Glossário de terminologia NIS2

Entidade essencial

Besonders wichtige Einrichtung

Empresas em setores de alta criticidade (Anexo I da NIS2) acima do limiar de dimensão. Na Alemanha, estas enfrentam os requisitos mais rigorosos e as sanções mais elevadas ao abrigo do §28 BSIG. Pense em: energia, transportes, banca, saúde, água, infraestrutura digital. As entidades essenciais estão sujeitas a auditorias proativas do BSI: o BSI pode inspecioná-lo sem um fator desencadeador específico.

§28(1) BSIG, Diretiva NIS2 Art. 3(1)

Entidade importante

Wichtige Einrichtung

Empresas noutros setores no âmbito (Anexo II da NIS2) acima do limiar de dimensão. As mesmas obrigações fundamentais das entidades essenciais, mas sanções máximas mais baixas e supervisão reativa em vez de proativa: o BSI investiga se algo correr mal, não numa periodicidade de rotina. Pense em: resíduos, alimentação, fabrico, postal, produtos químicos, investigação.

§28(2) BSIG, Diretiva NIS2 Art. 3(2)

KRITIS (Infraestrutura crítica)

Kritische Infrastrukturen

Operadores de instalações críticas que ultrapassam os limiares definidos no regulamento BSI-KritisV (tipicamente 500 000 pessoas servidas). Os operadores KRITIS são automaticamente classificados como entidades essenciais e enfrentam obrigações adicionais para além da NIS2 padrão: auditorias de evidência trienais, sistemas obrigatórios de deteção de ataques e prazos de notificação de incidentes mais rigorosos.

BSI-KritisV, §28 BSIG

BSIG (BSI-Gesetz)

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

A lei federal alemã que rege o BSI (Serviço Federal de Segurança da Informação) e as obrigações de cibersegurança. O NIS2UmsuCG alterou o BSIG para incluir todos os requisitos da NIS2. Quando alguém diz 'conformidade NIS2 na Alemanha', refere-se à conformidade com o BSIG alterado. Esta é a lei que se lhe aplica, não a própria Diretiva NIS2.

BSIG na redação dada pelo NIS2UmsuCG

NIS2UmsuCG

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

A Lei de Implementação da NIS-2 e de Reforço da Cibersegurança: a transposição nacional alemã da Diretiva NIS2. Adotada em 13 de novembro de 2025 e em vigor desde 6 de dezembro de 2025. Altera substancialmente o BSIG e traz todas as obrigações NIS2 para a lei alemã. Quando a lei alemã se refere a 'conformidade NIS2', refere-se à conformidade com o BSIG na redação dada pelo NIS2UmsuCG.

NIS2UmsuCG (BGBl. 2025)

Diretiva NIS2

A legislação ao nível da UE (Diretiva 2022/2555) que exigiu que todos os Estados-Membros implementassem regulação de cibersegurança para entidades críticas e importantes. Define os requisitos mínimos e cada país transpô-la depois para a lei nacional. Na Alemanha, isto tornou-se o BSIG alterado. Não cumpre a Diretiva diretamente; cumpre o BSIG.

Diretiva (UE) 2022/2555

CIR 2024/2690

O Regulamento de Execução da UE que especifica os requisitos técnicos e metodológicos exatos para as entidades NIS2. Ao contrário da Diretiva, este aplica-se diretamente em todos os Estados-Membros sem transposição. Detalha o que 'medidas de cibersegurança adequadas' significa na prática. Pense nele como o manual técnico que preenche os detalhes que a Diretiva deixou em aberto.

Regulamento de Execução (UE) 2024/2690 da Comissão

Código NACE

NACE-Code

A Classificação Estatística das Atividades Económicas na Comunidade Europeia (Nomenclature statistique des Activités économiques dans la Communauté Européenne). A NIS2 e o BSIG usam códigos NACE para definir que setores e atividades económicas caem no âmbito. O código NACE da sua empresa é a primeira coisa que o BSI verifica ao avaliar a aplicabilidade.

