Incidente significativo ao abrigo da NIS 2
Dois critérios qualitativos, um regulamento com números para a infraestrutura digital e um registo escrito de decisão para todos os restantes.
Por que a definição importa
A significância é o que dá início a todo o prazo de comunicação do artigo 23.o da NIS 2: um alerta precoce no prazo de 24 horas, uma notificação de incidente no prazo de 72 horas, um relatório final no prazo de um mês. Se o evento for significativo, o prazo começa no momento em que tem conhecimento dele. Se não for, nada deve à CSIRT nem à autoridade competente.
O artigo 23.o, n.o 3, da NIS 2 dá-lhe apenas duas expressões gerais. O Regulamento de Execução (UE) 2024/2690 da Comissão (CIR) acrescenta números concretos, mas apenas para um pequeno grupo de prestadores digitais (DNS, TLD, computação em nuvem, centro de dados, CDN, MSP, MSSP, mercado em linha, motor de pesquisa, rede social, serviços de confiança). Para todos os outros setores da NIS 2, o teste permanece qualitativo.
A maioria dos CISO subestima essa lacuna. Se está no fabrico, na alimentação, na saúde ou na gestão de resíduos, não há um valor em euros, nem uma contagem de minutos, nem um limiar de utilizadores. Tem de decidir, tem de decidir depressa e tem de ser capaz de explicar mais tarde o porquê.
Diretiva NIS 2 (UE) 2022/2555, art. 23.o, n.o 3
Um incidente é considerado significativo se: a) tiver causado ou for suscetível de causar uma perturbação operacional grave dos serviços ou perdas financeiras para a entidade em causa; b) tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis.
Esta é a única definição geral de incidente significativo no direito da UE. Ambos os pontos usam «suscetível de causar», por isso tem de ponderar tanto o dano potencial como o dano efetivo. O texto nunca quantifica grave, considerável nem material.
CIR (UE) 2024/2690, art. 3.o
Um incidente é considerado significativo quando tiver causado ou for suscetível de causar: a) perdas financeiras diretas superiores a 500 000 EUR ou a 5 por cento do volume de negócios anual total no exercício financeiro anterior, consoante o que for menor; b) a exfiltração de segredos comerciais da entidade na aceção do artigo 2.o, n.o 1, da Diretiva (UE) 2016/943; c) a morte de uma pessoa singular; d) danos consideráveis para a saúde de uma pessoa singular; e) o acesso bem-sucedido, suspeito de ser malicioso e não autorizado, a redes e sistemas de informação, suscetível de causar uma perturbação operacional grave; f) os critérios estabelecidos no artigo 4.o (incidentes recorrentes); ou g) um ou mais dos critérios estabelecidos nos artigos 5.o a 14.o (específicos por entidade). Qualquer um dos critérios é suficiente.
Sete critérios (alíneas a) a g)): cinco substantivos mais duas remissões. O art. 1.o do CIR diz que estes números só se aplicam a determinados prestadores digitais (DNS, TLD, computação em nuvem, centro de dados, CDN, MSP, MSSP, mercado em linha, motor de pesquisa, plataforma social, serviços de confiança). Os artigos 5.o a 14.o acrescentam limiares de disponibilidade por setor para o mesmo grupo. Se o seu setor não constar dessa lista, estes números não o vinculam e o teste qualitativo do art. 23.o, n.o 3, é tudo o que tem.
§32 BSIG (Alemanha, exemplo de transposição)
Wesentliche und wichtige Einrichtungen melden dem BSI erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als Frühwarnung, innerhalb von 72 Stunden als Sicherheitsvorfallsmeldung und innerhalb eines Monats als Abschlussbericht.
Cada Estado-Membro transforma o art. 23.o em direito nacional. O §32 BSIG repete a cascata e designa o BSI como destinatário. Não acrescenta qualquer número próprio para os setores não digitais. Os Países Baixos, a Áustria e a França seguem o mesmo padrão.
Sete critérios (alíneas a) a g))
Cinco gatilhos substantivos mais duas remissões. a) 500 000 EUR ou 5 por cento do volume de negócios (consoante o que for menor), b) segredos comerciais exfiltrados, c) uma pessoa morta, d) danos graves para a saúde de uma pessoa, e) uma intrusão maliciosa bem-sucedida suscetível de perturbação grave, f) incidentes recorrentes nos termos do art. 4.o, g) limiares específicos por entidade nos termos dos arts. 5.o a 14.o. Qualquer um deles aciona a significância para os prestadores digitais abrangidos.
Incidentes recorrentes
Os pequenos incidentes acumulam-se. Se a mesma causa raiz produzir pelo menos dois incidentes em seis meses e, em conjunto, ultrapassarem o limite de perda financeira do art. 3.o, n.o 1, alínea a), o CIR trata-os como um único incidente significativo. Contar cada um separadamente está errado.
