Uma plataforma. Todos os requisitos da UE. Sem lacunas.
A UE criou a NIS2 para harmonizar a cibersegurança em toda a Europa. Depois, 27 países implementaram-na de forma diferente. Nós corrigimos isso.
A normalização que nunca chegou a existir
A NIS2 deveria ser a grande unificadora: uma diretiva para alinhar os requisitos de cibersegurança em todos os 27 Estados-Membros da UE. Na prática, fez o contrário. A diretiva define requisitos mínimos e cada país é livre de ir mais longe. A maioria foi. O resultado é um mosaico de leis nacionais, cada uma com a sua própria interpretação, os seus próprios limiares e as suas próprias expectativas de aplicação.
Depois, a Comissão Europeia acrescentou o CIR 2024/2690, um regulamento de execução que especifica requisitos técnicos para as entidades transfronteiriças mais críticas. Não substitui a lei nacional, empilha-se sobre ela. Por isso, as empresas enfrentam agora três camadas de requisitos que se sobrepõem, contradizem e confundem em medida sensivelmente igual.
Se opera em vários países da UE, ou se simplesmente quer saber o que significa, em termos concretos, ser "conforme à NIS2", está por sua conta. Não existe uma única fonte de verdade. Até agora.
Diretiva NIS2 (UE 2022/2555)
A diretiva ao nível da UE que define requisitos mínimos de cibersegurança para entidades essenciais e importantes. Deliberadamente vaga quanto aos detalhes de implementação: diz o que deve alcançar, não como o alcançar. Cada Estado-Membro tem de a transpor para a lei nacional e está explicitamente autorizado a ir mais longe.
BSIG, transposição nacional alemã
A Alemanha transpôs a NIS2 para o BSIG (BSI-Gesetz). Vai significativamente além dos mínimos da diretiva: prazos de notificação de incidentes mais rigorosos, âmbito mais alargado de entidades abrangidas e responsabilidade explícita da gestão ao abrigo do § 38. Se opera na Alemanha, a diretiva por si só não basta: é o BSIG que os auditores aplicam.
CIR 2024/2690, regulamento de execução da UE
O Regulamento de Execução da Comissão especifica requisitos técnicos e metodológicos detalhados para entidades que prestam serviços transfronteiriços (DNS, nuvem, CDN, centros de dados e mais). Ao contrário da diretiva, é diretamente aplicável: não é necessária transposição nacional. Acrescenta requisitos granulares de gestão de risco, tratamento de incidentes e segurança da cadeia de abastecimento que vão bem além do texto da diretiva.
IT-Grundschutz, metodologia de implementação do BSI
As normas IT-Grundschutz do BSI (BSI-200-1, 200-2, 200-3) definem exatamente como implementar os requisitos na prática. Ao abrigo do § 44(2) BSIG, a implementação do Grundschutz é explicitamente reconhecida como cumprimento das obrigações NIS2 na Alemanha. É a camada mais detalhada e prescritiva, e a que transforma declarações de política vagas em controlos concretos e auditáveis.
O denominador comum mais rigoroso
A nossa plataforma não escolhe um único quadro e espera pelo melhor. Para cada tema de conformidade (gestão de risco, notificação de incidentes, controlo de acessos, cifragem, formação, cadeia de abastecimento) identificamos o requisito mais rigoroso entre as três fontes normativas: a Diretiva NIS2, o CIR 2024/2690 e o BSIG com a metodologia IT-Grundschutz.
Depois, integramos essa versão mais rigorosa na plataforma como predefinição. Cada formulário, cada fluxo de trabalho, cada requisito de evidência é concebido para satisfazer o nível mais elevado. Quando conclui um requisito na nossa plataforma, não cumpre apenas a norma alemã ou o mínimo da UE: cumpre todos em simultâneo.
