Avaliações coordenadas de risco ao abrigo do Artigo 22 NIS 2
O Artigo 22 é a forma como a UE avalia o risco estratégico da cadeia de abastecimento para coisas como o 5G, a nuvem e os prestadores de serviços geridos. O Grupo de Cooperação faz a avaliação. A ENISA e a Comissão apoiam-na. As entidades têm depois de ter em conta os resultados quando escolhem fornecedores ao abrigo do Artigo 21(2)(d).
A versão curta
O Artigo 22 da NIS 2 atribui ao Grupo de Cooperação, em conjunto com a Comissão e a ENISA, o poder de realizar avaliações coordenadas de risco sobre a segurança das cadeias de abastecimento de serviços, sistemas ou produtos de TIC específicos e críticos. A 5G Toolbox de 2020 foi o primeiro exemplo concreto. A nuvem, os prestadores de serviços geridos, os fornecedores de identidade e outros podem ser avaliados da mesma forma.
Estas avaliações são ao nível da UE e estratégicas. Cobrem fatores de risco técnicos e, quando necessário, também não técnicos. Não técnico significa geopolítica, ambiente regulamentar, propriedade e controlo dos fornecedores. A 5G Toolbox tratou o risco de fornecedores de alto risco de fora da UE exatamente sob essa rubrica.
O Artigo 22 não vincula diretamente as entidades. O Artigo 21(3) sim. As entidades no âmbito têm de ter em conta os resultados das avaliações coordenadas quando escolhem as suas medidas de segurança de fornecedores ao abrigo do Artigo 21(2)(d). Essa é a ponte da estratégia ao nível da UE para a aquisição ao nível da entidade.
Artigo 22(1) e (2) da Diretiva NIS 2 (2022/2555)
(1) O Grupo de Cooperação, em cooperação com a Comissão e a ENISA, pode realizar avaliações coordenadas de risco de segurança de cadeias de abastecimento de serviços de TIC, sistemas de TIC ou produtos de TIC específicos e críticos, tendo em conta fatores de risco técnicos e, quando pertinente, não técnicos. (2) A Comissão, após consultar o Grupo de Cooperação e a ENISA, e, quando pertinente, as partes interessadas relevantes, identifica os serviços de TIC, sistemas de TIC ou produtos de TIC específicos e críticos que podem ser objeto da avaliação coordenada de risco de segurança referida no n.o 1.
O Artigo 22 cria o mecanismo. O Grupo de Cooperação realiza a avaliação. A Comissão escolhe quais os produtos, sistemas e serviços de TIC que são avaliados. A ENISA apoia ambos. As avaliações são à escala da UE e estratégicas, não entidade a entidade.
Artigo 21(3) NIS 2 + CIR (UE) 2024/2690 §5
Artigo 21(3): Os Estados-Membros asseguram que, ao ponderar quais das medidas referidas na alínea d) do n.o 2 do presente artigo são adequadas, as entidades têm em conta as vulnerabilidades específicas de cada fornecedor e prestador de serviços direto e a qualidade global dos produtos e das práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro. Os Estados-Membros asseguram igualmente que, ao ponderar quais das medidas referidas nessa alínea são adequadas, as entidades são obrigadas a ter em conta os resultados das avaliações coordenadas de risco de segurança das cadeias de abastecimento críticas realizadas nos termos do artigo 22.o, n.o 1.
O Artigo 21(3) é o efeito ao nível da entidade. Se está no âmbito e escolhe fornecedores ao abrigo do Artigo 21(2)(d), tem de ter em conta os resultados do Artigo 22. O CIR §5 define depois o detalhe operacional da segurança de fornecedores ao nível da entidade, e a profundidade da evidência de aquisição é regida pela cláusula de proporcionalidade do Artigo 21(1).
§ 30(2)(4) BSIG e participação no Grupo de Cooperação (Alemanha)
Segurança na aquisição, no desenvolvimento e na manutenção dos sistemas de rede e de informação, incluindo o tratamento e a divulgação de vulnerabilidades.
A Alemanha copia o dever de segurança de fornecedores para o § 30(2)(4) BSIG. O BMI e o BSI participam no Grupo de Cooperação em nome da Alemanha, pelo que os resultados do Artigo 22 alimentam a orientação nacional. O BSI publica resumos nos seus Infopakete e na orientação setorial. Não existe um estatuto alemão separado para o próprio Artigo 22: é um mecanismo do Grupo de Cooperação, e o efeito ao nível da entidade já corre através do § 30 BSIG.
Quem o conduz
O Grupo de Cooperação, em conjunto com a Comissão e a ENISA. O Grupo de Cooperação é o fórum permanente das autoridades dos Estados-Membros, ao abrigo do Artigo 14 NIS 2. A ENISA traz o apoio técnico e redige grande parte da análise subjacente. A Comissão convoca e orienta.
O que abrange
A Comissão escolhe os produtos, sistemas e serviços de TIC específicos e críticos que são avaliados. Após consulta do Grupo de Cooperação, da ENISA e, quando pertinente, de outras partes interessadas. O 5G foi o primeiro. A nuvem, os fornecedores de identidade, os prestadores de serviços geridos e outros podem seguir-se. Nada no texto o limita a uma só tecnologia.
Como aterra ao nível da entidade
As entidades no âmbito têm de ter em conta os resultados da avaliação quando escolhem fornecedores ao abrigo do Artigo 21(2)(d). É esse o ponto operacional. Não é «cumprir o Artigo 22». É «ter em conta os resultados do Artigo 22 ao escolher e gerir os seus fornecedores».