Especificidades de DNS e TLD
Para resolvedores DNS e registos TLD: resolução de nomes inativa por mais de 30 minutos, tempo médio de resposta acima de 10 segundos por mais de uma hora, ou integridade dos dados comprometida em mais de 1 000 domínios ou 1 por cento do portefólio. Os artigos 6.o a 14.o fixam limiares semelhantes para computação em nuvem, CDN, MSP, MSSP, mercados, pesquisa, redes sociais e serviços de confiança.
Critério A: perturbação operacional grave ou perda financeira para a sua entidade
Este é o critério voltado para dentro. A diretiva não lhe dá um valor em euros, nem uma duração, nem uma percentagem. O considerando 101 nomeia três aspetos a observar: que parte do serviço é afetada, quanto tempo dura o incidente e quantos utilizadores atinge. Use-os para estruturar o seu raciocínio. Não os trate como uma lista de verificação.
Critério B: danos materiais ou imateriais consideráveis a terceiros
Este é o critério voltado para fora. Clientes, cidadãos, operadores a jusante, a sua cadeia de abastecimento. Os danos imateriais incluem o prejuízo à reputação e à confiança. Uma interrupção curta que quebre o fluxo de trabalho de um hospital, exponha dados de clientes ou ponha um serviço municipal fora de linha pode satisfazer este critério, mesmo que a sua própria perda seja pequena.
Ransomware paralisa a produção durante dois dias
As operações param. O critério A do art. 23.o, n.o 3, da NIS 2 (perturbação operacional grave) está cumprido. Alerta precoce 24h, notificação de incidente 72h, relatório final 1 mês (art. 23.o NIS 2 / §32 BSIG).
E-mail de phishing clicado, sem palavra-passe introduzida
Contenção bem-sucedida, sem impacto nos serviços ou em terceiros. A notificação voluntária ao abrigo do art. 30.o da NIS 2 está disponível se quiser partilhar, e não impõe quaisquer obrigações adicionais (art. 30.o, n.o 4).
Interrupção do prestador de nuvem, o seu próprio serviço atrasado
Se o seu próprio serviço ficar significativamente mais lento ou parar, o critério A está cumprido. Verifique também o critério B: os clientes ou os operadores a jusante sofrem? (art. 23.o, n.o 3, NIS 2)
Um ataque DDoS deixa o portal de clientes fora de linha durante quatro horas
Interrupção significativa para os clientes. Ambos os critérios do art. 23.o, n.o 3, da NIS 2 estão potencialmente cumpridos. Para prestadores de DNS, nuvem ou serviços de confiança, verifique também os arts. 5.o a 14.o do CIR.
Uma configuração incorreta expõe dados de clientes
Artigo 33.o do GDPR: 72h à autoridade de controlo. Se também for ultrapassado um limiar da NIS 2 (art. 23.o, n.o 3, NIS 2 ou art. 3.o do CIR), adicionalmente o artigo 23.o da NIS 2: alerta precoce de 24h à CSIRT. Ambos os prazos começam no momento do conhecimento.
Fornecedor comprometido, o seu próprio serviço afetado
Verifique primeiro os danos para a sua própria entidade ou para os seus clientes. Nem todo o incidente de um fornecedor aciona o seu próprio dever de notificação. Em paralelo: documente a supervisão de fornecedores ao abrigo do art. 21.o, n.o 2, alínea d), da NIS 2.
Não tem a certeza se o limiar foi ultrapassado? Apresente o alerta precoce e atualize depois. O art. 23.o, n.o 4, alínea a), da NIS 2 foi concebido exatamente para isto. A autoridade competente prefere um «ainda não temos a certeza» precoce a um «esperámos demasiado» tardio.
O artigo 30.o, n.o 1, da NIS 2 permite a notificação voluntária de incidentes, ciberameaças e quase-incidentes à CSIRT. Aplica-se às entidades abrangidas pela diretiva e às entidades fora dela que pretendam notificar um evento significativo.
O artigo 30.o, n.o 4, da NIS 2 é a proteção essencial: a comunicação voluntária não pode resultar na imposição de quaisquer obrigações adicionais à entidade notificante. Comunicar um caso limítrofe não acarreta risco de deveres extra. Isso elimina a desculpa óbvia para não notificar um incidente pouco claro.
O artigo 23.o, n.o 2, da NIS 2 acrescenta um dever distinto. As entidades essenciais e importantes comunicam, sem demora injustificada, aos destinatários dos seus serviços quaisquer medidas ou soluções que estes possam tomar para mitigar os riscos decorrentes de uma ciberameaça significativa. Não se trata da notificação à CSIRT, mas da comunicação externa aos clientes.
Na Alemanha, o §35 BSIG aplica isto. O §35, n.o 1, permite ao BSI ordenar a notificação. O §35, n.o 2, obriga adicionalmente certos setores (finanças, segurança social, infraestrutura digital, gestão de serviços de TIC, serviços digitais) a notificar por sua própria iniciativa. A comunicação pode ser feita através de publicação no sítio Web da entidade.
Orientações do BSI ao abrigo do §32 BSIG
O BSI repete a redação do art. 23.o, n.o 3, e remete-o para o seu formulário de comunicação padrão (MIRP). Não publica qualquer número para os setores não digitais. A posição do BSI: avalie a significância em função dos critérios qualitativos, escreva o seu raciocínio e comunique em caso de dúvida.
Orientações Técnicas de Implementação da ENISA
As Orientações Técnicas de Implementação da ENISA (TIG, v1.2 de agosto de 2025) dão conselhos práticos sobre a avaliação de impacto e remetem para os limiares do CIR onde estes se aplicam. As TIG não são vinculativas e devolvem explicitamente às autoridades nacionais os setores fora do âmbito do CIR.
Transposições de outros Estados-Membros
A Cyberbeveiligingswet neerlandesa, o projeto austríaco NISG 2024 e o regime francês OIV/REC repetem todos o teste do art. 23.o, n.o 3, palavra por palavra. Nenhum deles publicou ainda números para os setores não digitais. O padrão em toda a UE é o mesmo: teste qualitativo mais o CIR para o grupo digital.
Mito 1: Vamos saber quando o virmos.
Realidade: o art. 23.o, n.o 3, dá-lhe 24 horas para decidir, escrever o raciocínio e defendê-lo numa auditoria. Se não tiver escrito os seus critérios antes do incidente, fará a avaliação sob pressão sem registo a que recorrer. Construa agora o quadro de decisão, não no próprio dia.
Mito 2: Só as violações de dados contam como incidentes significativos.
Realidade: o art. 23.o, n.o 3, alínea a), abrange a perturbação operacional e a perda financeira, sem qualquer menção a dados pessoais. Uma linha de fábrica parada por ransomware sem exfiltração de dados é um incidente significativo. Uma plataforma logística fora de linha durante três horas é um incidente significativo. A NIS 2 não é o GDPR.
Mito 3: Pequenos incidentes abaixo do limiar não se acumulam.
Realidade: o art. 4.o do CIR (e a mesma lógica para os critérios qualitativos) diz que incidentes repetidos com a mesma causa raiz se somam. Duas interrupções de 20 minutos do mesmo componente em falha dentro de seis meses podem, em conjunto, ultrapassar o limiar. Contar cada uma isoladamente está errado.
Os anexos I e II da NIS 2 abrangem cerca de 18 setores. Apenas o grupo digital do art. 1.o do CIR (cerca de 11 tipos de entidade) recebe números. Isso é uma pequena fração das entidades abrangidas. Para a energia, os transportes, a banca, a infraestrutura dos mercados financeiros, a saúde, a água potável, as águas residuais, a administração pública, o espaço, os serviços postais, a gestão de resíduos, os produtos químicos, a alimentação, o fabrico e a investigação, o teste permanece qualitativo.
É aí que pode ser útil na sala. A resposta honesta à pergunta da administração («o que conta como significativo para nós?») é: a UE deixou-o ao seu critério, eis os três fatores do considerando 101, eis o registo de decisão que produziremos no dia, eis quem o assina, eis o formulário de comunicação do BSI que apresentaremos. A resposta defensável não é um número. É uma decisão escrita.
O módulo de incidentes na nisd2.eu capta o raciocínio da sua classificação como um campo estruturado ligado ao art. 23.o, n.o 3. Para as entidades de infraestrutura digital, os números dos arts. 3.o, 4.o e 5.o do CIR surgem como balizas. Para todos os outros, os três fatores do considerando 101 aparecem como um modelo guiado, o raciocínio é assinado e datado, e o registo alimenta os relatórios de 24 horas e de 72 horas.
O resultado é um registo que pode defender: a decisão, o raciocínio, quem assina, a data e hora. É isso que a autoridade competente e o BSI pedem após um evento limítrofe. É também o que protege o órgão de administração ao abrigo do art. 20.o da NIS 2 se alguém contestar a avaliação mais tarde.
- Diretiva (UE) 2022/2555 (NIS 2), art. 23.o e considerando 101. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão, artigos 1.o, 3.o, 4.o, 5.o a 14.o. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG §32 (Alemanha). portal regulamentar bsi.bund.de
- Orientações Técnicas de Implementação da ENISA sobre a comunicação de incidentes NIS 2 (TIG). enisa.europa.eu
- Formulário de comunicação MIRP do BSI e orientações sobre incidentes. bsi.bund.de