O resultado: cumpra uma vez, fique conforme em todo o lado. Quer opere apenas na Alemanha, em toda a UE, ou esteja abrangido pelo âmbito transfronteiriço do CIR, a sua postura de conformidade mantém-se. Sem trabalho duplicado, sem lacunas, sem surpresas durante uma auditoria noutra jurisdição.
| Área de conformidade | Diretiva NIS2 | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Gestão de risco | Medidas "adequadas e proporcionadas", sem metodologia prescrita | Metodologia explícita de avaliação de risco com critérios definidos, aceitação de risco documentada | Análise de risco completa baseada em ativos segundo a BSI-200-3, modelação de ameaças segundo o IT-Grundschutz Compendium, revisão anual obrigatória |
| Notificação de incidentes | Alerta precoce no prazo de 24h, notificação completa no prazo de 72h | Os mesmos prazos, acrescidos da obrigação de agregar e comunicar incidentes recorrentes como um padrão | 24h/72h mais notificação obrigatória ao BSI, a gestão deve ser informada de imediato, análise de causa raiz exigida |
| Segurança da cadeia de abastecimento | Considerar os riscos da cadeia de abastecimento, ter em conta as vulnerabilidades dos fornecedores | Avaliação documentada de fornecedores, requisitos de segurança contratuais, reavaliação periódica | Registo de risco de fornecedores ligado ao inventário de ativos, estado de registo NIS2 monitorizado, auditoria de fornecedores ao nível Grundschutz |
| Cifragem e criptografia | "Sempre que adequado", utilização de criptografia e cifragem | Política de criptografia exigida, gestão de chaves documentada, adequação dos algoritmos avaliada | As diretrizes técnicas do BSI (TR-02102) definem algoritmos aprovados, comprimentos de chave e protocolos, sem margem para interpretação |
| Controlo de acessos | Políticas de controlo de acesso aos sistemas de rede e de informação | Acesso baseado em funções, gestão de acessos privilegiados, revisões regulares de acessos | Princípio do need-to-know, segregação de funções, MFA obrigatório para acesso administrativo, RBAC documentado com recertificação anual |
| Formação em cibersegurança | Formação regular para a gestão e todos os colaboradores | Formação específica por função, a gestão deve demonstrar competência na supervisão do risco | Formação anual de sensibilização para todos os colaboradores, formação específica por função para o pessoal de TI, formação obrigatória sobre responsabilidade do § 38 BSIG para a gestão |
Transfronteiriço por predefinição
Opere na Alemanha, expanda-se para França, sirva clientes nos Países Baixos: a sua conformidade mantém-se em todo o lado. Sem retrabalho específico por jurisdição, sem segunda auditoria. Um processo cobre todos os 27 Estados-Membros porque já cumpre a interpretação mais rigorosa.
Zero ambiguidade
A Diretiva NIS2 é deliberadamente vaga. "Medidas adequadas" significa coisas diferentes para auditores diferentes. A nossa plataforma elimina essa ambiguidade ao assumir, por predefinição, o requisito mais específico e prescritivo disponível. Nunca tem de adivinhar se a sua interpretação é "suficiente".
Conformidade à prova de futuro
Os regulamentos só apertam. Os países que hoje transpuseram a NIS2 ao nível mínimo serão mais rigorosos amanhã. Ao cumprir já a norma atual mais elevada, está à frente de qualquer aperto futuro, em vez de correr atrás do prejuízo.
Pronto para auditoria desde o primeiro dia
Os auditores do BSI esperam evidências ao nível Grundschutz. As avaliações da ENISA verificam a conformidade com o CIR. A nossa plataforma gera evidências que satisfazem ambos, automaticamente. Atribuições, aprovações, prazos e trilhos de auditoria estão integrados no fluxo de trabalho: são o processo de conformidade, não algo acessório.