Estratégico ao nível da UE, operacional ao nível da entidade
O Artigo 22 situa-se na camada estratégica da UE. O Grupo de Cooperação, a Comissão e a ENISA conduzem-no. O resultado é uma leitura coordenada de uma determinada cadeia de abastecimento. As entidades operacionalizam depois essa leitura através do Artigo 21(2)(d) e do CIR §5, escalada pela cláusula de proporcionalidade do Artigo 21(1). As duas camadas não se fundem numa só.
Fatores de risco técnicos e não técnicos
O Artigo 22(1) nomeia explicitamente ambos. Os fatores técnicos são a superfície habitual de cibersegurança: vulnerabilidades conhecidas, práticas de desenvolvimento seguro, comportamento de aplicação de correções. Os fatores não técnicos são a geopolítica, a exposição regulamentar, a propriedade e o controlo do fornecedor. A 5G Toolbox tratou os perfis de fornecedores de alto risco de fora da UE exatamente sob esta rubrica. O Artigo 22 é o único artigo da NIS 2 onde o risco não técnico é nomeado no texto.
BMI e BSI através do Grupo de Cooperação
O BMI e o BSI representam a Alemanha no Grupo de Cooperação. Quando uma avaliação coordenada é publicada, o BSI integra a substância nos seus Infopakete e na orientação setorial. O § 30(2)(4) BSIG transporta o dever de segurança de fornecedores ao nível da entidade. O resultado do Artigo 22 é um dos elementos que entram na forma como um auditor alemão lê «adequado» ao abrigo do § 30.
Apoio técnico da ENISA
A ENISA é nomeada no Artigo 22(1) como parceiro técnico. Faz grande parte do trabalho analítico das avaliações coordenadas e alimenta-o no Grupo de Cooperação. A ENISA mantém também a Technical Implementation Guidance do CIR, que as entidades usam depois para operacionalizar os deveres de segurança de fornecedores ao abrigo do Artigo 21(2)(d).
Transposições nacionais do Artigo 21(3)
Cada Estado-Membro transpõe o Artigo 21(3) para a sua própria lei NIS 2 (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). O dever de ter em conta os resultados da avaliação coordenada é o mesmo em toda a UE. O que difere é qual a autoridade nacional que publica orientação e como as regras de aquisição absorvem os resultados da avaliação.
O Artigo 22 é só a regra do 5G.
O 5G foi o primeiro exemplo concreto, não o único. O Artigo 22(2) dá à Comissão um poder aberto para escolher quais os produtos, sistemas e serviços de TIC críticos que são avaliados. A nuvem, os prestadores de serviços geridos, os fornecedores de identidade e outros podem todos ser abrangidos. Tratar o Artigo 22 como um artigo exclusivo do 5G subestima largamente o seu âmbito.
Estamos abaixo do limiar de dimensão, por isso o Artigo 22 não se nos aplica.
O próprio Artigo 22 não se aplica diretamente às entidades. Aplica-se ao nível da UE. O que se lhe aplica, se for uma entidade NIS 2 no âmbito, é o Artigo 21(3): tem de ter em conta os resultados da avaliação coordenada nas suas escolhas de fornecedores ao abrigo do Artigo 21(2)(d). A sua dimensão não altera esse dever, uma vez que esteja no âmbito.
O Artigo 22 é a forma como a UE faz cumprir a NIS 2 contra os fornecedores.
O Artigo 22 é um mecanismo de avaliação de risco, não uma ferramenta de aplicação. Não impõe obrigações aos fornecedores. Produz uma leitura coordenada da UE que as entidades têm depois de ter em conta ao abrigo do Artigo 21(3). A aplicação contra as entidades corre através dos supervisores nacionais ao abrigo dos Artigos 31 a 37. A aplicação contra os fornecedores corre indiretamente através das cláusulas de aquisição ao nível da entidade, ao abrigo do Artigo 21(2)(d).
Acompanhe os resultados do Grupo de Cooperação. O BSI resume-os nos Infopakete. A ENISA refere-os nas atualizações do TIG. Se uma avaliação coordenada incidir sobre uma tecnologia de que depende (5G, nuvem, prestadores de serviços geridos), atualize em conformidade a sua política de segurança de fornecedores e o seu registo de fornecedores. Cite a avaliação no registo para que um auditor veja a ligação.
A 5G Toolbox é o exemplo concreto. Certas restrições a fornecedores de alto risco passaram para as regras nacionais de aquisição e, daí, para as escolhas de fornecedores ao nível da entidade. Conte com o mesmo padrão quando forem publicadas novas avaliações. Não precisa de ler o documento completo do Grupo de Cooperação. O resumo do BSI, mais uma entrada de uma linha sobre os fornecedores afetados no seu registo, é suficiente para demonstrar que teve em conta os resultados.
O registo de fornecedores liga cada fornecedor aos resultados pertinentes do Artigo 22, quando aplicável. Se uma avaliação coordenada classificar um fornecedor ou uma categoria de fornecedores, marca o fornecedor com essa classificação. O seu auditor vê, num só lugar, a referência da avaliação e a sua decisão de tratamento.
O registo de risco absorve as mesmas marcas. Um fornecedor sob uma avaliação coordenada surge como uma entrada de risco com a avaliação como fonte. O tratamento, a aprovação e a revisão contínua correm pelo fluxo padrão do CIR §2. Sem fluxo de trabalho separado para os elementos do Artigo 22. A mesma forma que qualquer outro risco de fornecedor, apenas com uma citação externa mais forte.
- Diretiva (UE) 2022/2555 (NIS 2), Artigos 21 e 22, eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução da Comissão (UE) 2024/2690 (CIR), Anexo §5, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- EU Cybersecurity Toolbox de medidas de mitigação de risco para redes 5G (2020), digital-strategy.ec.europa.eu
- BSI-Gesetz (BSIG), § 30(2)(4) na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- ENISA Technical Implementation Guidance para o CIR (UE) 2024/2690 (à data de maio de 2026)