NIS2 vs KRITIS: o que mudou de facto
A NIS2 não substitui o KRITIS: alarga-o drasticamente. De cerca de 2 000 operadores para cerca de 30 000 entidades, sete novos setores, responsabilidade pessoal da direção e prazos de notificação mais apertados.
O KRITIS foi o aquecimento. A NIS2 é o evento principal.
Se a sua empresa já estava classificada como KRITIS (Kritische Infrastruktur) sob o antigo regime BSI-KritisV, já sabe o que é a regulamentação de cibersegurança. Já lidou com auditorias do BSI, notificação de incidentes e medidas de segurança informática. A boa notícia: o trabalho que já tem não se perde. A notícia difícil: a NIS2 sobe a fasquia, alarga o âmbito e acrescenta obrigações que antes não existiam.
Se a sua empresa NÃO era KRITIS anteriormente, este é provavelmente o seu primeiro contacto com regulamentação obrigatória de cibersegurança. A NIS2, transposta para o direito alemão através da BSIG alterada, traz cerca de 28 000 empresas adicionais para o perímetro regulamentar. Muitas destas empresas nunca notificaram um incidente a uma autoridade pública, nunca foram auditadas em matéria de segurança informática e nunca pensaram na cibersegurança como um tema de conformidade legal.
| Aspeto | KRITIS (BSI-KritisV) | NIS2 / BSIG (novo) |
|---|---|---|
| Âmbito | Aproximadamente 2 000 operadores de infraestruturas críticas em 10 setores, identificados por excederem valores-limiar específicos (por exemplo, 500 000 pessoas servidas) | Aproximadamente 30 000 entidades em 18 setores, usando um limiar de dimensão simples: 50 ou mais colaboradores ou mais de 10 milhões de euros de volume de negócios anual. Inclui tanto a categoria 'essencial' como a 'importante' |
| Modelo de limiar | Limiares quantitativos específicos por setor (por exemplo, 500 000 pessoas abastecidas para energia, 500 000 habitantes para água). Complexo de calcular, muitos casos limite | Critérios de dimensão uniformes: média empresa (50 ou mais colaboradores ou mais de 10 milhões de euros de volume de negócios) em todos os setores. Muito mais simples de determinar. Alguns setores têm critérios adicionais, independentemente da dimensão |
| Registo | Autodeclaração ao BSI com verificação opcional. Sem portal de registo formal para a maioria dos operadores KRITIS, inicialmente | Registo obrigatório através do portal do BSI ao abrigo do §33 BSIG. Tem de fornecer dados da entidade, classificação setorial, pessoa de contacto e intervalos de IP. Disposição sancionatória autónoma para a falta de registo |
| Notificação de incidentes | Incidentes significativos notificados ao BSI sem calendário rigoroso na regulamentação anterior. Posteriormente apertado, mas menos estruturado do que a NIS2 | Notificação obrigatória em três fases ao abrigo do §32 BSIG: aviso prévio em 24 horas, notificação de incidente em 72 horas, relatório final em um mês. Cada fase tem requisitos de conteúdo definidos |
| Sanções | Coimas até 100 000 euros para algumas infrações. Aplicação limitada na prática. Sanções raramente aplicadas publicamente | Coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial para entidades essenciais, até 7 milhões de euros ou 1,4% para entidades importantes. Coimas autónomas para infrações de registo e notificação. Modeladas na estrutura sancionatória do GDPR |
| Responsabilidade da direção | Sem disposição específica de responsabilidade pessoal da direção. Aplicavam-se os deveres gerais do direito das sociedades | O §38 BSIG introduz responsabilidade pessoal explícita para a Geschäftsführung. A direção tem de aprovar as medidas de cibersegurança, frequentar formação e pode ser responsabilizada pessoalmente por danos. Não pode ser afastada por deliberação dos sócios |
| Requisitos de auditoria | Apresentação de provas bienal (§8a BSIG antigo). Sobretudo autoauditoria, com revisão pelo BSI das provas apresentadas | Entidades essenciais: o BSI pode realizar auditorias proativas e inspeções no local. Entidades importantes: supervisão reativa (auditorias despoletadas por incidentes ou por provas de não conformidade). O BSI tem poderes de aplicação coerciva mais amplos, incluindo instruções vinculativas |
| Segurança da cadeia de abastecimento | Não era um requisito regulamentar específico ao abrigo do antigo regime KRITIS. As empresas geriam o risco de fornecedores segundo os seus próprios critérios | O §30, n.o 2, ponto 4, BSIG impõe medidas de segurança da cadeia de abastecimento. Tem de avaliar a cibersegurança dos fornecedores, incluir requisitos de segurança nos contratos e acompanhar a postura dos fornecedores ao longo da relação. Aplica-se a todas as entidades abrangidas |
Gestão de resíduos
Recolha, tratamento e eliminação de resíduos. Abrangida pelo Anexo II da NIS2. Inclui serviços municipais de resíduos, processadores de resíduos perigosos e operações de reciclagem. A maioria das empresas de resíduos nunca lidou com regulamentação de cibersegurança.
