O que é um ativo ao abrigo da NIS 2?
Um ativo ao abrigo da NIS 2 é tudo o que processa, armazena ou transmite informação de que as suas operações dependem. A diretiva não diz "ativo" uma única vez, mas sete das dez medidas do art. 21.º, n.º 2, só fazem sentido depois de ter a lista.
Por que o inventário vem primeiro
A maioria das implementações de NIS 2 encalha no mesmo ponto: alguém começa pela gestão de risco sem primeiro saber o que avaliar. O inventário de ativos é o pré-requisito. Sem ele, a análise de risco é adivinhação, o mapeamento de fornecedores fica incompleto, a resposta a incidentes não consegue delimitar o âmbito e as auditorias não encontram nada contra que testar.
A própria diretiva não usa a palavra "ativo" no art. 21.º. Fala de "redes e sistemas de informação", da sua segurança e da postura de risco da organização. O CIR 2024/2690, art. 2.º, n.º 4, e o IT-Grundschutz BSI 200-2, §8.1, preenchem o significado operacional: um ativo é tudo o que processa, armazena ou transmite informação de que as suas operações dependem.
Para um Mittelstand de 60 pessoas, o inventário não é uma folha de Excel com 200 linhas. É uma lista de uma página com cerca de 10 a 15 entradas agrupadas, o que o Grundschutz permite explicitamente. O importante é tê-lo, mantê-lo atualizado e deixar que ancore todas as outras decisões NIS 2.
Art. 21.º, n.º 2, alíneas a) e b), NIS 2
As medidas a que se refere o n.º 1 baseiam-se numa abordagem de todos os perigos que visa proteger as redes e os sistemas de informação e o ambiente físico desses sistemas contra incidentes, e incluem, pelo menos, o seguinte: a) políticas de análise dos riscos e de segurança dos sistemas de informação; b) tratamento de incidentes.
A análise de risco e o tratamento de incidentes vêm enumerados em primeiro lugar, mas ambos exigem um objeto a analisar e a tratar: o inventário do que realmente tem. A diretiva trata isto como uma precondição, e não como uma medida separada.
CIR 2024/2690, art. 2.º e anexo II, §2.1
As entidades relevantes elaboram, documentam e implementam políticas de análise de risco e de segurança dos sistemas de informação, em particular estabelecendo e mantendo um inventário dos seus ativos, incluindo software, hardware e informação.
O regulamento de execução torna explícito o dever de inventário para os tipos de entidade que abrange (prestadores de serviços digitais). Para todos os outros setores NIS 2, o dever está implícito no art. 21.º, n.º 2, alínea a), mas o Grundschutz torna-o operacional da mesma forma.
BSI IT-Grundschutz BSI 200-2, §8.1
Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.
Agrupar objetos semelhantes é explicitamente permitido. Uma PME de 60 pessoas não precisa de 45 linhas de portáteis; precisa de uma entrada para "portáteis dos colaboradores, 45 unidades" se partilharem o mesmo perfil de proteção. É isto que torna o inventário tratável.
Aplicações de negócio
ERP, CRM, contabilidade, RH, gestão de projetos, software setorial (sistema de laboratório na farmacêutica, plataforma de faturação numa empresa de serviços públicos, MES no chão de fábrica). Uma linha por aplicação, mesmo que esteja alojada por um fornecedor SaaS.
Repositórios de dados
Bases de dados de produção, partilhas de ficheiros, gestão documental, cópias de segurança, sistemas de arquivo. Agrupe por sensibilidade, não por localização física.
Infraestrutura de rede e computação
Servidores (próprios ou alojados), firewalls, switches, routers, concentradores de VPN, fornecedores de identidade, hipervisores, contas na nuvem. Uma linha por agrupamento de finalidade idêntica.
Postos de trabalho
Portáteis dos colaboradores, computadores de secretária, dispositivos móveis, tablets. Agrupe por função e família de sistema operativo. Acrescente separadamente: estações de administração privilegiada, quiosques, terminais de ponto de venda.
OT e sistemas físicos
SCADA, PLC, gestão de edifícios, controlo de acessos, CCTV, leitores de acesso físico, controlo industrial setorial. Frequentemente esquecidos; para serviços públicos, indústria transformadora e hospitais, esta é a maior categoria isolada.
Serviços prestados por fornecedores
TI subcontratada, email alojado, firewall gerida, processamento de salários, escritório na nuvem, identidade como serviço. Anote o nome do fornecedor e o tipo de dependência ao abrigo do art. 21.º, n.º 2, alínea d), NIS 2.
Mesmo requisito de proteção
Agrupe 45 portáteis de colaboradores apenas se todos partilharem o mesmo Schutzbedarf de confidencialidade, integridade e disponibilidade. Se 5 deles transportam dados de salários, esses 5 são um grupo separado.
Mesmo papel operacional
Um servidor de base de dados de produção e o ambiente de testes de um programador não podem ser um grupo, mesmo em hardware idêntico. O papel difere, a exposição difere, os controlos diferem.
Conte explicitamente
Escreva a quantidade. "45 portáteis de colaboradores" diz a um auditor o âmbito. "1 agrupamento de portáteis" é inútil. O número é a ponte do inventário para a análise de risco.
Passo 1. Comece pelos serviços prestados (15 min)
O que faz a sua entidade efetivamente pelos clientes? Enumere 3 a 8 serviços essenciais. Para uma Stadtwerk: distribuição de eletricidade, distribuição de água, faturação a clientes. Cada ativo tem de remontar a um serviço, ou é overhead.
Passo 2. Mapeie aplicações e dados para os serviços (25 min)
Para cada serviço, nomeie as aplicações em que assenta e os dados em que toca. SAP para a faturação, a plataforma de leitura de contadores para a distribuição, o arquivo documental para a área jurídica. Uma linha por aplicação.
Passo 3. Coloque a infraestrutura por baixo (25 min)
Servidores, rede, postos de trabalho, identidade, contas na nuvem. Agrupe sem dó conforme o BSI 200-2, §8.1. Uma entidade de 60 pessoas raramente excede 10 linhas de infraestrutura agrupada.
Passo 4. Acrescente os serviços prestados por fornecedores (25 min)
Qualquer serviço subcontratado que toque nos ativos acima é ele próprio um ativo, mais uma dependência de fornecedor. O email SaaS é uma linha; o MSP que gere a sua firewall é uma linha. Isto alimenta os deveres da cadeia de abastecimento do art. 21.º, n.º 2, alínea d).
OT e serviços de edifício em falta
Linhas de produção, acesso a edifícios, CCTV, controlo de climatização. Fáceis de saltar porque não estão na secretária da equipa de TI. Ao abrigo da NIS 2 são ativos no momento em que processam informação relacionada com o seu serviço.
Fluxos de dados não mapeados
Não basta enumerar as aplicações. Anote que dados fluem de onde para onde. Um ficheiro de salários que passa do sistema de RH para o banco por SFTP é, ele próprio, um fluxo que precisa de proteção.
Shadow IT não revelado
Os departamentos costumam ter as suas próprias subscrições SaaS (construtores de formulários, ferramentas de inquéritos, partilha de ficheiros). Pergunte, não presuma. O shadow IT torna-se uma dependência de fornecedor ao abrigo do art. 21.º, n.º 2, alínea d), independentemente de quem o pagou.
- Diretiva (UE) 2022/2555 (NIS 2), art. 21.º, n.º 2, www.eur-lex.europa.eu
- Regulamento de Execução da Comissão (UE) 2024/2690 (CIR), art. 2.º e anexo II, §2.1, www.eur-lex.europa.eu
- Norma BSI IT-Grundschutz BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Lei do Serviço Federal de Segurança da Informação (BSIG), §30 (transposição nacional do art. 21.º)
Esta página fornece orientação estruturada baseada em fontes publicamente disponíveis (Diretiva NIS 2, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Não constitui aconselhamento jurídico na aceção do §2 RDG. Para casos específicos, consulte um advogado admitido. Atualizada em 2026-06-04.