EU 2024/2690

Guia de implementação do CIR 2024/2690

O Regulamento de Execução da UE que especifica exatamente quais as medidas técnicas e metodológicas que as entidades NIS2 têm de implementar. Publicado no Jornal Oficial em 17 de outubro de 2024 e diretamente aplicável em todos os Estados-Membros.

Cory HiseyCory Hisey·Laufend geprüft

O que é o CIR 2024/2690?

O Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024, foi publicado no Jornal Oficial da União Europeia (série JO L, 2024/2690). Estabelece regras para a aplicação da Diretiva (UE) 2022/2555 (a Diretiva NIS2) no que respeita aos requisitos técnicos e metodológicos das medidas de gestão de riscos de cibersegurança. Ao contrário da própria Diretiva NIS2, este regulamento não exige transposição nacional. Aplica-se diretamente nos 27 Estados-Membros a partir da data da sua entrada em vigor.

O CIR é a resposta à pergunta que todos os responsáveis pela conformidade fazem: «O que é que temos exatamente de implementar?» Enquanto o §30 BSIG (a transposição alemã) enumera 10 áreas de medidas em termos gerais, o anexo do CIR decompõe-nas em requisitos técnicos e metodológicos específicos e auditáveis. É a especificação oficial mais granular das obrigações NIS2 disponível. Mais detalhada do que a própria Diretiva, mais específica do que o BSIG e diretamente exigível.

O regulamento foi desenvolvido em consulta com a ENISA e com o Grupo de Cooperação NIS, baseando-se em quadros existentes como a ISO/IEC 27001, a ETSI EN 319 401 e normas nacionais. Aplica-se especificamente a prestadores de serviços DNS, registos de nomes de domínio de topo (TLD), prestadores de serviços de computação em nuvem, prestadores de serviços de gestão de TIC, prestadores de serviços de segurança geridos, prestadores de mercados em linha, prestadores de motores de pesquisa em linha, prestadores de plataformas de serviços de redes sociais e prestadores de serviços de confiança. Ainda assim, os seus requisitos técnicos servem de referência de facto para todas as entidades NIS2.

Entidades diretamente abrangidas
O CIR aplica requisitos obrigatórios aos seguintes tipos de entidade, conforme definidos no artigo 1.o:

Prestadores de serviços DNS

Registos de nomes de domínio de topo (TLD)

Prestadores de serviços de computação em nuvem

Gestão de serviços de TIC (serviços geridos) e prestadores de serviços de segurança geridos

Prestadores de mercados em linha

Prestadores de plataformas de serviços de redes sociais

Prestadores de serviços de confiança

Estrutura do regulamento

O CIR é composto por 7 artigos que definem o âmbito, as definições e os requisitos, mais um anexo detalhado que contém as especificações técnicas e metodológicas.

Artigo 2.o. Definições

Estabelece definições para «segurança das redes e dos sistemas de informação», «incidente significativo» e outros termos-chave. Alinha a terminologia com a Diretiva NIS2, acrescentando precisão específica da implementação.

Artigo 3.o. Significância dos incidentes

Define quando um incidente é «significativo», ou seja, o limiar que desencadeia as obrigações de comunicação. Um incidente é significativo se causar perdas financeiras superiores a 500 000 EUR ou 5 % do volume de negócios anual, resultar na exfiltração de segredos comerciais, causar morte ou danos consideráveis à saúde, ou cumprir critérios específicos da entidade definidos no artigo.

Artigo 4.o. Incidentes significativos recorrentes

Especifica que incidentes recorrentes que individualmente não atingem o limiar de significância podem ser agregados e tratados como um único incidente significativo se, em conjunto, cumprirem os critérios num período de seis meses.

Artigo 5.o. Incidentes significativos para registos DNS e TLD

Acrescenta critérios de significância específicos para prestadores de serviços DNS e registos TLD, incluindo a disponibilidade do serviço abaixo de 99,9 % durante qualquer período, taxas de resposta DNS incorretas e o comprometimento da integridade ou confidencialidade dos dados de registo de domínios armazenados.

Artigo 6.o. Requisitos técnicos e metodológicos

O artigo central. Exige que as entidades abrangidas implementem os requisitos técnicos e metodológicos estabelecidos no anexo. As medidas têm de ser «adequadas e proporcionadas» aos riscos, tendo em conta a dimensão da entidade, a sua exposição, a probabilidade de incidentes e o impacto societal.

Artigo 7.o. Entrada em vigor

O regulamento entrou em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial (publicado em 17 de outubro de 2024). Aplica-se diretamente em todos os Estados-Membros sem necessidade de transposição nacional.

As 10 áreas de medidas (anexo do CIR)
O anexo organiza os requisitos técnicos e metodológicos em 10 áreas que espelham o §30(2) BSIG. Cada área contém subrequisitos detalhados com critérios de implementação específicos.
1

Política de segurança das redes e dos sistemas de informação

Exige uma política de segurança documentada e aprovada pela direção, revista pelo menos anualmente e atualizada após incidentes significativos ou alterações. Tem de definir funções, responsabilidades e o quadro para todas as medidas subsequentes. Tem de incluir uma política de aceitação de riscos e provas do compromisso da direção.

2

Gestão de riscos

Exige uma metodologia documentada de avaliação de riscos, a identificação de riscos que abranja todos os ativos e processos críticos, a análise de riscos com avaliação de probabilidade e impacto, o tratamento de riscos com decisões documentadas (aceitar, mitigar, transferir, evitar) e a aceitação do risco residual pela direção. Tem de ser revista a intervalos planeados e após alterações significativas.