Produção e distribuição alimentar
Fabrico, transformação e distribuição grossista de alimentos. Abrangida pelo Anexo II da NIS2. Vai além da cadeia retalhista alimentar, incluindo instalações de produção, logística de cadeia de frio e sistemas de segurança alimentar.
Fabrico de produtos críticos
Fabrico de dispositivos médicos, computadores, eletrónica, produtos óticos, equipamento elétrico, máquinas, veículos a motor e outro equipamento de transporte. Abrangido pelo Anexo II da NIS2. Um número significativo de empresas do Mittelstand alemão enquadra-se nesta categoria.
Serviços postais e de correio expresso
Prestadores de serviços postais e empresas de correio expresso. Abrangidos pelo Anexo II da NIS2. Inclui serviços de entrega de encomendas, operações de triagem de correio e plataformas logísticas que apoiam a entrega de última milha.
Produção e distribuição de produtos químicos
Fabrico, produção e distribuição de produtos químicos. Abrangido pelo Anexo II da NIS2. Sobrepõe-se significativamente à regulamentação de segurança existente (Störfallverordnung), mas acrescenta obrigações específicas de cibersegurança.
Organizações de investigação
Instituições de investigação cujo objetivo principal é realizar investigação aplicada ou desenvolvimento experimental. Abrangidas pelo Anexo II da NIS2. Inclui institutos Fraunhofer, centros Helmholtz e organizações de investigação privadas acima do limiar de dimensão.
Infraestrutura e serviços digitais
Âmbito alargado para prestadores digitais: prestadores de serviços geridos, prestadores de serviços geridos de segurança, mercados em linha, motores de pesquisa, redes sociais e centros de dados. Alguns já estavam parcialmente cobertos. A NIS2 alarga e clarifica significativamente as definições.
- O BSI mantém-se como autoridade competente central e CSIRT nacional para a Alemanha
- O IT-Grundschutz mantém-se como a metodologia recomendada para implementar medidas de segurança (§44, n.o 2, BSIG)
- O princípio fundamental das medidas 'adequadas e proporcionadas': tem de implementar o que é razoável para a sua dimensão e perfil de risco, e não tudo o que é teoricamente possível
- A obrigação de manter um sistema de gestão da segurança da informação (SGSI) sob alguma forma, quer formalmente certificado, quer estruturado em torno do Grundschutz
Perguntas frequentes
Já éramos KRITIS. Mesmo assim temos de fazer algo de novo?
Sim. Mesmo que fosse um operador KRITIS totalmente conforme, a NIS2 acrescenta novas obrigações: registo obrigatório junto do BSI através do portal do §33 (se ainda não estiver feito), prazos de notificação de incidentes mais apertados (cascata de 24h/72h/1 mês), responsabilidade explícita da direção ao abrigo do §38 e medidas obrigatórias de segurança da cadeia de abastecimento. As suas medidas de segurança existentes cobrem provavelmente a maioria dos requisitos técnicos, mas as obrigações regulamentares e de governação são novas.
Quais são os novos setores que não estavam no KRITIS?
Há sete setores recém-abrangidos pela NIS2 que não estavam cobertos pelo antigo regime KRITIS: gestão de resíduos, produção e distribuição alimentar, fabrico de produtos críticos, serviços postais e de correio expresso, produção e distribuição de produtos químicos, organizações de investigação e infraestrutura e serviços digitais alargados. As empresas destes setores lidam pela primeira vez com regulamentação obrigatória de cibersegurança.
A NIS2 é só o KRITIS com outro nome?
Não. A NIS2 é um regime regulamentar fundamentalmente mais amplo e mais profundo. O KRITIS cobria cerca de 2 000 operadores com limiares elevados. A NIS2 cobre cerca de 30 000 entidades com limiares muito mais baixos. A NIS2 acrescenta responsabilidade pessoal da direção, registo obrigatório, prazos estruturados de notificação de incidentes, obrigações de cadeia de abastecimento e sanções significativamente mais elevadas. Pense no KRITIS como o programa-piloto. A NIS2 é a implementação completa.
Qual é a maior diferença prática para as empresas?
A responsabilidade pessoal da direção ao abrigo do §38 BSIG. Sob o KRITIS, a cibersegurança era um problema do departamento de TI. Sob a NIS2, a Geschäftsführung é pessoalmente responsável por aprovar e supervisionar as medidas de cibersegurança, tem de frequentar formação em cibersegurança e pode ser responsabilizada por danos resultantes da não conformidade. Esta responsabilidade não pode ser afastada, nem por deliberação dos sócios. Isto transforma a cibersegurança de uma rubrica do orçamento de TI numa questão de governação ao nível da administração.
- Diretiva (UE) 2022/2555: Diretiva NIS2, Anexo I e Anexo II (definições de setores)
- BSIG: §28 (âmbito e definições de entidades), §30 (medidas de cibersegurança), §32 (notificação de incidentes), §33 (registo), §38 (responsabilidade da direção), §65 (sanções)
- BSI-KritisV: Verordnung zur Bestimmung Kritischer Infrastrukturen (anterior regulamento de limiares KRITIS)
- BSI: orientação sobre o âmbito da NIS2 e documentação de classificação setorial (2025)
- NIS2UmsuCG: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit