NIS 2 vs NIS 1: o que mudou de facto
O artigo 41.o da Diretiva (UE) 2022/2555 revogou a Diretiva NIS 1 com efeitos a partir de 18 de outubro de 2024. Esta página descreve o que isso significa na prática.
Visão geral
A NIS 1 era a Diretiva (UE) 2016/1148. Abrangia sete setores e dividia os destinatários em 'operadores de serviços essenciais' (OSE) e 'prestadores de serviços digitais' (PSD). Os Estados-Membros designavam os OSE individualmente.
A NIS 2 é a Diretiva (UE) 2022/2555. Abrange 15 setores no anexo I e 7 setores no anexo II, substitui a divisão OSE/PSD por 'entidades essenciais' e 'entidades importantes' e utiliza um critério explícito de dimensão (50 ou mais trabalhadores, ou volume de negócios anual acima de 10 milhões de euros).
O artigo 41.o da NIS 2 revogou a Diretiva NIS 1 com efeitos a partir de 18 de outubro de 2024. Onde a lei do Estado-Membro ainda remete para a diretiva anterior, essas remissões passam agora a apontar para a NIS 2. Os estatutos nacionais de transposição (como o BSIG alemão na sua versão NIS 2) substituem a anterior arquitetura da IT-Sicherheitsgesetz 2.0.
Diretiva (UE) 2022/2555, artigo 41.o
A Diretiva (UE) 2016/1148 é revogada com efeitos a partir de 18 de outubro de 2024.
A data da revogação é também o prazo de transposição. As remissões para a NIS 1 noutros atos da UE são lidas como remissões para a NIS 2.
Regulamento de Execução (UE) 2024/2690 da Comissão
O presente regulamento estabelece os requisitos técnicos e metodológicos das medidas referidas no artigo 21.o, n.o 2, da Diretiva (UE) 2022/2555 [...]
O CIR especifica as medidas do artigo 21.o, n.o 2, para um conjunto restrito de tipos de entidades de infraestrutura digital. O próprio catálogo do artigo 21.o aplica-se a todas as entidades NIS 2.
Alemanha: BSIG (versão NIS 2)
Gesetz uber das Bundesamt fur Sicherheit in der Informationstechnik (BSI-Gesetz).
A Alemanha transpõe a NIS 2 alterando o BSIG. A anterior arquitetura da IT-Sicherheitsgesetz 2.0 (apenas operadores KRITIS) é substituída por um âmbito mais amplo que inclui entidades essenciais e importantes.
De 7 setores e designação de OSE para 15 mais 7 setores com uma regra de dimensão
A NIS 1 abrangia sete setores e exigia que os Estados-Membros designassem os OSE um a um. A NIS 2 enumera 15 setores no anexo I (essenciais) e 7 setores no anexo II (importantes), e aplica-se automaticamente às entidades destes setores que cumpram o critério de dimensão (50 ou mais trabalhadores ou mais de 10 milhões de euros de volume de negócios). Vários tipos de entidades estão abrangidos independentemente da dimensão.
Das medidas de alto nível do artigo 14.o para o artigo 21.o com 10 áreas de medidas mais o artigo 20.o e o artigo 23.o
O artigo 14.o da NIS 1 exigia medidas adequadas e proporcionadas em termos bastante gerais. O artigo 21.o, n.o 2, da NIS 2 designa 10 áreas específicas de medidas (análise de riscos, tratamento de incidentes, continuidade do negócio, cadeia de fornecimento, tratamento de vulnerabilidades, eficácia, ciber-higiene básica e formação, criptografia, controlo de acessos e gestão de ativos, autenticação multifator e comunicações seguras). O artigo 20.o acrescenta deveres explícitos do órgão de administração, o artigo 23.o acrescenta uma cascata estruturada de comunicação, e o artigo 27.o acrescenta o registo dos dados da entidade junto da autoridade competente.
Da discricionariedade dos Estados-Membros para limites mínimos de coima a nível da UE
A NIS 1 deixava as sanções em grande medida ao direito nacional e produziu grande variação entre os Estados-Membros. O artigo 34.o da NIS 2 fixa limites máximos mínimos a nível da UE: para as entidades essenciais, pelo menos 10 milhões de euros ou 2 % do volume de negócios anual total a nível mundial, consoante o que for mais elevado; para as entidades importantes, pelo menos 7 milhões de euros ou 1,4 %. Os artigos 32.o e 33.o conferem também às autoridades de supervisão uma lista mais longa de poderes.
As medidas técnicas transitam em larga medida
Uma entidade que já tenha implementado as medidas do artigo 14.o da NIS 1 reconhecerá grande parte do artigo 21.o, n.o 2, da NIS 2: tratamento de incidentes, continuidade do negócio, cadeia de fornecimento, ciber-higiene básica e formação estão presentes em ambos os textos. As designações e a profundidade mudaram, a ideia subjacente não.
A governação e a comunicação são novas
O artigo 20.o torna o órgão de administração responsável por aprovar as medidas de gestão de riscos de cibersegurança, supervisionar a sua aplicação e receber formação. O artigo 23.o introduz uma cascata de três passos (aviso prévio no prazo de 24 horas, notificação de incidente no prazo de 72 horas, relatório final no prazo de um mês). Nenhum destes mecanismos existia na NIS 1 com este nível de detalhe.
