Guia Conformidade Cibersegurança

Implementando controles de cibersegurança para NIST CSF 2.0 e NIS2

NIST CSF 2.0 e NIS2 exigem que você identifique ameaças, proteja sistemas, detecte incidentes e responda com rapidez. A maioria das organizações os trata como projetos separados. Eles compartilham os mesmos controles de cibersegurança subjacentes, o que significa que você pode implementá-los uma única vez e satisfazer ambas as estruturas com muito menos trabalho duplicado.

13 de maio de 2026
10 min de leitura
Principais conclusões
  • NIST CSF 2.0 cobre o conteúdo da maioria dos requisitos do NIS2 Artigo 21 em suas seis funções
  • A nova função GOVERN do CSF 2.0 se alinha diretamente à responsabilidade de gestão do NIS2 Artigo 20
  • Três requisitos do NIS2 não têm equivalente direto no CSF: prazos regulatórios de notificação, classificação de entidade e responsabilidade do conselho
  • Uma única avaliação de lacunas pode endereçar ambas as estruturas se estruturada corretamente
  • Organizações de saúde, serviços financeiros e hospitalidade estão no escopo do NIS2 como entidades essenciais ou importantes

Dois requisitos vigentes, um único programa

O NIS2 passou a ser aplicável nos estados-membros da UE em outubro de 2024. O NIST CSF 2.0 foi publicado em fevereiro daquele ano. Ambos agora se aplicam à mesma população: médias e grandes empresas em setores regulamentados com operações ou clientes na UE.

A resposta natural é tratá-los como projetos separados, com avaliações de lacunas separadas, trilhas de remediação separadas e relatórios separados. Essa duplicação custa tempo sem produzir controles adicionais. O NIS2 Artigo 21 e o NIST CSF 2.0 compartilham um alto grau de sobreposição estrutural, e as áreas onde divergem são específicas e gerenciáveis.

O argumento para usar o NIST CSF 2.0 como estrutura de trabalho para endereçar o NIS2 é direto. CSF 2.0 é mais operacionalmente flexível que ISO 27001, mais fácil de implementar de forma incremental e tem um análogo direto para cada medida do Artigo 21. Sua nova função GOVERN mapeia diretamente para os requisitos de responsabilidade de gestão do NIS2. O resultado é uma base de evidências que serve a ambas as estruturas, em vez de dois programas paralelos produzindo os mesmos controles duas vezes.

O que mudou no NIST CSF 2.0

A Estrutura de Cibersegurança NIST original tinha cinco funções: Identificar, Proteger, Detectar, Responder, Recuperar. A versão 2.0 adiciona uma sexta: GOVERN (Governar).

GOVERN envolve as outras cinco funções. Aborda contexto organizacional, estratégia de gestão de riscos, gestão de riscos na cadeia de suprimentos, papéis e responsabilidades, e mecanismos de supervisão. Onde a versão 1.1 descrevia quais controles implementar, GOVERN aborda quem é responsável por esses controles, como o apetite ao risco é definido e como a cibersegurança se conecta à estratégia de negócios mais ampla.

Essa adição é particularmente relevante para o NIS2. O NIS2 Artigo 20 exige que conselhos e órgãos de gestão aprovem medidas de cibersegurança e supervisionem sua implementação, com responsabilidade pessoal caso não o façam. GOVERN fornece a estrutura para documentar exatamente essa governança. CSF 2.0 é mais adequado ao NIS2 do que a versão 1.1 era.

A versão 2.0 também expandiu seu público-alvo para além dos operadores de infraestrutura crítica. A estrutura original era voltada principalmente para grandes organizações de infraestrutura. A versão 2.0 aborda organizações de todos os portes em todos os setores, alinhando-a com o escopo expandido do NIS2 de aproximadamente 160.000 entidades na UE.

6
Funções do CSF 2.0, acima de cinco na versão 1.1. GOVERN é nova.
10
medidas de segurança obrigatórias pelo NIS2 Artigo 21
Fev 2024
CSF 2.0 publicado, oito meses antes da aplicação do NIS2

As seis funções do CSF 2.0 resumidamente:

  • GOVERN (GV): Contexto organizacional, estratégia de risco, cadeia de suprimentos, papéis, supervisão
  • IDENTIFY (ID): Gestão de ativos, avaliação de riscos, melhoria
  • PROTECT (PR): Controle de acesso, treinamento, segurança de dados, segurança de plataforma
  • DETECT (DE): Monitoramento contínuo, análise de eventos adversos
  • RESPOND (RS): Gestão de incidentes, análise, comunicação, mitigação
  • RECOVER (RC): Execução do plano de recuperação, comunicação de recuperação

Como o NIS2 Artigo 21 se mapeia no CSF 2.0

Cada medida do NIS2 Artigo 21 tem uma função e subcategoria correspondentes no NIST CSF 2.0. A tabela abaixo mostra as principais funções CSF e códigos de subcategoria para cada uma das 10 medidas obrigatórias.

