NIS2 e IT-Grundschutz
O §44(2) BSIG oferece um atalho legal: a implementação do IT-Grundschutz é reconhecida como prova de conformidade NIS2 na Alemanha.
A cadeia legal
As empresas alemãs têm uma vantagem singular face às suas congéneres europeias no que toca à conformidade NIS2. Enquanto as empresas em França, Itália ou nos Países Baixos têm de trabalhar diretamente a partir da Diretiva NIS2 e do Regulamento de Execução da UE, as empresas alemãs podem aproveitar o IT-Grundschutz, uma metodologia bem estabelecida, mantida pelo BSI, que tem sido o padrão de segurança da informação na Alemanha há mais de 25 anos.
O §44(2) BSIG oferece o atalho legal: as empresas que implementam o IT-Grundschutz podem usá-lo como prova de conformidade NIS2. Isto não é orientação informal. Está codificado na Lei Federal de Cibersegurança. O próprio BSI desenvolve e mantém quer o quadro Grundschutz, quer o regime de aplicação da NIS2, garantindo o alinhamento por conceção.
Esta página mapeia toda a cadeia legal, desde a Diretiva NIS2 da UE, passando pela transposição alemã, até à metodologia prática de implementação. Compreender esta cadeia é essencial para qualquer responsável de conformidade: diz-lhe exatamente que requisitos vêm de onde, por que existem e como satisfazê-los com prova documentada.
Diretiva NIS2
Diretiva (UE) 2022/2555, o quadro de cibersegurança à escala da UE
BSIG
Lei Federal de Cibersegurança alemã, transpõe a NIS2 para o direito alemão
CIR 2024/2690
Regulamento de Execução da UE, define as medidas técnicas mínimas
IT-Grundschutz
Metodologia do BSI, o quadro alemão consolidado para implementar estas medidas
O §44(2) BSIG estabelece que a conformidade com os requisitos do §30 BSIG pode ser demonstrada através da implementação de normas reconhecidas, e refere explicitamente o IT-Grundschutz como uma dessas normas. Isto significa que, se implementar o Grundschutz de acordo com a metodologia BSI-200-1 a BSI-200-4, dispõe de uma base legalmente reconhecida para reivindicar a conformidade NIS2. Não é um passe livre para sair da prisão (continua a precisar de prova), mas dá-lhe uma metodologia clara e aprovada pelo BSI para seguir.
Na prática, isto significa que não precisa de interpretar a Diretiva NIS2 ou o CIR 2024/2690 de raiz. O Grundschutz Kompendium já mapeia os requisitos técnicos para Bausteine (módulos) e Anforderungen (requisitos) específicos. Quando o BSI audita a sua conformidade NIS2, está a auditar face a uma metodologia que ele próprio criou, e não face a uma diretiva abstrata da UE. Este alinhamento elimina a lacuna de interpretação que aflige as empresas noutros Estados-Membros da UE.
Para os auditores do BSI, a implementação do Grundschutz é terreno conhecido. Auditam o Grundschutz há décadas. Isto traduz-se em eficiência de auditoria: os auditores sabem exatamente que prova esperar, a terminologia é padronizada e a metodologia está documentada em alemão. Compare isto com defender uma abordagem de conformidade improvisada face ao CIR em língua inglesa. A vantagem prática é significativa.
O CIR 2024/2690 (Regulamento de Execução da Comissão) foi publicado em 17 de outubro de 2024 e estabelece os requisitos técnicos e metodológicos para a conformidade NIS2 em toda a UE. Aplica-se diretamente (sem necessidade de transposição) e define as medidas mínimas que todas as entidades essenciais e importantes têm de implementar. Este é o piso, não o teto.
O CIR vincula diretamente apenas 11 tipos específicos de entidades digitais: prestadores de serviços de DNS, registos de nomes de TLD, serviços de computação em nuvem, fornecedores de centros de dados, redes de distribuição de conteúdos, serviços geridos, serviços de segurança geridos, mercados em linha, motores de pesquisa em linha, plataformas de redes sociais e prestadores de serviços de confiança. Contudo, o §30 BSIG impõe de forma autónoma as mesmas 10 medidas (art. 21.º, n.º 2, NIS-2) a todos os setores abrangidos pela NIS2 na Alemanha, pelo que o detalhe técnico do CIR se torna a referência de facto mesmo fora do seu âmbito direto.
O Grundschutz Kompendium cobre todas as áreas de medidas do CIR e vai mais longe através dos seus Bausteine. Onde o CIR diz brevemente "implementar controlo de acessos", o Grundschutz especifica exatamente como, por exemplo através de módulos como o ORP.4 (Gestão de Identidade e Acessos) com orientação de implementação passo a passo. É por isto que o §44(2) BSIG reconhece o Grundschutz: é um superconjunto das áreas de medidas do CIR, não apenas um equivalente.
Reconhecimento pelo BSI
O IT-Grundschutz é referido explicitamente no §44(2) BSIG como norma reconhecida para demonstrar a conformidade NIS2. A certificação ISO 27001 pode apoiar o seu caso, mas não é especificamente nomeada na lei. Quando o BSI é simultaneamente o autor do quadro e a autoridade de aplicação, o alinhamento importa.
Cobertura dos requisitos
O Grundschutz cobre todas as áreas de medidas do CIR 2024/2690 através dos Bausteine do seu Kompendium e vai mais longe de forma prescritiva. A ISO 27001 cobre a gestão da segurança da informação em termos gerais, mas não trata especificamente todas as medidas do §30 BSIG, em particular os prazos de comunicação de incidentes próprios da NIS2 (§32 BSIG), os requisitos da cadeia de abastecimento (§30, n.º 2, ponto 4, BSIG) e as obrigações do órgão de direção (§38 BSIG). Necessitaria da ISO 27001 mais o preenchimento adicional de lacunas.
Língua e metodologia
O Grundschutz é desenvolvido em alemão, pelo BSI, para organizações alemãs. A terminologia coincide exatamente com a do BSIG. A ISO 27001 é uma norma internacional publicada em inglês, com terminologia diferente e uma metodologia menos prescritiva. Para uma empresa do Mittelstand alemão com 100 pessoas, a orientação de implementação concreta e em língua alemã do Grundschutz é bastante mais prática do que os objetivos de controlo abstratos da ISO 27001.
Vantagem na auditoria
Quando o BSI audita a sua conformidade NIS2, apresentar prova estruturada segundo o Grundschutz significa que o auditor fala a sua língua. A metodologia, a estrutura da documentação e as expectativas quanto à prova são padronizadas. Isto traduz-se em auditorias mais rápidas, menos mal-entendidos e resultados mais claros.
Alinhamento com o BSI
O BSI publica o Grundschutz Kompendium, faz cumprir a conformidade NIS2 e pode inspecionar a sua implementação ao abrigo dos seus poderes de supervisão (§61 BSIG); a certificação formal é realizada por auditores acreditados pelo BSI. Usar a própria metodologia do BSI garante que a sua interpretação dos requisitos coincide com a do regulador. Não há lacuna de interpretação: a mesma organização que define as regras fornece também o manual.
Segurança jurídica
O §44(2) BSIG confere à implementação do Grundschutz um estatuto legal explícito como prova de conformidade. Esta é a posição jurídica mais sólida disponível: está a seguir a metodologia reconhecida pela própria lei. Se for contestado, pode apontar para uma disposição legal específica que valida a sua abordagem, e não apenas para boas práticas do setor ou para a opinião de um consultor.