Bundesamt fur Sicherheit in der Informationstechnik (BSI)
O BSI é a autoridade competente ao abrigo do BSIG. Para a migração, opera um registo de entidades, publica Handreichungen sobre a formação do órgão de administração e outros deveres, e supervisiona as entidades essenciais e importantes. Os operadores KRITIS continuam a existir como um subconjunto com deveres adicionais.
Agência da União Europeia para a Cibersegurança (ENISA)
A ENISA publica as Orientações Técnicas de Aplicação para as medidas do artigo 21.o, n.o 2, e opera a base de dados europeia de vulnerabilidades ao abrigo do artigo 12.o. Os seus textos são não vinculativos, mas as autoridades de supervisão citam-nos como a referência prática.
O BSIG substitui a arquitetura da IT-Sicherheitsgesetz 2.0
A Alemanha transpõe a NIS 2 alterando o BSIG. O anterior modelo da IT-Sicherheitsgesetz 2.0 centrava-se nos operadores KRITIS. A versão NIS 2 do BSIG alarga o âmbito às entidades essenciais e importantes e acrescenta os deveres de administração do artigo 20.o, a comunicação do artigo 23.o e o registo do artigo 27.o.
A nossa documentação NIS 1 transita para a NIS 2.
As medidas técnicas transitam em larga medida, mas o envelope jurídico não. A NIS 2 introduz deveres do órgão de administração (artigo 20.o), uma cascata de comunicação em três passos (artigo 23.o), o registo da entidade (artigo 27.o) e um catálogo estruturado no artigo 21.o, n.o 2. A documentação NIS 1 antiga costuma ter lacunas na governação, nos prazos de comunicação e na secção da cadeia de fornecimento. Trate os documentos NIS 1 como um ponto de partida, não como um processo concluído.
É o mesmo regulador, por isso é o mesmo regime.
Em vários Estados-Membros, o supervisor da NIS 1 supervisiona também a NIS 2 (na Alemanha, o BSI). A instituição manteve-se a mesma; os seus poderes legais e o catálogo de entidades supervisionadas não. Os artigos 32.o e 33.o da NIS 2 conferem às autoridades de supervisão uma lista mais longa de poderes de inspeção, auditoria e execução, e o artigo 34.o fixa limites mínimos de coima a nível da UE que não existiam ao abrigo da NIS 1.
Nada de material mudou.
O âmbito (15 mais 7 setores com uma regra de dimensão), a governação (deveres de administração do artigo 20.o), a comunicação (cascata do artigo 23.o), o registo (artigo 27.o) e as sanções (limites do artigo 34.o) mudaram todos. A mesma redação 'adequadas e proporcionadas' aparece em ambas as diretivas, mas o catálogo à sua volta é muito mais específico na NIS 2.
Na prática, a migração raramente é um recomeço limpo. A maioria das entidades reutiliza partes do seu registo de riscos NIS 1, do manual de incidentes e da lista de fornecedores, e depois acrescenta as peças novas: uma decisão do órgão de administração sobre as medidas do artigo 21.o, n.o 2, um fluxo de trabalho de comunicação do artigo 23.o com as marcas temporais de 24 horas, 72 horas e um mês, uma entrada de registo do artigo 27.o e uma secção de cadeia de fornecimento que corresponda ao artigo 21.o, n.o 2, alínea d).
A mudança visível mais comum é a comunicação. A notificação única 'sem demora injustificada' da NIS 1 transforma-se em três documentos separados na NIS 2, cada um com o seu próprio prazo e o seu próprio destinatário dentro da entidade. Os profissionais costumam reconstruir primeiro o fluxo de trabalho de incidentes, porque é aí que as novas regras de prazos pesam rapidamente.
O registo de obrigações está estruturado em torno dos artigos da NIS 2. As medidas do artigo 21.o, n.o 2, são acompanhadas como requisitos individuais, os prazos de comunicação do artigo 23.o são acompanhados como um fluxo de trabalho de incidentes em três passos, o registo do artigo 27.o é acompanhado como um registo separado, e a decisão do órgão de administração do artigo 20.o é acompanhada como uma aprovação.
Se uma entidade já tiver provas NIS 1, podem ser anexadas ao requisito NIS 2 correspondente. A plataforma não pressupõe a transição; cada requisito é revisto e marcado como satisfeito, parcialmente satisfeito ou em aberto, com uma data e um responsável.
- Diretiva (UE) 2022/2555, artigo 41.o (revogação da Diretiva (UE) 2016/1148), artigos 20.o, 21.o, 23.o, 27.o, 32.o, 33.o, 34.o, anexo I e anexo II (EUR-Lex).
- Diretiva (UE) 2016/1148, artigo 14.o (requisitos de segurança para OSE) e artigo 16.o (requisitos de segurança para PSD) (EUR-Lex).
- Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024, considerandos e anexo (EUR-Lex).
- Bundesamt fur Sicherheit in der Informationstechnik (BSI), páginas de informação NIS 2 e referências ao BSIG (bsi.bund.de).
- ENISA, Orientações Técnicas de Aplicação relativas ao artigo 21.o, n.o 2, da NIS 2 (enisa.europa.eu).