Art. 21(1) NIS 2 + CIR 2024/2690

O que 'proporcionado' realmente significa no Art. 21(1) NIS 2

A palavra mais útil de toda a NIS 2 é 'proporcionado'. É a linha entre uma implementação que um Mittelstand de 60 pessoas consegue sustentar e um custo de teatro de auditoria que nenhuma Geschäftsführung vai aprovar.

Simon OrzelSimon Orzel·

Porque é que a proporcionalidade é a palavra que sustenta tudo

A maioria das equipas aborda o Art. 21 NIS 2 como uma lista de verificação de dez medidas de cibersegurança. A diretiva não diz isso. Diz que as entidades têm de tomar medidas que sejam adequadas e proporcionadas, e o Art. 21(1) enumera seis fatores que decidem o que significa proporcionado no seu caso concreto.

Isto importa em duas direções. Para cima: permite que um Stadtwerk de 60 pessoas opere sem a pilha de GRC de um banco de 5000 pessoas. Para baixo: obriga-o a escrever por que razão o seu nível é suficiente. A proporcionalidade não é uma cláusula de escape, é uma escolha documentada.

Quem lê pela primeira vez costuma deixar passar isto porque a palavra soa a evasiva. É o contrário. A proporcionalidade é a única âncora jurídica para adaptar a NIS 2 a um orçamento de Mittelstand, e é a única defesa contra um auditor que sugira que deveria ter feito mais.

Base legal
A proporcionalidade está ancorada no artigo operativo e no considerando que explica como deve ser aplicada.

Art. 21(1) NIS 2 (operativo)

Os Estados-Membros asseguram que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que essas entidades utilizam nas suas operações ou na prestação dos seus serviços, e para prevenir ou minimizar o impacto dos incidentes sobre os destinatários dos seus serviços.

O mesmo número enumera seis fatores que decidem a proporcionalidade: o grau de exposição da entidade aos riscos, a dimensão da entidade, a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto societal e económico, o estado da arte e o custo da implementação. Todos os seis são dados de decisão, nenhum deles é opcional.

Considerando 79 NIS 2

As medidas de gestão do risco de cibersegurança deverão ser proporcionais ao grau de exposição aos riscos da entidade em causa e ao impacto societal e económico que um incidente teria.

O Considerando 79 é o quadro interpretativo. Diz aos tribunais e aos auditores que não se espera de uma entidade pequena, com baixa pegada transfronteiriça, que iguale um grande operador pan-europeu.

CIR 2024/2690, Art. 1

O presente regulamento estabelece os requisitos técnicos e metodológicos das medidas referidas no artigo 21.o, n.o 2, da Diretiva (UE) 2022/2555 no que respeita às entidades enumeradas no anexo.

O regulamento de execução só quantifica medidas para um conjunto restrito de prestadores de infraestrutura digital (DNS, TLD, nuvem, centro de dados, CDN, MSP, MSSP, mercado, motor de pesquisa, plataforma social, serviços de confiança). Todos os outros aplicam a proporcionalidade sem esses limiares quantitativos.

Os seis fatores que decidem a proporcionalidade
Todos os seis vêm diretamente do Art. 21(1). Documente uma posição sobre cada um.

Grau de exposição aos riscos

Qual é a superfície de ameaça real? Uma empresa de água potável apenas com um segmento SCADA está numa posição diferente de um hospital com registos de doentes na internet aberta.

Dimensão da entidade

Número de trabalhadores, volume de negócios, alcance de mercado. A diretiva espera controlos diferentes de 60 trabalhadores e de 6000 trabalhadores. Ambos podem estar conformes.

Probabilidade e gravidade dos incidentes

Taxa histórica de incidentes, interesse dos agentes de ameaça no setor, gravidade caso aconteça. Um fabricante farmacêutico enfrenta probabilidades diferentes de um corretor de logística.

Impacto societal e económico

Quem é prejudicado quando falha. Um operador de rede elétrica tem maior densidade de impacto por falha do que uma empresa de SaaS B2B. Este fator puxa para medidas mais pesadas, mesmo em entidades pequenas.

Estado da arte

Qual é a base técnica que um par razoável implementaria. O MFA em 2026 é estado da arte para acesso de administrador; o armazenamento de palavras-passe em SHA-1 não é.

Custo da implementação

Documentado explicitamente no Art. 21(1). Não pode saltar uma medida por ser dispendiosa, mas pode escolher uma via menos dispendiosa se esta atingir o objetivo de segurança.

Dois exemplos trabalhados
Como a proporcionalidade se concretiza em duas entidades de forma realista.

Stadtwerk, 80 trabalhadores, distribuição de energia

Setor do Anexo I, fica no âmbito independentemente da dimensão se prestar serviços essenciais. Pilha proporcionada: MFA no acesso de administrador e de OT, rede OT segmentada, cláusulas contratuais escritas com fornecedores, exercício anual de incidentes, registo de risco documentado. Sem SOC, sem SIEM como serviço. Defensável porque a exposição é setorial mas o número de trabalhadores é pequeno.

Hospital, 200 trabalhadores, clínica regional

Setor da saúde do Anexo I. A pilha proporcionada acrescenta: cifragem dos dados dos doentes em repouso, auditoria a fornecedores de TI clínicas, disponibilidade permanente para resposta a incidentes, política formal de classificação de incidentes. Mais pesada do que a do Stadtwerk porque o impacto societal é maior por falha e a superfície de ameaça é mais ampla.

O que a proporcionalidade exige que produza
Três artefactos. Nenhum deles é uma ferramenta de software, todos eles são documentos.

Uma análise de proporcionalidade por escrito

Percorra os seis fatores, indique a sua posição sobre cada um, justifique por que razão a profundidade da medida resultante é suficiente. Uma página chega para uma entidade de 60 pessoas.

Um registo de custo-benefício por passo omitido

Se uma entidade homóloga faz X e você não, documente porquê. Stand der Technik mais custo é uma razão legítima. O silêncio não é.

Uma revisão anual

As decisões de proporcionalidade ficam desatualizadas. O panorama de ameaças muda, a sua dimensão altera-se, a prática dos pares evolui. Reafirme a sua posição pelo menos uma vez por ano.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Art. 21(1) e Considerando 79, www.eur-lex.europa.eu
  • Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Art. 1, www.eur-lex.europa.eu
  • Lei do Serviço Federal para a Segurança da Informação (BSIG), §30 (transposição nacional do Art. 21), www.gesetze-im-internet.de
  • ENISA Technical Implementation Guidance v1.0 (junho de 2025) sobre a avaliação de proporcionalidade

Esta página fornece orientação estruturada com base em fontes publicamente disponíveis (Diretiva NIS 2, CIR 2024/2690, BSIG, ENISA TIG). Não constitui aconselhamento jurídico na aceção do §2 RDG. Para casos específicos, consulte um advogado inscrito. Estado a 2026-06-04.

Quer ver como é a proporcionalidade no seu caso?
A verificação de aplicabilidade gratuita produz uma análise escrita que pode anexar ao registo do órgão de gestão.