NIS 2 para o órgão de gestão em cinco minutos
A NIS 2 não é um tema de IT. O artigo 20.o da Diretiva (UE) 2022/2555 coloca o dever de cibersegurança sobre o órgão de gestão de cada entidade essencial e importante, por nome. Esta página é a versão curta de que um diretor-geral ou membro do conselho precisa antes de segunda-feira de manhã.
Porque é que isto está na sua secretária
Se faz parte do órgão de gestão de uma empresa que a NIS 2 abrange, o artigo 20.o nomeia-o. Não o responsável de IT, não o CISO, não o prestador de serviços externo. A diretiva traça uma linha dos deveres de cibersegurança do artigo 21.o diretamente até às pessoas que assinam pela empresa.
Disto decorrem três coisas. O órgão de gestão tem de aprovar as medidas de gestão de risco que a empresa coloca em vigor. Tem de supervisionar que essas medidas são efetivamente implementadas. E os seus próprios membros têm de frequentar formação para conseguirem ler o que estão a aprovar. A diretiva diz as três.
A Alemanha transpõe a mesma regra para o direito nacional através do §38 BSIG, que enuncia os mesmos três deveres um a um e acrescenta uma cláusula de responsabilidade pessoal. O relógio para tudo isto está a correr desde a data de transposição da diretiva, 17 de outubro de 2024.
Artigo 20.o, n.o 1, da Diretiva NIS 2 (2022/2555)
Os Estados-Membros asseguram que os órgãos de gestão das entidades essenciais e importantes aprovam as medidas de gestão dos riscos de cibersegurança tomadas por essas entidades para dar cumprimento ao artigo 21.o, supervisionam a sua implementação e podem ser responsabilizados por infrações do referido artigo cometidas pelas entidades.
O artigo 20.o é o artigo de governação da diretiva. O n.o 1 fixa os três deveres sobre o órgão de gestão: aprovar, supervisionar, poder ser responsabilizado. O n.o 2 acrescenta o dever de formação para o próprio órgão de gestão e pede à entidade que ofereça formação regular a todo o pessoal.
CIR (UE) 2024/2690, Anexo, §1.1
A política de segurança das redes e dos sistemas de informação estabelece a abordagem das entidades relevantes à gestão da segurança das suas redes e sistemas de informação. O quadro de gestão de risco referido no ponto 2.1 identifica, e prevê a gestão, dos riscos para a segurança das redes e dos sistemas de informação.
O Regulamento de Execução da Comissão não operacionaliza o próprio artigo 20.o. Operacionaliza as medidas do artigo 21.o que o órgão de gestão tem de aprovar ao abrigo do artigo 20.o, n.o 1. O §1 é o guarda-chuva da política, o §2 é o quadro de gestão de risco. Para os prestadores de DNS, os operadores de nuvem e centros de dados, os MSP e os outros setores designados no Anexo do CIR, é isto que o órgão de gestão está a aprovar.
§38 BSIG (Alemanha)
Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen haben die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
A Alemanha transpõe o artigo 20.o, n.o 1, para o direito nacional através do §38 BSIG e nomeia o destinatário explicitamente como o Geschäftsleiter, as pessoas singulares que dirigem a entidade. O §38(2) acrescenta que os membros do órgão de gestão são responsáveis perante a entidade por violações destes deveres. O §38(3) transporta o dever de formação. Os outros Estados-Membros têm leis de transposição paralelas (Cyberbeveiligingswet nos NL, NISG na AT, NIS2-Wet na BE).
Confirmar se a diretiva se aplica
A NIS 2 aplica-se se a entidade estiver num dos setores designados no Anexo I ou no Anexo II e cumprir o limiar de dimensão (média conforme definido na Recomendação 2003/361/CE, ou seja, 50 colaboradores ou mais de 10 milhões de euros de volume de negócios). Alguns tipos de entidade estão abrangidos independentemente da dimensão: prestadores de serviços de confiança qualificados, registos de nomes de domínio de topo, prestadores de serviços de DNS, administração pública, prestadores únicos num Estado-Membro. O primeiro trabalho do órgão de gestão é saber qual destes se aplica.
Aprovar, supervisionar, formar
O artigo 20.o, n.o 1, dá ao órgão de gestão dois deveres operacionais: aprovar as medidas de gestão dos riscos de cibersegurança que a entidade coloca em vigor ao abrigo do artigo 21.o e supervisionar a sua implementação. O artigo 20.o, n.o 2, acrescenta um terceiro: frequentar formação você mesmo e fazer com que a entidade ofereça formação regular ao pessoal. Os três deveres são nomeados sobre o órgão de gestão. Nenhum deles cabe ao responsável de IT.
O relógio está a correr desde 17 de outubro de 2024
O artigo 41.o da NIS 2 fixou 17 de outubro de 2024 como a data em que os Estados-Membros tinham de transpor a diretiva. A partir dessa data, os deveres dos artigos 20.o, 21.o e 23.o aplicam-se às entidades no âmbito. A execução nacional corre em relógios nacionais (a NIS2UmsuCG da Alemanha está atrasada, mas o dever ao nível da UE não espera pela lei nacional). Os profissionais tratam outubro de 2024 como a linha de partida operacional.
A responsabilização recai sobre a pessoa singular
O artigo 20.o, n.o 1, diz que o órgão de gestão 'pode ser responsabilizado' pelas infrações da entidade ao artigo 21.o. O §38(2) BSIG transforma isso num pedido de responsabilidade interna: os membros do órgão de gestão são responsáveis perante a própria entidade por violações dos deveres do §38(1). Pode delegar a execução das medidas de cibersegurança. Não pode delegar a aprovação nem a supervisão. A diretiva traça a linha nas pessoas que assinam.