Regulamento (CE) 1893/2006

Registo no BSI

BSI-Registrierung

O registo obrigatório das entidades no âmbito junto do BSI através do seu portal online. Exigido pelo §33 BSIG com a sua própria disposição sancionatória. Fornece os dados da sua empresa, a classificação setorial, uma pessoa de contacto de cibersegurança e os intervalos de endereços IP. Esta é uma obrigação legal autónoma: cumpri-la não satisfaz os seus outros requisitos NIS2, mas não a cumprir é uma infração por si só.

§33 BSIG

MUK (Mein Unternehmenskonto)

Mein Unternehmenskonto

A conta empresarial central da Alemanha para serviços da administração federal, autenticada através de certificados ELSTER. É um pré-requisito para o registo no BSI: as empresas têm primeiro de criar uma conta MUK e depois aceder ao portal de registo do BSI através dela. Se ainda não tem uma conta MUK, não se pode registar junto do BSI: este é o primeiro passo prático antes de qualquer trabalho de conformidade começar.

OZG, ELSTER

Incidente significativo

Erheblicher Sicherheitsvorfall

Um evento de cibersegurança que perturba de facto o seu serviço, causa danos financeiros, ou pode propagar-se a outros. Não é qualquer e-mail de phishing: só os eventos que atravessam limiares de gravidade específicos desencadeiam a cascata obrigatória de notificação ao BSI. O CIR 2024/2690 define limiares concretos: perda financeira superior a 500 000 EUR ou 5 % do volume de negócios, exfiltração de dados de segredos comerciais, ou impacto na saúde.

§32 BSIG, CIR 2024/2690 Art. 3

Medidas de gestão de risco

Risikomanagementmaßnahmen

As dez categorias de medidas de cibersegurança que todas as entidades NIS2 têm de implementar ao abrigo do §30 BSIG. Vão da avaliação de risco e do tratamento de incidentes à segurança da cadeia de abastecimento e à criptografia. Têm de ser 'adequadas e proporcionadas' à sua dimensão e perfil de risco: não se espera que uma empresa de resíduos com 50 pessoas implemente os mesmos controlos que a Deutsche Telekom.

§30(2) BSIG

Segurança da cadeia de abastecimento

Sicherheit der Lieferkette

A exigência de avaliar e gerir os riscos de cibersegurança na sua cadeia de abastecimento, em especial prestadores de serviços de TI, prestadores de nuvem e qualquer fornecedor com acesso aos seus sistemas ou dados. Tem de incluir requisitos de segurança nos contratos, avaliar as práticas dos fornecedores e monitorizá-los ao longo do tempo. Isto é novo em comparação com o antigo regime KRITIS.

§30(2)(4) BSIG

Responsabilidade da gestão

Leitungsverantwortung

A responsabilidade pessoal da direção da empresa (Geschäftsführung) pela conformidade NIS2 ao abrigo do §38 BSIG. A direção tem de aprovar as medidas de cibersegurança, assegurar a sua implementação, frequentar formação em cibersegurança, e pode ser pessoalmente responsabilizada pelos danos daí resultantes. Esta responsabilidade não pode ser afastada, nem mesmo por deliberação dos sócios. É esta a disposição que muda a cibersegurança do departamento de TI para a sala de administração.

§38 BSIG

IT-Grundschutz

IT-Grundschutz

A metodologia de cibersegurança do próprio BSI: um quadro abrangente de módulos de segurança (Bausteine) com orientações de implementação passo a passo. O §44(2) BSIG reconhece explicitamente a implementação do Grundschutz como prova de conformidade NIS2. Uma vez que o BSI publica o Grundschutz e fiscaliza a NIS2, usar a metodologia dele significa que é auditado contra uma norma que o auditor conhece a fundo.

§44(2) BSIG, BSI-Standards 200-1 a 200-4

Trilho de auditoria

Um registo cronológico de quem fez o quê, quando e porquê no seu processo de conformidade. A NIS2 exige evidência de que as medidas não estão apenas documentadas, mas de facto implementadas e mantidas. Um trilho de auditoria mostra ao auditor do BSI que as suas políticas são documentos vivos, não letra morta: quem aprovou uma medida, quando foi revista pela última vez, o que mudou.

