Como conduzir uma avaliação de risco NIS 2
Três passos que a UE pede: identificar, analisar, avaliar e tratar. Um método escrito. Uma aprovação da gestão. Revisto a intervalos planeados e em alterações significativas. Esta página mostra-lhe como cada peça fica na prática.
A versão curta
O Artigo 21.º(2)(a) do NIS 2 diz que toda a entidade essencial e importante tem de correr uma política baseada na análise de risco. O Anexo §2 do CIR (UE) 2024/2690 torna isso concreto. Estabelece um quadro de gestão do risco de segurança da informação. Usa-o para identificar, analisar, avaliar e tratar os riscos para as suas redes e sistemas de informação. Escreve os critérios que usa, e o órgão de gestão aprova-os.
O método não é inventado por si. Pode usar o BSI Standard 200-3 (Alemanha), a ISO/IEC 27005:2022 (o equivalente internacional), ou qualquer outro método reconhecido. O que importa é que esteja documentado, que cubra os ativos que realmente corre e que o reveja a intervalos planeados, pelo menos anualmente, e sempre que algo significativo mude.
A armadilha em que a maioria dos operadores cai: escolhem um cenário de ameaça, pontuam-no e param. Uma avaliação de risco é um método aplicado ao seu inventário de ativos, não um único workshop. Percorremos a identificação, a análise e a avaliação abaixo, depois mostramos os princípios que sustentam o conjunto.
Artigo 21.º(2)(a) Diretiva NIS 2 (2022/2555)
Políticas de análise dos riscos e de segurança dos sistemas de informação.
Ponto (a) da lista das dez medidas de cibersegurança que toda a entidade essencial e importante tem de implementar. A diretiva não prescreve um método. Prescreve o dever.
CIR (UE) 2024/2690, Anexo §2
Para efeitos do Artigo 21.º(2)(a) da Diretiva (UE) 2022/2555, as entidades relevantes estabelecem um quadro adequado de gestão do risco de segurança da informação para identificar, analisar, avaliar e tratar os riscos de segurança da informação. As entidades relevantes revêm e, se for caso disso, atualizam o quadro a intervalos planeados e pelo menos anualmente, bem como sempre que ocorram alterações significativas.
Por ser um regulamento (e não uma diretiva), é direito da UE diretamente vinculativo. O Anexo §2 do CIR liga também o quadro ao inventário de ativos nos termos do §12 do CIR. Os quatro verbos identificar, analisar, avaliar, tratar vêm diretamente do texto da UE.
§30(2)(1) BSIG (Alemanha)
Políticas de análise dos riscos e de segurança das tecnologias de informação.
A Alemanha copia o texto da UE quase palavra por palavra. Os BSI Standards 200-2 (ISMS) e 200-3 (análise de risco) dizem-lhe em detalhe como satisfazer o dever ao abrigo do §30 BSIG. O mesmo dever do Artigo 21.º(2)(a) aplica-se em todos os outros Estados-Membros através da sua lei de transposição nacional.
Identificar
Pegue no seu inventário de ativos do §12 do CIR. Para cada ativo (ou classe agrupada de ativos idênticos), liste as ameaças e vulnerabilidades que se aplicam. Use um catálogo de referência para não começar de uma página em branco. O catálogo BSI Elementare Gefährdungen tem 47 entradas que cobrem incêndio, furto, engenharia social, malware, cadeia de abastecimento, perda de pessoa-chave e o resto. O Anexo A da ISO/IEC 27005:2022 lista tipos de ameaça e vulnerabilidade comparáveis. O resultado é um trio ativo, ameaça e vulnerabilidade para cada risco.
Analisar
Para cada trio, pontue quão mau seria o impacto e quão provável é que aconteça. Uma matriz 3x3 (baixo / médio / alto) chega para a maioria das entidades do Mittelstand. Uma matriz 5x5 dá-lhe mais resolução se precisar de comparar riscos semelhantes. O impacto cobre a confidencialidade, a integridade e a disponibilidade, mais qualquer efeito de negócio ou de segurança que daí decorra. A probabilidade é um juízo informado pelo que já viu, pelos dados do setor e pelo estado dos seus controlos. Escreva a pontuação com uma justificação de uma linha.
Avaliar e tratar
Compare cada risco pontuado com os seus critérios de aceitação, que fixou antes de começar a pontuar. Acima do limiar, trata: reduzir (aplicar controlos), evitar (parar a atividade), partilhar (seguro ou contrato, com limites, ver abaixo), ou aceitar (com razão documentada). Abaixo do limiar, regista que o aceita. Cada decisão de tratamento tem um responsável nomeado e uma data. O órgão de gestão aprova os riscos residuais com que está disposto a viver.
Método escrito com aprovação da gestão
O CIR §2 fala de um quadro, não de um workshop. O método (como pontua, como é a matriz, quem decide, quais são os seus limiares de aceitação) tem de estar no papel. O órgão de gestão aprova-o. Não precisa de um método sofisticado. Precisa de um documentado. O Artigo 21.º(1) deixa-o manter a profundidade proporcional ao seu risco e à sua dimensão, mas o método em si não é opcional.
