§ 30 BSIG

§30 BSIG: as dez medidas de cibersegurança

Resposta curta: o §30 do BSIG alemão é a transposição nacional do artigo 21.º da NIS 2. As entidades essenciais e importantes têm de implementar dez medidas de gestão de risco, da análise de risco à segurança da cadeia de abastecimento e à autenticação multifator. A implementação tem de ser proporcionada à dimensão, à exposição ao risco e ao estado da arte.

Simon OrzelSimon Orzel·Laufend geprüft

O que o §30 BSIG exige

O §30 BSIG está no centro da implementação da NIS 2 na Alemanha. Obriga as entidades essenciais e importantes a adotar medidas técnicas e organizativas adequadas, proporcionadas e eficazes para gerir os riscos para a segurança dos seus sistemas de informação, componentes e processos.

A disposição transpõe o artigo 21.º, n.º 2, da Diretiva NIS 2 (Diretiva (UE) 2022/2555) para o direito alemão. A substância é igual em toda a UE e idêntica em todos os Estados-Membros. A redação foi ajustada ao estilo legislativo alemão, mas as dez medidas do §30, n.º 2, pontos 1 a 10, BSIG correspondem ponto por ponto às alíneas a) a j) do artigo 21.º, n.º 2, da NIS 2.

Os deveres aplicam-se a partir da data em que a NIS2UmsuCG entrou em vigor. A lei não prevê período de transição. Quem cai no âmbito de aplicação deve as medidas desde o dia em que entra nesse âmbito.

As dez medidas ao abrigo do §30, n.º 2, BSIG
As dez medidas obrigatórias, cada uma com remissão para a alínea correspondente do artigo 21.º, n.º 2, da NIS 2.
1

N.º 1: Políticas de análise de risco e segurança dos sistemas de informação

Políticas de análise de risco e segurança dos sistemas de informação. Corresponde ao artigo 21.º, n.º 2, alínea a), da NIS 2. Operacionalizada pela secção 2 do CIR (UE) 2024/2690 para os setores digitais, no seu anexo.

2

N.º 2: Tratamento de incidentes

Deteção, resposta, contenção, recuperação e revisão pós-incidente. Corresponde ao artigo 21.º, n.º 2, alínea b), da NIS 2. Articula-se com o dever de comunicação ao abrigo do §32 BSIG.

3

N.º 3: Continuidade das atividades

Gestão de cópias de segurança, recuperação de desastres e gestão de crises. Corresponde ao artigo 21.º, n.º 2, alínea c), da NIS 2. Uma indisponibilidade da nuvem no seu fornecedor está aqui abrangida.

4

N.º 4: Segurança da cadeia de abastecimento

Segurança da cadeia de abastecimento, incluindo aspetos de segurança das relações com fornecedores diretos e prestadores de serviços. Corresponde ao artigo 21.º, n.º 2, alínea d), da NIS 2. Esta obrigação propaga-se por via contratual a todos os fornecedores diretos.

5

N.º 5: Segurança na aquisição, desenvolvimento e manutenção

Medidas de segurança na aquisição, desenvolvimento e manutenção de sistemas de informação, componentes e processos, incluindo o tratamento e a divulgação de vulnerabilidades. Corresponde ao artigo 21.º, n.º 2, alínea e), da NIS 2. Sobrepõe-se às obrigações do Cyber Resilience Act para produtos com elementos digitais.

6

N.º 6: Avaliação da eficácia

Políticas e procedimentos para avaliar a eficácia das medidas de gestão de risco. Corresponde ao artigo 21.º, n.º 2, alínea f), da NIS 2. É o ciclo de retorno: não basta introduzir medidas, é preciso verificar se funcionam.

7

N.º 7: Higiene cibernética e formação

Práticas básicas de higiene cibernética e formação em cibersegurança. Corresponde ao artigo 21.º, n.º 2, alínea g), da NIS 2. Aplica-se a todo o pessoal, com formação específica por função para os perfis de TI. A formação do órgão de direção é regulada separadamente ao abrigo do §38, n.º 3, BSIG.

8

N.º 8: Criptografia e cifragem

Políticas e procedimentos relativos à utilização de criptografia e, quando adequado, de cifragem. Corresponde ao artigo 21.º, n.º 2, alínea h), da NIS 2. "Quando adequado" permite uma diferenciação baseada no risco, mas exclui uma isenção geral.

9

N.º 9: Segurança dos recursos humanos, controlo de acessos, gestão de ativos

Segurança dos recursos humanos, políticas de controlo de acessos e gestão de ativos. Corresponde ao artigo 21.º, n.º 2, alínea i), da NIS 2. Abrange a integração e a saída de colaboradores, a atribuição de acessos segundo a necessidade de conhecer e um inventário de ativos.

10

N.º 10: Autenticação multifator e comunicações seguras

Soluções de autenticação multifator ou contínua, comunicações de voz, vídeo e texto seguras e, quando adequado, sistemas de comunicação de emergência seguros no interior da entidade. Corresponde ao artigo 21.º, n.º 2, alínea j), da NIS 2.

Proporcionalidade ao abrigo do §30, n.º 1, segunda frase, BSIG

O §30, n.º 1, segunda frase, BSIG exige que as medidas sejam escolhidas tendo em conta o estado da arte, as normas europeias e internacionais aplicáveis e o custo da implementação. A dimensão, a exposição ao risco e a probabilidade de incidentes são ponderadas.