A proporcionalidade deixa a entidade ajustar-se ao seu risco
O artigo 21.o, n.o 1, segundo parágrafo, diz que as medidas devem ser 'adequadas e proporcionadas' ao risco que a entidade enfrenta. Seis fatores entram nessa decisão: a exposição da entidade, a sua dimensão, a probabilidade de um incidente, a gravidade do impacto (incluindo os efeitos societais e económicos), o estado da técnica e o custo de implementação. O órgão de gestão é o órgão que julga essa decisão de proporcionalidade e assina por ela. Não se espera que uma empresa municipal de 60 pessoas gaste como um banco.
BSI como autoridade competente
O Bundesamt für Sicherheit in der Informationstechnik (BSI) é a autoridade competente alemã ao abrigo do §29 BSIG. Supervisiona as medidas de gestão de risco do §30 BSIG, opera o canal de notificação de incidentes do §32 BSIG e gere o portal de registo do §33 BSIG. Para o órgão de gestão, o BSI é o endereço para questões, registos, notificações de incidentes e auditorias.
ENISA como referência
A Agência da União Europeia para a Cibersegurança (ENISA) é a agência de cibersegurança à escala da UE. O artigo 18.o da NIS 2 confere-lhe um papel de relatório sobre o estado da cibersegurança. Publica também as Orientações Técnicas de Implementação (TIG) para o Regulamento de Execução da Comissão, incluindo tabelas de correspondência para a ISO/IEC 27001:2022 e o NIST CSF 2.0. A ENISA não supervisiona, mas os auditores e os reguladores nacionais tratam as suas orientações como uma leitura razoável.
Aufsichtsrat como supervisão paralela
Se a entidade tiver um conselho de supervisão (Aufsichtsrat numa AG alemã, Beirat numa GmbH maior), os deveres NIS 2 do órgão de gestão correm em paralelo com os deveres existentes do conselho de supervisão ao abrigo do §111 AktG de supervisionar a gestão. O conselho de supervisão não pode tirar o artigo 20.o, n.o 1, da secretária do órgão de gestão, mas pode pedir as mesmas provas de aprovação e supervisão que a NIS 2 espera, e a maioria pede.
Deleguei isto na IT.
Pode delegar a execução. Não pode delegar a aprovação nem a supervisão. O artigo 20.o, n.o 1, nomeia o órgão de gestão como o órgão que aprova as medidas e supervisiona a sua implementação. O §38 BSIG nomeia o Geschäftsleiter como destinatário. O responsável de IT, o CISO, o prestador de serviços externo podem correr o programa. Não podem assinar por ele em seu nome. A diretiva traça a linha nas pessoas que representam legalmente a entidade.
Vamos esperar até a lei nacional estar finalizada.
O artigo 20.o aplica-se desde a data de transposição, 17 de outubro de 2024. A NIS2UmsuCG alemã está atrasada, mas o dever da diretiva não espera pela lei nacional. O Regulamento de Execução 2024/2690 da Comissão é diretamente vinculativo no seu âmbito setorial desde outubro de 2024, sem necessidade de qualquer transposição. Os profissionais tratam outubro de 2024 como a linha de partida operacional e documentam o seu faseamento ao abrigo da proporcionalidade do artigo 21.o, n.o 1.
A cibersegurança é um problema de IT.
O artigo 20.o torna-a deliberadamente um problema de governação. A diretiva coloca o dever sobre o órgão de gestão, não sobre a função de IT, porque os custos, as decisões de aceitação de risco e os compromissos só fazem sentido a esse nível. A equipa de IT implementa as medidas. O órgão de gestão é dono do quadro de risco, assina pelo risco residual e é o órgão com quem o auditor e o BSI falam sobre isso.
O que vemos no Mittelstand alemão: o órgão de gestão realiza uma sessão de trabalho a cada trimestre, percorre o registo de risco, aprova as medidas do artigo 21.o que estão no âmbito desse período e documenta a decisão de proporcionalidade em duas ou três linhas. Essa é a forma operacional do artigo 20.o, n.o 1, para uma entidade que não tem uma equipa GRC dedicada.
O dever de formação ao abrigo do artigo 20.o, n.o 2, exige menos do que as pessoas pensam. Não existe um certificador acreditado pela UE para a formação do órgão de gestão em NIS 2. A inscrição e um registo de conclusão são o piso legal. Um curso de duas horas que cobre a estrutura da diretiva, o quadro de risco da própria entidade e o papel do órgão de gestão cumpre a redação. O importante é que as pessoas que assinam consigam ler o que assinam.
A plataforma regista os três deveres do órgão de gestão como artefactos distintos. As aprovações correm como assinaturas validadas contra as medidas do artigo 21.o, com o nome da pessoa singular no registo. A supervisão corre através da vista de painel que mostra o estado de implementação, os riscos em aberto e as provas de eficácia num só lugar. Os registos de formação ficam no perfil do utilizador com as datas de inscrição e conclusão.
Os três alimentam o mesmo rasto de auditoria, pelo que as provas que o artigo 20.o espera (quem aprovou o quê, quando, com que fundamento) são produzidas como efeito secundário do uso da plataforma. O curso para CEO está incluído na plataforma. A plataforma é gratuita e de código aberto, sem lock-in.
- Diretiva (UE) 2022/2555 (NIS 2), artigos 20.o, 21.o e 41.o. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo, §1. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §29, §30, §32, §33 e §38. gesetze-im-internet.de/bsig_2009
- Aktiengesetz (AktG), §111. gesetze-im-internet.de/aktg
- Orientações Técnicas de Implementação da ENISA para o CIR (UE) 2024/2690. enisa.europa.eu