1
Análise de riscos e políticas de segurança da informação
GOVERN + IDENTIFY
GV.RMGV.OCID.RA
2
Tratamento de incidentes
DETECT + RESPOND
DE.AERS.MARS.ANRS.CO
3
Continuidade de negócios, gestão de backups e recuperação de desastres
RECOVER + PROTECT
RC.RPRC.COPR.DS
4
Segurança na cadeia de suprimentos
GOVERN
GV.SC
5
Segurança na aquisição, desenvolvimento e manutenção de sistemas
PROTECT + IDENTIFY
PR.PSID.AM
6
Políticas para avaliar a eficácia das medidas de cibersegurança
IDENTIFY + GOVERN
ID.IMGV.OC
7
Higiene cibernética básica e treinamento em cibersegurança
PROTECT
PR.ATPR.AA
8
Políticas sobre criptografia e encriptação
PROTECT
PR.DS
9
Segurança de recursos humanos, controle de acesso e gestão de ativos
PROTECT + IDENTIFY
PR.AAID.AM
10
Autenticação multifator e comunicações seguras
PROTECT
PR.AAPR.DS

A maioria das organizações já possui controles parciais nessas áreas. A lacuna comum são controles que existem de forma informal, processos não documentados e planos de recuperação que nunca foram testados. Uma avaliação de lacunas do CSF 2.0 revela exatamente isso: a diferença entre controles que existem no papel e controles que podem ser evidenciados.

Onde o CSF 2.0 não cobre o NIS2

Três requisitos do NIS2 estão fora do que o NIST CSF 2.0 aborda diretamente. Eles precisam ser incorporados explicitamente ao seu programa.

Prazos de notificação de incidentes

CSF 2.0 cobre resposta e comunicação de incidentes (RS.MA, RS.CO), mas não exige prazos específicos para notificar autoridades regulatórias. O NIS2 sim: um alerta antecipado ao CSIRT ou autoridade competente relevante dentro de 24 horas após tomar conhecimento de um incidente significativo, uma notificação mais completa dentro de 72 horas e um relatório final dentro de um mês.

Seu plano de resposta a incidentes precisa ter essas etapas explicitamente documentadas, com pessoas nomeadas responsáveis pela comunicação regulatória em cada fase. O prazo de 24 horas em particular pega organizações de surpresa porque os instintos de resposta a incidentes se concentram primeiro no contenimento, depois na notificação. Se a notificação regulatória não for uma etapa na primeira hora do seu processo de incidente declarado, ela precisa ser.

Importante

Notificar sua autoridade competente dentro de 24 horas não exige um quadro completo do incidente. O alerta antecipado existe precisamente para dar às autoridades tempo para ajudar. Atrasar a notificação enquanto você investiga é o que atrai atenção dos fiscalizadores.

Classificação de entidade

O NIS2 classifica organizações como entidades essenciais ou entidades importantes. Essa classificação afeta a frequência de auditorias, os níveis de multa (até €10 milhões ou 2% do faturamento global para entidades essenciais; até €7 milhões ou 1,4% para entidades importantes) e alguns requisitos procedimentais. O NIST CSF 2.0 não tem escalonamento equivalente. Você precisa confirmar sua classificação com a autoridade nacional relevante em cada estado-membro da UE onde opera. Nos Países Baixos, o NCSC coordena o registro de setores sob o NIS2.

Responsabilidade do órgão de gestão

CSF 2.0 GOVERN aborda papéis e responsabilidades e supervisão (GV.RR). O NIS2 Artigo 20 vai além: cria responsabilidade pessoal para membros individuais do conselho e executivos de alto escalão que não cumprirem suas obrigações de governança de cibersegurança. Os reguladores podem responsabilizar indivíduos nomeados e, para entidades essenciais, proibi-los temporariamente de exercer responsabilidades gerenciais.

Satisfazer o Artigo 20 requer evidências documentadas. Atas do conselho registrando a aprovação das medidas de gestão de riscos de cibersegurança, registros de presença em treinamentos de cibersegurança em nível de conselho e aprovação por escrito do programa. Um documento de perfil CSF por si só não satisfaz isso. Um programa de treinamento estruturado com registros sim.

