NIS 2 vs Diretiva CER: resiliência cibernética ao lado da resiliência física
Duas diretivas, adotadas no mesmo dia, com o mesmo prazo de transposição, que abrangem quase os mesmos setores críticos de dois ângulos diferentes.
Duas diretivas, um pacote de resiliência
Em 14 de dezembro de 2022 a UE adotou duas diretivas em paralelo. A Diretiva (UE) 2022/2555 (NIS 2) é a diretiva da cibersegurança. A Diretiva (UE) 2022/2557 (CER) é a diretiva relativa à resiliência das entidades críticas. Ambas tinham de ser transpostas até 17 de outubro de 2024.
A NIS 2 protege as redes e os sistemas de informação. A CER protege a operação física das entidades críticas contra ameaças não cibernéticas, como perigos naturais, sabotagem, terrorismo, ataques internos e pandemias. Os setores abrangidos sobrepõem-se fortemente, mas o objeto de proteção é diferente.
Para operadores na energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, administração pública e espaço, as duas diretivas aplicam-se muitas vezes em paralelo. Esta página do wiki explica onde as duas se encontram e onde divergem.
NIS 2, artigo 2.o, n.o 3 (ipsis verbis)
A presente diretiva aplica-se às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.
O artigo 2.o, n.o 3, da NIS 2 torna a ligação explícita: uma entidade que um Estado-Membro designe como entidade crítica ao abrigo da CER está no âmbito da NIS 2 e é tratada como entidade essencial ao abrigo do artigo 3.o, n.o 1, alínea f), da NIS 2.
CER, artigo 1.o (objeto, ipsis verbis)
A presente diretiva estabelece obrigações para os Estados-Membros no sentido de tomarem medidas específicas destinadas a assegurar que os serviços essenciais à manutenção de funções societais ou atividades económicas vitais no âmbito de aplicação do artigo 5.o sejam prestados de forma desimpedida no mercado interno, em especial obrigações para os Estados-Membros de identificarem entidades críticas e de apoiarem as entidades críticas no cumprimento das obrigações que lhes são impostas.
A CER centra-se na continuidade dos serviços essenciais face a ameaças físicas, naturais, híbridas e de origem humana. O ângulo cibernético é deixado à NIS 2.
Transposição nacional (Alemanha)
A NIS 2 é transposta na Alemanha através do BSIG (projeto NIS2UmsuCG). A CER é transposta através de uma KRITIS-Dachgesetz separada (lei-quadro KRITIS) liderada pelo Ministério Federal do Interior.
As duas diretivas são transpostas por duas leis nacionais diferentes, supervisionadas por duas agências federais diferentes. Em junho de 2026, a transposição alemã da NIS 2 ainda está no procedimento legislativo, e a lei-quadro KRITIS está em estado de projeto paralelo.
As listas de setores sobrepõem-se, mas não perfeitamente
Os anexos I e II da NIS 2 enumeram 18 setores. O anexo da CER enumera 11 setores. Os setores da energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, administração pública e espaço aparecem em ambos. A CER abrange adicionalmente a produção, transformação e distribuição de alimentos, que fica fora da NIS 2.
Redes e sistemas de informação vs continuidade física do serviço
A NIS 2 protege a cibersegurança das redes e dos sistemas de informação utilizados pela entidade. A CER protege a capacidade da entidade de continuar a prestar o serviço essencial face a perturbações físicas, naturais e de origem humana. Mesmo operador, duas lentes de risco diferentes.
As entidades críticas ao abrigo da CER são entidades essenciais ao abrigo da NIS 2
O artigo 2.o, n.o 3, da NIS 2 encaminha qualquer entidade designada como entidade crítica ao abrigo da CER diretamente para a NIS 2 como entidade essencial. O inverso não vale automaticamente: estar no âmbito da NIS 2 não o designa como entidade crítica ao abrigo da CER.
O risco cibernético não é risco físico
O artigo 21.o da NIS 2 exige medidas de gestão de riscos de cibersegurança (políticas, tratamento de incidentes, continuidade do negócio, segurança da cadeia de fornecimento, controlo de acessos, criptografia e assim por diante). Os artigos 12.o a 13.o da CER exigem um plano de resiliência que abranja medidas de proteção física, redundância, continuidade do negócio e segurança do pessoal. As provas sobrepõem-se em alguns pontos (por exemplo, planos de continuidade do negócio), mas o catálogo de riscos é diferente.
Muitas vezes o mesmo operador, dois relatórios, duas autoridades
Uma empresa de águas, um grupo hospitalar, um distribuidor de energia ou um organismo da administração pública pode ter obrigações ao abrigo das duas diretivas ao mesmo tempo. Isso significa normalmente duas avaliações de risco paralelas e duas linhas de comunicação paralelas, uma para a autoridade competente da NIS 2 e outra para a autoridade competente da CER.
