Art. 21 NIS 2 + §30 BSIG + BSI 200-1

O que é um ISMS e preciso de um para a NIS 2?

Um ISMS não é um software. É a forma como a sua organização decide, opera e melhora os seus controlos de segurança. A NIS 2 nunca usa a palavra, mas o Art. 21(2) exige exatamente o que um ISMS faz.

Simon OrzelSimon Orzel·

Porque é que as pessoas erram nisto

ISMS é uma das palavras mais mal utilizadas nas conversas sobre NIS 2. A confusão mais comum é tratá-lo como uma ferramenta a comprar. Não é. Um ISMS é a forma como uma organização gere a segurança da informação: como se decidem as políticas, como se avaliam os riscos, como se escolhem os controlos, como se tratam os incidentes, como se revê tudo isso.

A própria NIS 2 nunca usa 'ISMS' como termo. A diretiva fala de 'políticas', 'medidas', 'gestão de risco' e 'governação'. O Art. 21(2) enumera dez requisitos que, em conjunto, descrevem exatamente o que um ISMS faz. A ISO 27001 chama a esta mesma coisa 'um sistema de gestão da segurança da informação'. O IT-Grundschutz chama-lhe 'Informationssicherheitsmanagementsystem'. A substância é idêntica.

A questão prática não é se tem um ISMS, mas quanto peso ele tem. Um Mittelstand de 60 pessoas que assenta numa política de uma página, num pequeno registo de risco e numa reunião anual de revisão pode satisfazer a NIS 2. Um banco de 6000 pessoas não pode. Ambos estão a operar um ISMS; um é apenas mais pesado do que o outro.

Onde a NIS 2 o exige sem o nomear
Três âncoras textuais. Duas na diretiva, uma no IT-Grundschutz que operacionaliza ambas.

Art. 21(1) e 21(2) NIS 2

Os Estados-Membros asseguram que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos. As medidas incluem, pelo menos, o seguinte: políticas de análise de riscos e de segurança dos sistemas de informação; tratamento de incidentes; continuidade das atividades; segurança da cadeia de abastecimento; segurança na aquisição de redes e sistemas de informação; políticas e procedimentos para avaliar a eficácia das medidas de gestão do risco de cibersegurança; práticas básicas de ciber-higiene e formação; criptografia; segurança dos recursos humanos, políticas de controlo de acessos e gestão de ativos; utilização de autenticação multifator.

Lidos em conjunto, os dez pontos descrevem um sistema de gestão. 'Políticas', 'procedimentos', 'avaliar a eficácia', estes são verbos de ISMS. A NIS 2 não exige a certificação ISO 27001, mas exige a substância que a ISO 27001 cobre.

§30 BSIG (transposição alemã do Art. 21)

Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

A transposição alemã usa 'geeignete, verhältnismäßige und wirksame', adequadas, proporcionadas e eficazes. Eficaz é a palavra que torna o sistema de gestão necessário: só pode demonstrar eficácia se medir e rever.

BSI IT-Grundschutz BSI 200-1, §3

Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.

A definição jurídica mais curta de um ISMS em alemão. É o conjunto de regras que governam como a segurança da informação é dirigida e supervisionada. Não uma ferramenta, não um projeto, não uma auditoria pontual. Uma forma de trabalhar.

Quatro elementos que fazem de um ISMS um ISMS
Quer lhe chame ISMS, ISO 27001, IT-Grundschutz ou 'o nosso programa de segurança', quatro elementos têm de estar presentes.

Âmbito definido

Que partes da organização cobre o ISMS, quais são os limites, o que fica explicitamente de fora. Sem âmbito, todas as conversas se desviam.

Política documentada

Uma política escrita de segurança da informação assinada pelo órgão de gestão. Uma página chega para uma entidade pequena. Compromete a organização com princípios específicos e atribui responsabilidades.

Decisões baseadas no risco

Os controlos são escolhidos porque respondem a riscos identificados, não porque constam de uma lista de verificação. O registo de risco é a ligação do inventário ao controlo.

Revisão periódica

Pelo menos anualmente. O órgão de gestão analisa o que funcionou, o que não funcionou, o que mudou no panorama de ameaças. Um ISMS estático não é um ISMS, é uma fotografia.

Três coisas que um ISMS não é
A maioria dos mal-entendidos conduzidos pelas compras vem de uma destas.

Não é um software

As ferramentas apoiam um ISMS, não o substituem. Pode operar um ISMS adequado numa pasta de arquivo; não pode substituir decisões de governação por uma subscrição de SaaS.

Não é um projeto pontual

Montar o ISMS é um projeto. Operá-lo é trabalho contínuo. A revisão anual é o momento que transforma um entregável de projeto num sistema.

Não é o mesmo que uma auditoria

As auditorias testam se o ISMS funciona. Não constituem o ISMS. Uma auditoria sem um sistema de gestão subjacente não tem nada para testar.

Precisa de um ISMS para a NIS 2?

Se a sua entidade está no âmbito da NIS 2, a substância de um ISMS é exigida, independentemente do nome que lhe der. Sem uma política documentada, decisões baseadas no risco e um ciclo de revisão, não consegue demonstrar que as medidas do Art. 21(2) são 'adequadas, proporcionadas e eficazes' como o §30 BSIG exige.

O que não é exigido é a certificação ISO 27001. Muitos auditores esperam-na porque é a prova mais reconhecida, mas um ISMS de construção própria alinhado com o IT-Grundschutz ou com um padrão setorial é igualmente válido. Escolha o padrão que consegue sustentar, não o que parece mais pesado num slide.

Construa um ISMS mínimo em quatro artefactos
Quatro documentos são o piso absoluto para um Mittelstand de 60 pessoas. Cada um cabe numa página.

1. Declaração de âmbito

Que pessoas jurídicas, que instalações, que serviços estão cobertos. Um parágrafo assinado pelo órgão de gestão.

2. Política de segurança da informação

Cinco a sete princípios. Exemplos: classificar os dados por sensibilidade, restringir o acesso de administrador a indivíduos nomeados, formar todo o pessoal anualmente, comunicar incidentes dentro dos prazos acordados, rever os riscos anualmente.

3. Registo de risco

Uma linha por risco identificado. Descrição, probabilidade, impacto, decisão de tratamento, dono, data de revisão. Dez a vinte linhas para uma entidade pequena.

4. Calendário de revisão

Um documento que diz que o órgão de gestão revê o ISMS uma vez por ano, quem participa, que provas são apresentadas. Sem isto, o ISMS é decoração.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Art. 21(1) e 21(2), www.eur-lex.europa.eu
  • Lei do Serviço Federal para a Segurança da Informação (BSIG), §30, www.gesetze-im-internet.de
  • BSI IT-Grundschutz Standard BSI 200-1, §3 (definição de ISMS), www.bsi.bund.de
  • ISO/IEC 27001:2022 (padrão internacional de ISMS, voluntário ao abrigo da NIS 2)

Esta página fornece orientação estruturada com base em fontes publicamente disponíveis (Diretiva NIS 2, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). Não constitui aconselhamento jurídico na aceção do §2 RDG. Para casos específicos, consulte um advogado inscrito. Estado a 2026-06-04.

Comece pelos quatro artefactos mínimos
A plataforma produz modelos editáveis de âmbito, política, registo de risco e calendário de revisão afinados aos requisitos da NIS 2.
Iniciar sessão na plataforma