O que 'proporcionado' realmente significa no Art. 21(1) NIS 2
A palavra mais útil de toda a NIS 2 é 'proporcionado'. É a linha entre uma implementação que um Mittelstand de 60 pessoas consegue sustentar e um custo de teatro de auditoria que nenhuma Geschäftsführung vai aprovar.
Porque é que a proporcionalidade é a palavra que sustenta tudo
A maioria das equipas aborda o Art. 21 NIS 2 como uma lista de verificação de dez medidas de cibersegurança. A diretiva não diz isso. Diz que as entidades têm de tomar medidas que sejam adequadas e proporcionadas, e o Art. 21(1) enumera seis fatores que decidem o que significa proporcionado no seu caso concreto.
Isto importa em duas direções. Para cima: permite que um Stadtwerk de 60 pessoas opere sem a pilha de GRC de um banco de 5000 pessoas. Para baixo: obriga-o a escrever por que razão o seu nível é suficiente. A proporcionalidade não é uma cláusula de escape, é uma escolha documentada.
Quem lê pela primeira vez costuma deixar passar isto porque a palavra soa a evasiva. É o contrário. A proporcionalidade é a única âncora jurídica para adaptar a NIS 2 a um orçamento de Mittelstand, e é a única defesa contra um auditor que sugira que deveria ter feito mais.
Art. 21(1) NIS 2 (operativo)
Os Estados-Membros asseguram que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que essas entidades utilizam nas suas operações ou na prestação dos seus serviços, e para prevenir ou minimizar o impacto dos incidentes sobre os destinatários dos seus serviços.
O mesmo número enumera seis fatores que decidem a proporcionalidade: o grau de exposição da entidade aos riscos, a dimensão da entidade, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto societal e económico, o estado da arte e o custo da implementação. Todos os seis são dados de decisão, nenhum deles é opcional.
Considerando 79 NIS 2
As medidas de gestão do risco de cibersegurança deverão ser proporcionais ao grau de exposição aos riscos da entidade em causa e ao impacto societal e económico que um incidente teria.
O Considerando 79 é o quadro interpretativo. Diz aos tribunais e aos auditores que não se espera de uma entidade pequena, com baixa pegada transfronteiriça, que iguale um grande operador pan-europeu.
CIR 2024/2690, Art. 1
O presente regulamento estabelece os requisitos técnicos e metodológicos das medidas referidas no artigo 21.o, n.o 2, da Diretiva (UE) 2022/2555 no que respeita às entidades enumeradas no anexo.
O regulamento de execução só quantifica medidas para um conjunto restrito de prestadores de infraestrutura digital (DNS, TLD, nuvem, centro de dados, CDN, MSP, MSSP, mercado, motor de pesquisa, plataforma social, serviços de confiança). Todos os outros aplicam a proporcionalidade sem esses limiares quantitativos.
Grau de exposição aos riscos
Qual é a superfície de ameaça real? Uma empresa de água potável apenas com um segmento SCADA está numa posição diferente de um hospital com registos de doentes na internet aberta.
Dimensão da entidade
Número de trabalhadores, volume de negócios, alcance de mercado. A diretiva espera controlos diferentes de 60 trabalhadores e de 6000 trabalhadores. Ambos podem estar conformes.
Probabilidade e gravidade dos incidentes
Taxa histórica de incidentes, interesse dos agentes de ameaça no setor, gravidade caso aconteça. Um fabricante farmacêutico enfrenta probabilidades diferentes de um corretor de logística.
Impacto societal e económico
Quem é prejudicado quando falha. Um operador de rede elétrica tem maior densidade de impacto por falha do que uma empresa de SaaS B2B. Este fator puxa para medidas mais pesadas, mesmo em entidades pequenas.
Estado da arte
Qual é a base técnica que um par razoável implementaria. O MFA em 2026 é estado da arte para acesso de administrador; o armazenamento de palavras-passe em SHA-1 não é.
Custo da implementação
Documentado explicitamente no Art. 21(1). Não pode saltar uma medida por ser dispendiosa, mas pode escolher uma via menos dispendiosa se esta atingir o objetivo de segurança.
Stadtwerk, 80 trabalhadores, distribuição de energia
Setor do Anexo I, fica no âmbito independentemente da dimensão se prestar serviços essenciais. Pilha proporcionada: MFA no acesso de administrador e de OT, rede OT segmentada, cláusulas contratuais escritas com fornecedores, exercício anual de incidentes, registo de risco documentado. Sem SOC, sem SIEM como serviço. Defensável porque a exposição é setorial mas o número de trabalhadores é pequeno.
Hospital, 200 trabalhadores, clínica regional
Setor da saúde do Anexo I. A pilha proporcionada acrescenta: cifragem dos dados dos doentes em repouso, auditoria a fornecedores de TI clínicas, disponibilidade permanente para resposta a incidentes, política formal de classificação de incidentes. Mais pesada do que a do Stadtwerk porque o impacto societal é maior por falha e a superfície de ameaça é mais ampla.
Uma análise de proporcionalidade por escrito
Percorra os seis fatores, indique a sua posição sobre cada um, justifique por que razão a profundidade da medida resultante é suficiente. Uma página chega para uma entidade de 60 pessoas.
Um registo de custo-benefício por passo omitido
Se uma entidade homóloga faz X e você não, documente porquê. Stand der Technik mais custo é uma razão legítima. O silêncio não é.
Uma revisão anual
As decisões de proporcionalidade ficam desatualizadas. O panorama de ameaças muda, a sua dimensão altera-se, a prática dos pares evolui. Reafirme a sua posição pelo menos uma vez por ano.
- Diretiva (UE) 2022/2555 (NIS 2), Art. 21(1) e Considerando 79, www.eur-lex.europa.eu
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Art. 1, www.eur-lex.europa.eu
- Lei do Serviço Federal para a Segurança da Informação (BSIG), §30 (transposição nacional do Art. 21), www.gesetze-im-internet.de
- ENISA Technical Implementation Guidance v1.0 (junho de 2025) sobre a avaliação de proporcionalidade
Esta página fornece orientação estruturada com base em fontes publicamente disponíveis (Diretiva NIS 2, CIR 2024/2690, BSIG, ENISA TIG). Não constitui aconselhamento jurídico na aceção do §2 RDG. Para casos específicos, consulte um advogado inscrito. Estado a 2026-06-04.