Executando um único programa de conformidade para ambos

Uma abordagem em quatro etapas para integrar ambas as estruturas em um único programa:

  1. Execute uma avaliação de perfil CSF 2.0. Mapeie seus controles atuais em relação a todas as seis funções. Produza um perfil atual e um perfil-alvo. Este é o documento de referência para ambas as estruturas e o ponto de partida para tudo que se segue.
  2. Sobreponha o NIS2 Artigo 21 às suas lacunas do CSF. Usando o mapeamento acima, identifique quais medidas do Artigo 21 correspondem a cada lacuna do CSF. A maioria dos requisitos do NIS2 já aparecerá como lacunas no seu perfil atual do CSF. Priorize a remediação pelo risco de fiscalização do NIS2, não apenas pelo nível de implementação do CSF.
  3. Endereça as três lacunas específicas do NIS2. Atualize seu plano de resposta a incidentes para incluir as etapas de notificação 24h/72h/1 mês com responsáveis nomeados. Confirme sua classificação de entidade. Crie um registro de treinamento e aprovação do conselho para o Artigo 20.
  4. Mantenha um documento de conformidade unificado. Um documento mostrando seus perfis atual e alvo do CSF junto ao status do NIS2 Artigo 21 oferece a visão gerencial interna e o conjunto de evidências regulatórias em um único lugar. Quando um novo controle é implementado, ele atualiza ambas as estruturas de uma vez.
Nota prática

Executar uma avaliação de lacunas do CSF 2.0 seguida de uma sobreposição do Artigo 21 é normalmente mais rápido do que executar duas avaliações separadas. Também produz um conjunto de evidências mais limpo: os controles são documentados uma vez e referenciados por ambas as estruturas, o que reduz o esforço necessário quando um regulador ou auditor solicita evidências.

Notas para saúde, serviços financeiros e hospitalidade

Saúde

Organizações de saúde são entidades essenciais sob o NIS2. No Reino Unido, os NHS trusts também precisam atender aos requisitos do DSPT, que se sobrepõem a várias medidas do NIS2 Artigo 21, incluindo tratamento de incidentes, controle de acesso e segurança de dados. Nos Países Baixos, obrigações específicas se aplicam à segurança de dispositivos médicos e resiliência de sistemas clínicos sob o NIS2 e regulamentação setorial específica. Um programa NIST CSF 2.0 com as três lacunas específicas do NIS2 abordadas fornece uma base comum para todos esses, reduzindo o número de trilhas de conformidade separadas rodando em paralelo.

Serviços financeiros

Entidades financeiras sujeitas ao DORA enfrentam requisitos adicionais ao lado do NIS2. A estrutura de gestão de riscos de TIC do DORA, os requisitos de classificação de incidentes e o regime de TLPT (testes de penetração liderados por ameaças) são mais prescritivos que o NIS2 em várias áreas. Um programa CSF 2.0 cobrindo o NIS2 fornece uma base sólida, mas o DORA exige documentação suplementar para gestão de riscos de terceiros de TIC e as categorias de classificação de incidentes que diferem da definição do NIS2 de incidentes significativos. Executar um programa combinado CSF/NIS2 primeiro, depois adicionar complementos específicos do DORA, é o sequenciamento mais eficiente para empresas sujeitas a todos os três.

Hospitalidade

Hotéis, resorts, redes de restaurantes e empresas de viagem geralmente se qualificam como entidades importantes sob o NIS2. A conformidade com PCI DSS, já exigida para empresas que aceitam cartões, oferece um avanço considerável. Os controles do PCI DSS se mapeiam de perto às funções PROTECT e DETECT no CSF 2.0. As áreas que precisam de atenção específica para o NIS2 são a documentação de governança (GOVERN), procedimentos de notificação de incidentes e cláusulas de segurança na cadeia de suprimentos em contratos com fornecedores, particularmente com provedores de sistemas de gestão de propriedades e plataformas de pagamento.

O que fazer a seguir

Se sua organização está sujeita ao NIS2 e ainda não adotou uma estrutura de cibersegurança de trabalho, o NIST CSF 2.0 é a escolha prática para 2026. A função GOVERN oferece a estrutura de governança exigida pelo NIS2 Artigo 20, e o mapeamento para o Artigo 21 é direto o suficiente para que um único programa cubra ambos.

Se você já opera sob o CSF 1.1, a atualização para a versão 2.0 vale a pena apenas pelo GOVERN. As adições são incrementais em vez de uma reescrita, portanto o esforço é gerenciável e o benefício para a conformidade com o NIS2 é imediato.

A abordagem de perfis do CSF 2.0, onde você documenta o estado atual e o estado-alvo separadamente, também funciona bem como ferramenta de comunicação em nível de conselho. Deixa claro o que foi aprovado e o que ainda precisa ser abordado, que é exatamente o tipo de evidência documentada exigida pelo Artigo 20.

Se você não sabe por onde começar, uma avaliação de lacunas combinada CSF 2.0 e NIS2 é o primeiro passo mais eficiente. Ela estabelece sua linha de base, identifica suas lacunas prioritárias e produz o conjunto de evidências necessário para ambas as estruturas em um único trabalho.

A documentação do NIST Cybersecurity Framework 2.0, incluindo o núcleo completo da estrutura, níveis de implementação e perfis, está disponível em nist.gov/cyberframework. O texto completo da Diretiva NIS2 está publicado no EUR-Lex.

Perguntas frequentes

Seguir o NIST CSF 2.0 significa estar em conformidade com o NIS2?

Não automaticamente. NIST CSF 2.0 é uma estrutura, não uma certificação. Ele cobre o conteúdo da maioria dos requisitos do NIS2 Artigo 21, mas o NIS2 possui três elementos que requerem atenção separada: procedimentos específicos de notificação de incidentes com prazos regulatórios (24h, 72h, 1 mês), classificação de entidade junto à autoridade nacional e responsabilidade documentada em nível de conselho nos termos do Artigo 20. Um programa CSF 2.0 coloca a organização em boa posição, mas essas três lacunas precisam ser abordadas explicitamente.

O NIST CSF é obrigatório nos Países Baixos ou no Reino Unido?

Não. O NIST CSF é uma estrutura voluntária publicada pelo Instituto Nacional de Padrões e Tecnologia dos EUA. Não é exigido pela legislação holandesa ou britânica. Reguladores nos Países Baixos e no Reino Unido aceitarão evidências de controles independentemente da estrutura usada para documentá-los. O NIST CSF é amplamente utilizado como estrutura de trabalho por ser flexível, agnóstico em relação a setores e bem documentado, não porque seja obrigatório.

Podemos usar ISO 27001 em vez do NIST CSF 2.0 para o NIS2?

Sim. ISO 27001 e NIST CSF 2.0 são ambos compatíveis com o NIS2 Artigo 21. ISO 27001 é mais prescritivo e voltado para certificação, o que algumas organizações preferem para fins de garantia de fornecedores. O NIST CSF é mais flexível como estrutura de trabalho interna. Muitas organizações usam ambos: CSF para gestão interna de programas e ISO 27001 para certificação externa. Os três requisitos específicos do NIS2 (prazos de notificação, classificação de entidade, responsabilidade do conselho) precisam ser abordados independentemente da estrutura utilizada.

O que é a função GOVERN no NIST CSF 2.0?

GOVERN é a nova função adicionada ao NIST CSF 2.0, publicado em fevereiro de 2024. Aborda contexto organizacional, estratégia de gestão de riscos, gestão de riscos na cadeia de suprimentos, papéis e responsabilidades, e mecanismos de supervisão. Foi adicionada para preencher uma lacuna do CSF 1.1, onde a estrutura cobria controles operacionais e técnicos, mas não abordava claramente a governança e a responsabilização em nível de conselho. Para fins de NIS2, GOVERN é a função mais diretamente relevante para as obrigações do órgão de gestão do Artigo 20.

Como o DORA se relaciona com o NIST CSF 2.0 e o NIS2?

DORA (Digital Operational Resilience Act) se aplica a entidades financeiras na UE juntamente com o NIS2. O DORA é mais prescritivo que o NIS2 em várias áreas, particularmente na classificação de incidentes de TIC, gestão de riscos de TIC de terceiros e testes de penetração liderados por ameaças. O NIST CSF 2.0 é compatível com os cinco pilares do DORA, mas não aborda completamente os requisitos específicos de documentação do DORA. Um programa CSF 2.0 cobrindo o NIS2 fornece uma base sólida, mas entidades financeiras precisam de complementos específicos do DORA para riscos de terceiros e classificação de incidentes.

Fale com a Cyvra

Precisa alinhar seus programas NIS2 e NIST CSF?

Realizamos avaliações de lacunas combinadas para organizações nos Países Baixos e no Reino Unido que precisam atender a ambos os requisitos sem executar duas frentes de trabalho paralelas.

Aviso legal: Este artigo é apenas para fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não oferece garantia quanto à precisão ou integralidade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem buscar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita nenhuma responsabilidade por perdas decorrentes da confiança neste conteúdo.