BSI
Na Alemanha, o Bundesamt fuer Sicherheit in der Informationstechnik (BSI) é a autoridade principal para a aplicação da NIS 2. O BSI recebe registos, notificações de incidentes e supervisiona as medidas de gestão de riscos de cibersegurança da NIS 2.
BBK
A autoridade alemã principal para a CER é o Bundesamt fuer Bevoelkerungsschutz und Katastrophenhilfe (BBK), não o BSI. O BBK supervisiona a designação de entidades críticas e a resiliência física ao abrigo da projetada KRITIS-Dachgesetz.
ENISA e o Grupo para a Resiliência das Entidades Críticas
Do lado cibernético, a ENISA apoia os Estados-Membros e os operadores ao abrigo da NIS 2. Do lado da CER, o Grupo para a Resiliência das Entidades Críticas, criado ao abrigo do artigo 19.o da CER, coordena entre os Estados-Membros. A Comissão apoia ambos os níveis, mas as faixas cibernética e física mantêm-se institucionalmente separadas a nível da UE.
A CER também cobre a cibersegurança, por isso só precisamos de um projeto
A CER não regula a cibersegurança. O considerando 4 e as disposições de âmbito da CER deixam explicitamente o risco cibernético à NIS 2. A CER centra-se em ameaças físicas, naturais e de origem humana ao serviço. Um ISMS exclusivamente cibernético não satisfaz a CER. Um plano de resiliência física por si só não satisfaz a NIS 2.
As duas diretivas aplicam-se exatamente aos mesmos operadores
A sobreposição de setores é elevada, mas não de 100 %. A CER inclui a produção, transformação e distribuição de alimentos. A NIS 2 inclui a gestão de serviços de TIC e várias categorias de serviços digitais que a CER não abrange. E mesmo onde ambas se aplicam, a CER exige uma designação explícita pelo Estado-Membro, ao passo que a NIS 2 opera sobretudo por autoidentificação face a critérios de dimensão e setor.
KRITIS é a transposição alemã da CER
KRITIS é um conceito alemão de longa data que antecede ambas as diretivas e está atualmente espalhado pelo BSIG, pela BSI-KritisV e por leis específicas de setor. A projetada KRITIS-Dachgesetz destina-se a transpor a CER, mas não é o mesmo que o perímetro KRITIS existente, e não é a transposição da NIS 2. São três frentes de trabalho separadas, não uma.
Um distribuidor regional de energia com cerca de 400 trabalhadores opera um ISMS para a NIS 2 (medidas de gestão de risco do artigo 21.o, notificação de incidentes ao BSI no prazo de 24 horas, segurança da cadeia de fornecimento, formação). Em paralelo, o mesmo distribuidor opera um plano de resiliência de entidade crítica ao abrigo da CER, que abrange a proteção física dos locais, a redundância das subestações, as verificações de fiabilidade do pessoal e a continuidade do negócio face a perturbações físicas. Os dois planos partilham contributos de continuidade do negócio, mas vivem sob duas linhas de governação separadas.
Na prática diária, a configuração mais limpa é um único registo de riscos que etiqueta cada risco como cibernético, físico ou ambos, e alimenta dois resultados: as medidas de gestão de riscos de cibersegurança da NIS 2 de um lado, o plano de resiliência da CER do outro. Isso evita duplicar o inventário de ativos e o trabalho de continuidade do negócio, mantendo os entregáveis regulatórios claramente separados.
Esta plataforma implementa as obrigações do artigo 21.o da NIS 2 como um registo de obrigações: inventário de ativos, inventário de fornecedores, registo de riscos, tratamento de incidentes, continuidade do negócio, formação e provas de supervisão. A CER não está no âmbito da plataforma.
Os operadores que têm obrigações ao abrigo das duas diretivas podem reutilizar o inventário de ativos e de fornecedores da NIS 2 como contributo para o seu plano de resiliência da CER, mas o próprio plano de resiliência da CER situa-se numa frente de trabalho separada, supervisionada pela autoridade competente da CER.
- Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 (NIS 2). EUR-Lex: 32022L2555.
- Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 (CER). EUR-Lex: 32022L2557.
- NIS 2, artigo 2.o, n.o 3, sobre a ligação à CER. NIS 2, anexos I e II sobre setores.
- CER, artigo 1.o (objeto), artigo 5.o (setores), artigo 6.o (critérios para a identificação de entidades críticas), artigos 12.o e 13.o sobre planos de resiliência.
- Gabinete Federal para a Segurança da Informação (BSI), página nacional de aplicação da NIS 2.
- Gabinete Federal de Proteção Civil e Assistência em Catástrofes (BBK), página nacional de aplicação da CER.