A proporcionalidade não é uma licença para saltar uma medida. O BSI deixou claro na sua orientação sobre o §38, n.º 3, BSIG que uma transferência geral do risco para um seguro cibernético ou para prestadores de serviços está excluída. Proporcionado significa: não cada medida na profundidade máxima, mas adaptada à situação concreta e documentada por escrito.

Relação com o artigo 21.º da NIS 2 e o CIR (UE) 2024/2690
Direito da UE, transposição alemã e regulamento técnico de execução numa só linha.

O artigo 21.º, n.º 2, da NIS 2 é a base ao nível da UE. As dez alíneas a) a j) são vinculativas. A redação foi mantida aberta para que os Estados-Membros a pudessem encaixar nas estruturas nacionais de supervisão. O §30 BSIG adota as dez medidas como pontos 1 a 10, sem desvio substantivo.

Para prestadores de serviços de DNS, registos de TLD, fornecedores de nuvem, centros de dados, redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, mercados em linha, motores de pesquisa em linha, plataformas de redes sociais e prestadores de serviços de confiança, o Regulamento de Execução da Comissão da UE 2024/2690 operacionaliza as dez medidas no seu anexo. O regulamento aplica-se diretamente, sem transposição nacional. Para estes setores, tanto o §30 BSIG como o CIR estão na prateleira.

Quem cai sob o §30 BSIG

O §30 BSIG aplica-se às entidades essenciais ao abrigo do §28, n.º 6, BSIG e às entidades importantes ao abrigo do §28, n.º 7, BSIG. Os setores estão enumerados nos anexos 1 e 2 da Diretiva NIS 2. O limiar de dimensão é de pelo menos 50 trabalhadores ou 10 milhões de euros de volume de negócios anual, com regras especiais para as KRITIS e para os setores que se aplicam independentemente da dimensão.

Em caso de dúvida, comece pelo teste de aplicabilidade ao abrigo do artigo 2.º da NIS 2. Os fornecedores de entidades reguladas também entram em contacto com o §30 através do n.º 4 (cadeia de abastecimento): as obrigações propagam-se por via contratual aos fornecedores diretos.

O que acontece se violar o §30

As violações do dever de adotar medidas ao abrigo do §30 BSIG estão sujeitas a coimas administrativas ao abrigo do §65 BSIG. Para as entidades essenciais, o máximo é de 10 milhões de euros ou 2 por cento do volume de negócios mundial do ano anterior, consoante o que for mais elevado. Para as entidades importantes, o máximo é de 7 milhões de euros ou 1,4 por cento.

O §38 BSIG acrescenta a responsabilidade pessoal do órgão de direção pela violação do dever de aprovar as medidas do §30 e de fiscalizar a sua implementação. A responsabilidade não depende da ocorrência efetiva de dano.

Perguntas frequentes sobre o §30 BSIG

O §30 BSIG é o mesmo que o artigo 21.º da NIS 2?

Em substância, sim. O §30 BSIG é a transposição alemã do artigo 21.º da NIS 2. As dez medidas do §30, n.º 2, pontos 1 a 10, BSIG correspondem ponto por ponto às alíneas a) a j) do artigo 21.º, n.º 2, da NIS 2. Para trabalho à escala da UE, cite o artigo 21.º da NIS 2 como fonte primária e refira o §30 BSIG como transposição alemã.

Tenho de implementar todas as dez medidas?

Sim. As dez medidas não são opcionais. A escolha ocorre dentro de cada medida, através da proporcionalidade. Saltar uma medida inteira não é permitido. A profundidade da implementação pode ser adaptada à dimensão, à exposição ao risco e ao estado da arte, mas deixar de fora um número inteiro não é.

O que significa proporcionalidade na prática?

A proporcionalidade ao abrigo do §30, n.º 1, segunda frase, BSIG significa: as medidas alinham-se com a dimensão, a exposição ao risco, a probabilidade e a gravidade dos incidentes e o custo da implementação. A decisão tem de ser documentada por escrito. Uma transferência geral do risco para um seguro cibernético ou para um prestador de serviços não é aceite pelo BSI como implementação proporcionada.

Como provo a implementação ao BSI?

Através de documentação. Para cada uma das dez medidas, registe por escrito a implementação escolhida, a justificação da profundidade e a avaliação da eficácia. Uma auditoria do BSI ao abrigo do §61 ou do §62 BSIG examina estes registos, não uma explicação oral. Uma autoavaliação estruturada das dez medidas é o ponto de partida mais rápido.

Qual é a diferença entre o §30 BSIG e o IT-Grundschutz?

O §30 BSIG é o dever. O IT-Grundschutz é uma metodologia concreta que satisfaz o dever. O §44(2) BSIG nomeia o IT-Grundschutz como implementação suficiente. Outras normas, como a ISO 27001, são igualmente possíveis, mas a prova continua ligada às dez medidas do §30 BSIG, não à estrutura da norma escolhida.

Autoavaliação das dez medidas
A avaliação de lacunas gratuita percorre todas as dez medidas do §30, n.º 2, BSIG. 116 perguntas, 15 domínios, com um relatório pronto para a direção. Open Source, sem lock-in.
Inicie a avaliação de lacunas