incluindo funções definidas e um plano de resposta a incidentes testado.
3
Continuidade de negócios, gestão de backups e recuperação de desastres
Processos de backup testados cobrindo sistemas críticos, com objetivos de tempo de recuperação e de ponto de recuperação definidos e validados.
4
Segurança da cadeia de fornecimento
Avaliação da postura de segurança dos fornecedores diretos, incluindo requisitos de segurança contratuais e monitoramento contínuo.
5
Segurança na aquisição, desenvolvimento e manutenção de sistemas
Práticas de desenvolvimento seguro, processos de divulgação de vulnerabilidades e procedimentos de gestão de patches.
6
Políticas para avaliar a eficácia das medidas de cibersegurança
Testes, revisões e auditorias regulares, como testes de penetração e avaliações internas.
7
Higiene cibernética básica e formação em cibersegurança
Controles de base (aplicação de patches, controle de acesso, anti-malware) e formação obrigatória para todos os colaboradores, incluindo a gestão sénior.
8
Políticas sobre criptografia e cifragem
Uso documentado de cifragem para dados em repouso e em trânsito, com procedimentos de gestão de chaves em vigor.
9
Segurança de recursos humanos, controle de acesso e gestão de ativos
Processos de entrada, mobilidade e saída de colaboradores, princípios de acesso com menor privilégio e um inventário de ativos atualizado.
10
Autenticação multifator e comunicações seguras
MFA para todo o acesso privilegiado e canais seguros para comunicações de voz, vídeo e texto internamente.

A maioria das organizações já tem controles parciais nessas áreas. A lacuna tende a ser processos não documentados, planos de recuperação não testados e cláusulas da cadeia de fornecimento que existem no papel mas nunca foram validadas.

Notificação de incidentes: os três prazos

NIS2 introduz um requisito de notificação em três etapas para incidentes significativos. Um incidente significativo é aquele que causa ou arrisca causar perturbação operacional grave ou prejuízo financeiro, ou que afeta outras entidades ou outros Estados-Membros.

Os prazos contam a partir do momento em que sua organização toma conhecimento do incidente, não a partir de quando ele começou.

  • 24 horas: alerta precoce. Notifique o CSIRT ou a autoridade competente relevante de que ocorreu um incidente significativo. Nesta fase, uma breve descrição e uma indicação sobre se o incidente parece ser intencional ou malicioso é suficiente.
  • 72 horas: notificação de incidente. Uma avaliação mais completa: gravidade inicial, indicadores de comprometimento e serviços afetados.
  • 1 mês: relatório final. Uma análise completa cobrindo a causa raiz, as medidas de remediação tomadas, qualquer impacto transfronteiriço e as lições aprendidas.

O prazo de 24 horas surpreende a maioria das organizações porque os processos de resposta a incidentes se concentram tipicamente na contenção primeiro, na notificação depois. Se seu plano de resposta a incidentes não incluir uma etapa de notificação regulatória na primeira hora de um incidente declarado, ele precisa ser atualizado antes que um evento real force a questão.

Importante

Notificar sua autoridade competente dentro de 24 horas não exige que você tenha um quadro completo do incidente. O alerta precoce existe precisamente para dar às autoridades tempo para ajudar. Atrasar a notificação enquanto investiga é o erro comum, e é o que atrai a atenção das autoridades de fiscalização.

Responsabilidade da gestão: a parte que a maioria das organizações ignora

O Artigo 20 do NIS2 coloca obrigações explícitas sobre a gestão sénior. Os conselhos e executivos de alto nível devem aprovar as medidas de gestão de risco de cibersegurança, supervisionar sua implementação e receber formação regular em cibersegurança.

Este é um território novo. Anteriormente, a cibersegurança era uma função de TI sobre a qual a gestão recebia briefings anuais. Ao abrigo do NIS2, os membros do conselho podem enfrentar sanções pessoais por infrações. A diretiva exige que os Estados-Membros responsabilizem pessoalmente a gestão, e espera-se que os reguladores nacionais prossigam com indivíduos, não apenas com multas contra a organização.

A obrigação de formação é concreta: a gestão deve completar formação em cibersegurança suficiente para identificar e avaliar riscos de cibersegurança e avaliar seu impacto nas operações empresariais. Muitos conselhos não estão atualmente equipados para demonstrar isso. Um memorando de briefing de uma página não satisfaz o requisito. Um programa de formação documentado, com registos de presença, satisfaz.

O que fazer agora

Se ainda não mapeou sua exposição ao NIS2, faça-o nos próximos 30 dias. Comece pelo setor e pelo tamanho para confirmar seu nível, depois percorra o Artigo 21 como uma lista de verificação de conformidade, notando onde tem evidências documentadas versus onde os controles existem informalmente.

  • Determine seu nível de entidade (essencial ou importante) e confirme sua obrigação de registo junto à autoridade nacional relevante em cada Estado-Membro da UE onde opera.
  • Mapeie o Artigo 21 em relação aos seus controles atuais. Priorize lacunas documentadas sobre as informais: os reguladores procuram evidências, não garantias verbais.
  • Atualize seu plano de resposta a incidentes para incluir o processo de notificação em três etapas e nomeie o indivíduo responsável pela comunicação regulatória durante um incidente.
  • Reveja os contratos com fornecedores. As cláusulas de segurança precisam ser executáveis e incluir disposições de direito de auditoria para seus terceiros mais críticos.
  • Realize uma sessão de formação ao nível do conselho e documente-a. As atas do conselho que registam a discussão sobre cibersegurança são úteis; um programa de formação estruturado com registos de presença é melhor.
  • Encomende uma avaliação de lacunas independente se ainda não o fez. Uma auditoria pela autoridade competente cobrirá o mesmo terreno, num momento muito menos conveniente.

A fiscalização do NIS2 está ativa nos Países Baixos. O NCSC e os supervisores setoriais estão trabalhando nos requisitos de registo e nas auditorias iniciais agora. Uma organização que chega a um regulador com uma avaliação de lacunas concluída e um roteiro de remediação está numa posição materialmente diferente de uma que não fez nada.

A Diretiva NIS2 está publicada na íntegra no EUR-Lex (Diretiva 2022/2555). O Nationaal Cyber Security Centrum publica orientações de implementação para os Países Baixos, requisitos específicos por setor e o processo de registo para entidades obrigadas.

Perguntas frequentes

A quem se aplica o NIS2?

NIS2 se aplica a organizações em 18 setores críticos em toda a UE, cobrindo cerca de 160.000 entidades. As entidades essenciais incluem fornecedores de energia, operadores de transporte, bancos, organizações de saúde e fornecedores de infraestrutura digital. As entidades importantes incluem serviços postais, gestão de resíduos, produtores de alimentos, empresas químicas e prestadores de serviços digitais. Qualquer organização com 50 ou mais funcionários ou faturamento anual de €10 milhões que opere nesses setores provavelmente está no âmbito de aplicação.

Quais são os 10 controles de segurança obrigatórios do NIS2 Artigo 21?

O Artigo 21 exige: análise de riscos e políticas de segurança de sistemas de informação; tratamento de incidentes; continuidade dos negócios incluindo gestão de backups e recuperação de desastres; segurança da cadeia de fornecimento; segurança na aquisição de sistemas de rede e informação; políticas para avaliar a eficácia das medidas de segurança; práticas básicas de higiene cibernética e formação em cibersegurança; políticas sobre o uso de criptografia e cifragem; segurança de recursos humanos; e controle de acesso, gestão de ativos e uso de autenticação multifator.

Quais são os prazos de notificação de incidentes do NIS2?

NIS2 estabelece um processo de notificação em três etapas. Você deve enviar um alerta precoce à autoridade nacional competente dentro de 24 horas após tomar conhecimento de um incidente significativo. Uma notificação de incidente mais detalhada é feita em 72 horas. Um relatório final é exigido em um mês, cobrindo uma descrição completa do incidente, sua gravidade, o tipo de ameaça envolvida e quaisquer efeitos transfronteiriços.

Os gestores seniores podem ser pessoalmente responsabilizados pelo NIS2?

Sim. O Artigo 20 do NIS2 exige que os órgãos de gestão aprovem as medidas de gestão de riscos de cibersegurança e supervisionem sua implementação. Se ocorrer uma violação e a investigação constatar que a gestão foi negligente no cumprimento dessas obrigações, os indivíduos podem ser responsabilizados pessoalmente. Para entidades essenciais, as autoridades nacionais podem proibir temporariamente uma pessoa singular de exercer funções de gestão.

Qual é a multa máxima por não conformidade com o NIS2?

Para entidades essenciais, as multas do NIS2 podem chegar a €10 milhões ou 2% do faturamento anual global, o que for maior. Para entidades importantes, o máximo é €7 milhões ou 1,4% do faturamento anual global. As autoridades de supervisão também podem emitir instruções vinculativas, auditorias de segurança obrigatórias e restrições temporárias à prestação de serviços.

Fale com a Cyvra

Não tem certeza se está no âmbito do NIS2?

Realizamos avaliações de lacunas de NIS2 para organizações nos Países Baixos e no Reino Unido. Uma visão clara de onde você está é melhor do que adivinhar.

Aviso legal: Este artigo tem finalidade exclusivamente informativa e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não garante a precisão ou completude deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem buscar orientação jurídica e regulatória independente adequada às suas circunstâncias específicas. A Cyvra não se responsabiliza por qualquer perda decorrente da utilização deste conteúdo.