Esta é a objeção mais comum, e está errada. A diferença entre cumprir os requisitos mínimos da Diretiva NIS2 e cumprir a norma BSIG/Grundschutz não é mais introdução de dados, mais documentos ou mais trabalho de carga. É mais estrutura. A mesma informação que uma empresa fornece para um exercício de caixa NIS2 no mínimo é a mesma informação necessária para uma implementação ao nível Grundschutz.
O "trabalho" adicional é compreensão: saber que ativos documentar, como estruturar uma avaliação de risco, o que constitui uma evidência adequada. É exatamente isso que a nossa plataforma trata por si. Os formulários guiam-no pelas perguntas certas. Os fluxos de trabalho impõem o processo certo. A evidência é gerada à medida que trabalha.
Na prática, uma empresa que utiliza a nossa plataforma não gasta mais tempo do que outra que usa uma ferramenta de lista de verificação de conformidade mínima. A diferença é que o nosso resultado resiste realmente a uma auditoria, em qualquer país da UE, ao abrigo de qualquer regulamento aplicável. O esforço é idêntico. O resultado é incomparavelmente melhor.
Perguntas frequentes
Isto não é excessivo para uma empresa que só opera num país?
Não. Mesmo dentro de um único país, enfrenta vários requisitos sobrepostos: a transposição nacional, potencialmente o CIR se prestar serviços transfronteiriços e as expectativas práticas do seu auditor nacional. Cumprir o denominador comum mais rigoroso significa que nunca tem de se preocupar com qual regulamento específico se aplica a qual parte do seu negócio. Não é excessivo: é a única abordagem que remove a ambiguidade por completo.
E se o meu país tiver requisitos diferentes do BSIG alemão?
Todos os países da UE transpuseram a NIS2 ao nível do mínimo da diretiva ou acima dele. O BSIG alemão está entre as transposições mais rigorosas. Se cumprir os requisitos ao nível do BSIG, excede automaticamente o que o seu país exigir. Pense nisto como um superconjunto: a lei nacional mais rigorosa, mais o CIR, mais a diretiva, cobre todas as interpretações possíveis que qualquer Estado-Membro possa aplicar.
A abordagem mais rigorosa custa mais ou demora mais?
Não. A plataforma guia-o pelo mesmo número de passos, independentemente disso. A diferença está em como esses passos são estruturados: os nossos formulários e fluxos de trabalho foram concebidos para captar informação ao nível de detalhe que satisfaz a metodologia Grundschutz. Não está a fazer mais trabalho; está a fazer o mesmo trabalho com mais precisão. O investimento de tempo é comparável ao de qualquer ferramenta de conformidade, mas o resultado é defensável em todas as jurisdições da UE.
E a ISO 27001? Ainda preciso dela?
A ISO 27001 é uma norma de sistema de gestão, não um requisito legal. A NIS2, o BSIG e o CIR são obrigações legais. Existe uma sobreposição significativa: se cumprir os requisitos da nossa plataforma, cobriu cerca de 70-80% dos controlos do Anexo A da ISO 27001. Mas servem propósitos diferentes: a conformidade NIS2 é obrigatória e legalmente exigida, a certificação ISO 27001 é voluntária e impulsionada pelo mercado. A nossa plataforma foca primeiro as obrigações legais. O alinhamento com a ISO 27001 seguir-se-á como funcionalidade futura.
Como é que o CIR 2024/2690 se relaciona com a lei nacional, como o BSIG?
O CIR é um regulamento de execução da UE: aplica-se diretamente em todos os Estados-Membros sem transposição nacional. Não substitui a lei nacional; acrescenta-se a ela. Para entidades abrangidas pelo CIR (sobretudo fornecedores transfronteiriços de infraestruturas digitais), tem de cumprir tanto a sua transposição nacional (por exemplo, o BSIG na Alemanha) como o CIR. Onde se sobrepõem, aplica-se o requisito mais rigoroso. Onde não se sobrepõem, ambos se aplicam de forma independente. A nossa plataforma trata desta sobreposição para que não tenha de o fazer.