Revisão a intervalos planeados e em alterações significativas
O CIR §2(2) é explícito: revê o quadro e a avaliação a intervalos planeados, pelo menos anualmente, e quando ocorrem alterações significativas. Uma nova linha de negócio, um novo fornecedor-chave, um incidente grave, uma alteração regulatória, contam todos como significativos. A revisão anual é o piso, não o teto. Trate a avaliação como um artefacto vivo ligado ao seu inventário de ativos, não um dossiê que escreve uma vez.
BSI Standards 200-2 e 200-3
O BSI publica duas normas que cobrem o dever de análise de risco do §30 BSIG de ponta a ponta. O BSI 200-2 estabelece o ciclo de vida do ISMS. O BSI 200-3 é a própria análise de risco, com as Elementare Gefährdungen como catálogo de ameaças. O BSI é explícito nos seus Infopakete: uma transferência geral de risco ou uma aceitação geral de risco está excluída. O seguro é algo que acrescenta por cima, nunca um substituto do tratamento.
ENISA Technical Implementation Guidance
A ENISA, a agência de cibersegurança da UE, publica uma Technical Implementation Guidance (TIG) para o CIR (UE) 2024/2690. Não é lei. É a referência prática que mapeia o texto do CIR para normas reconhecidas, incluindo a ISO/IEC 27005:2022 para a gestão de risco. As autoridades nacionais e os auditores citam-na como uma interpretação razoável do CIR.
ISO/IEC 27005:2022
A ISO/IEC 27005:2022 é a norma internacional para a gestão do risco de segurança da informação. É nomeada no TIG da ENISA como um método reconhecido para satisfazer o CIR §2. Se já corre um ISMS ISO 27001, a ISO 27005 é o método de análise de risco que assenta dentro dele. Use o método reconhecido que se ajustar ao seu contexto. O CIR não escolhe um.
Fizemos a avaliação de risco no ano passado, por isso está feito.
O CIR §2(2) exige revisão a intervalos planeados, pelo menos anualmente, e em alterações significativas. Uma avaliação única do ano passado não satisfaz o dever se um grande fornecedor mudou, se um novo sistema entrou em produção, ou se um incidente significativo aconteceu entretanto. Trate a avaliação como um artefacto vivo ligado ao seu inventário de ativos.
Precisamos de uma entrada de risco separada para cada CVE e cada ameaça.
Não precisa. A avaliação de risco é ativo a ativo (ou por classe agrupada de ativos idênticos), não vulnerabilidade a vulnerabilidade. O BSI deixa-o agrupar 45 portáteis de escritório numa entrada. Avalia ameaças e vulnerabilidades ao nível do ativo. A gestão de patches é uma obrigação contínua separada ao abrigo do Artigo 21.º(2)(e), não faz parte da avaliação anual.
Temos seguro cibernético, por isso podemos aceitar o resto.
O BSI é direto: uma transferência geral de risco ou uma aceitação geral de risco está excluída. O seguro assenta por cima do tratamento, nunca o substitui. O mesmo se aplica à aceitação: não pode aceitar todos os riscos com que não quer lidar. A aceitação tem de ser fundamentada, nomeada, assinada e dentro de critérios que fixou de antemão.
O que vemos em entidades do Mittelstand de 60 a 250 pessoas: dez a quinze ativos agrupados, um subconjunto de Elementare Gefährdungen de cerca de vinte ameaças, uma matriz 3x3, e algures entre quarenta e oitenta entradas de risco no total. A primeira passagem leva alguns dias úteis com as pessoas certas na sala. Feito uma vez, a revisão anual é horas, não dias.
As duas peças que mais demoram da primeira vez são o inventário de ativos e os critérios de aceitação. Ambos compensam: cada requisito posterior (fornecedores, incidentes, continuidade de negócio, formação) reutiliza a mesma lista de ativos, e os critérios poupam-no de voltar a discutir cada decisão de tratamento. Os praticantes com trinta clientes Mittelstand dizem o mesmo: faça o método como deve ser uma vez, e a revisão anual é a hora mais barata que gasta no NIS 2.
Metodologia de risco, inventário de ativos, ameaças e vulnerabilidades, riscos pontuados, planos de tratamento e critérios de aceitação vivem num módulo na plataforma. Regista o método uma vez, o órgão de gestão aprova-o, e cada avaliação posterior usa a mesma pontuação. O rasto de auditoria é a prova.
A revisão anual e a revisão em alterações significativas resultam de usar a plataforma: datas de vencimento, aprovações, estado. Nada a manter à parte. Quando a avaliação se liga diretamente ao seu inventário de ativos (como pede o CIR §2(3)), cada alteração a um ativo surge na próxima revisão. Gratuito e open source. Sem lock-in.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21.º(2)(a), eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo §2 e §12, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei BSI (BSIG), §30 na redação dada pela Lei de Implementação do NIS2 e de Reforço da Cibersegurança
- BSI Standard 200-2: metodologia IT-Grundschutz, bsi.bund.de
- BSI Standard 200-3: Análise de risco baseada no IT-Grundschutz, bsi.bund.de
- BSI Infopakete 'NIS 2 Pflichten', bsi.bund.de/dok/nis-2-infopakete
- ISO/IEC 27005:2022, Segurança da informação, cibersegurança e proteção da privacidade: Orientação sobre a gestão de riscos de segurança da informação
- ENISA Technical Implementation Guidance para o CIR (UE) 2024/2690 (à data de maio de 2026)