Autenticação multifator (MFA)

Autenticação que exige dois ou mais fatores de verificação: normalmente algo que sabe (palavra-passe) e algo que tem (telemóvel, chave de hardware). O §30(2)(10) BSIG exige MFA para acesso remoto, acesso administrativo e acesso a sistemas críticos. Se ainda não usa MFA na sua VPN, nas contas de administração e no e-mail, este é um dos requisitos técnicos mais concretos a implementar.

§30(2)(10) BSIG

§30 BSIG - Medidas de cibersegurança

A disposição central da NIS2 na lei alemã. Enumera dez categorias de medidas de gestão de risco de cibersegurança que todas as entidades no âmbito têm de implementar. Abrange avaliação de risco, tratamento de incidentes, continuidade de negócio, segurança da cadeia de abastecimento, desenvolvimento seguro, avaliação de eficácia, formação, criptografia, controlo de acessos e autenticação multifator. As medidas têm de ser 'adequadas e proporcionadas': nem douradas em excesso, mas genuínas.

§30 BSIG

§32 BSIG - Notificação de incidentes

Meldepflichten

A cascata obrigatória de notificação de incidentes em três fases. Quando ocorre um incidente significativo: alerta precoce ao BSI em 24 horas, notificação detalhada do incidente em 72 horas, relatório final em um mês. Cada fase tem requisitos de conteúdo específicos. Relatórios atrasados ou em falta são infrações separadas com as suas próprias disposições sancionatórias.

§32 BSIG

§33 BSIG - Obrigação de registo

Registrierungspflicht

A obrigação legal de todas as entidades no âmbito se registarem junto do BSI. Fornece informação da entidade, classificação setorial, dados de contacto de cibersegurança e intervalos de endereços IP. A falta de registo é uma infração autónoma punível com coimas até 500 000 EUR, separada de quaisquer sanções por não implementar medidas de segurança efetivas.

§33 BSIG

§38 BSIG - Responsabilidade da gestão

Billigung von Risikomanagementmaßnahmen

A disposição que torna a direção da empresa pessoalmente responsável pela conformidade NIS2. A Geschäftsführung tem de aprovar as medidas de gestão de risco, supervisionar a sua implementação e concluir formação em cibersegurança. O incumprimento cria responsabilidade pessoal por danos, e esta responsabilidade não pode ser afastada pelos sócios. É este o parágrafo que capta a atenção dos gerentes.

§38 BSIG

Anexo I da NIS2 - Setores de alta criticidade

A lista de setores cujas entidades são classificadas como 'essenciais' (entidades essenciais) quando cumprem o limiar de dimensão. Inclui: energia (eletricidade, petróleo, gás, hidrogénio, aquecimento urbano), transportes (aéreo, ferroviário, aquático, rodoviário), banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços TIC, administração pública e espaço.

Diretiva NIS2 Anexo I, §28(1) BSIG

Anexo II da NIS2 - Outros setores críticos

A lista de setores cujas entidades são classificadas como 'importantes' (wichtige Einrichtungen) quando cumprem o limiar de dimensão. Inclui: serviços postais e de correio, gestão de resíduos, fabrico e distribuição de produtos químicos, produção e distribuição de alimentos, fabrico (dispositivos médicos, eletrónica, maquinaria, veículos), prestadores digitais (mercados em linha, motores de pesquisa, redes sociais) e organizações de investigação.

Diretiva NIS2 Anexo II, §28(2) BSIG

CSIRT (Equipa de Resposta a Incidentes de Segurança Informática)

Computer-Notfallteam

A equipa nacional responsável por receber e responder a notificações de incidentes de cibersegurança. Na Alemanha, o BSI funciona como o CSIRT nacional. Quando notifica um incidente significativo ao abrigo do §32 BSIG, o BSI-CSIRT recebe e processa a sua notificação. Também pode prestar assistência técnica durante a resposta a incidentes: não é apenas uma caixa de correio, mas um recurso operacional.

Diretiva NIS2 Art. 10, §32 BSIG