3

Tratamento de incidentes

Exige procedimentos de deteção, classificação, resposta e recuperação de incidentes. Tem de definir funções e responsabilidades no tratamento de incidentes, estabelecer canais de comunicação, incluir a análise pós-incidente (lições aprendidas) e manter registos de incidentes. A deteção tem de incluir a monitorização de anomalias e de indicadores de comprometimento conhecidos.

4

Continuidade da atividade e gestão de crises

Exige a análise de impacto na atividade, planos de continuidade para os serviços críticos, procedimentos de cópia de segurança e recuperação com capacidades de restauro testadas, e procedimentos de gestão de crises. A integridade das cópias de segurança tem de ser verificada regularmente. Os objetivos de tempo de recuperação têm de ser definidos e testados. Os planos têm de ser revistos após incidentes ou alterações significativas.

5

Segurança da cadeia de abastecimento

Exige uma política de segurança da cadeia de abastecimento, a avaliação das práticas de cibersegurança dos fornecedores diretos, requisitos de segurança contratuais para produtos e serviços de TIC, e a monitorização da postura de segurança dos fornecedores ao longo do ciclo de vida do contrato. Tem de considerar os riscos específicos da cadeia de abastecimento, incluindo os que resultam da própria cadeia de abastecimento do fornecedor.

6

Segurança na aquisição, desenvolvimento e manutenção

Exige um ciclo de vida de desenvolvimento seguro para o desenvolvimento interno, requisitos de segurança para produtos e serviços de TIC adquiridos, gestão de configurações, procedimentos de gestão de alterações e testes de segurança (incluindo análise de vulnerabilidades e testes de intrusão quando adequado). Tem de abranger todo o ciclo de vida, desde a aquisição até ao desmantelamento.

7

Criptografia

Exige uma política sobre a utilização de criptografia, incluindo a seleção de algoritmos criptográficos e comprimentos de chave adequados à classificação dos dados, procedimentos de gestão de chaves (geração, distribuição, armazenamento, rotação, revogação, destruição) e a revisão periódica das implementações criptográficas face às melhores práticas atuais e às vulnerabilidades conhecidas.

8

Controlo de acessos e gestão de ativos

Exige uma política de controlo de acessos baseada nos requisitos de negócio e de segurança, gestão de identidades com identificação única de utilizador, procedimentos de atribuição e revogação de acessos, gestão de acessos privilegiados, e um inventário de ativos que abranja todos os componentes das redes e dos sistemas de informação. Os direitos de acesso têm de ser revistos a intervalos planeados.

9

Autenticação multifator e comunicação segura

Exige autenticação multifator ou autenticação contínua para o acesso a sistemas críticos e para o acesso remoto. Têm de ser estabelecidos canais de comunicação seguros para cenários de emergência e de recurso. As comunicações de voz, vídeo e texto utilizadas na resposta a incidentes têm de estar protegidas contra interceção.

10

Sensibilização e formação em cibersegurança

Exige programas regulares de sensibilização para a cibersegurança dirigidos a todo o pessoal, formação específica por função para o pessoal com responsabilidades de segurança, e formação da direção em governação de cibersegurança. A formação tem de abranger as políticas de segurança da entidade, as ameaças comuns, os procedimentos de comunicação de incidentes e as responsabilidades específicas do pessoal.

CIR, Diretiva NIS2 e BSIG. Como se articulam
Compreender a hierarquia jurídica é essencial para o planeamento da conformidade.

A Diretiva NIS2 (UE) 2022/2555 é a legislação principal. Estabelece o quadro, as obrigações e o regime de execução ao nível da UE. Os Estados-Membros tinham de a transpor para o direito nacional até 17 de outubro de 2024. A transposição alemã é a NIS2UmsuCG, que altera o BSIG. O BSIG contém agora todas as obrigações NIS2 no direito alemão, incluindo o §30 (medidas de cibersegurança) e o §32 (comunicação de incidentes).

O CIR 2024/2690 é um regulamento da UE diretamente aplicável. Não exige transposição e prevalece sobre disposições nacionais contraditórias. Sempre que o CIR especifica um requisito técnico, esse requisito aplica-se diretamente, independentemente de o BSIG o abordar ou não. Para os tipos de entidade enumerados no artigo 1.o, o CIR é a norma de conformidade principal.

Para entidades NÃO diretamente enumeradas no artigo 1.o do CIR mas ainda assim sujeitas à NIS2 (por exemplo, fornecedores de energia, saúde, transportes), o CIR serve de referência mais autorizada sobre o que são medidas «adequadas e proporcionadas». Espera-se que os tribunais alemães e o BSI recorram às especificações técnicas do CIR ao avaliar se as medidas de uma empresa cumprem a norma do §30 BSIG, mesmo que o CIR não vincule formalmente essas entidades.

Fontes
  • Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024. Jornal Oficial da União Europeia, JO L 2024/2690
  • EUR-Lex. Texto integral do CIR 2024/2690 (CELEX: 32024R2690)
  • Diretiva (UE) 2022/2555 (Diretiva NIS2). Jornal Oficial da União Europeia
  • ENISA. Orientações técnicas sobre as medidas de implementação da NIS2 (2024)
  • secuvera GmbH. Análise dos requisitos do CIR 2024/2690 e correspondência com a ISO 27001 (2024)
  • BSIG. §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), com a redação da NIS2UmsuCG
Implemente os requisitos do CIR de forma sistemática
A plataforma associa cada requisito do anexo do CIR a tarefas estruturadas, com carregamento de provas, acompanhamento de prazos e aprovações pela direção. Transforma um regulamento de 30 páginas em passos de conformidade acionáveis.
Iniciar o seu processo de conformidade NIS2