Como preparar uma auditoria do BSI ao abrigo do §64 e do §65 BSIG
O artigo 32.o da NIS 2 dá a cada autoridade de supervisão um conjunto fixo de ferramentas. O §64 BSIG copia-o para o direito alemão. Esta página percorre a escada de prova em quatro passos que o BSI usa, mais aquilo para que uma entidade essencial, uma entidade importante e um operador KRITIS têm cada um de estar prontos.
A versão curta
Uma auditoria do BSI não é um evento único. O artigo 32.o da NIS 2 lista um conjunto fixo de poderes de supervisão para as entidades essenciais: inspeções no local, auditorias de segurança direcionadas por um organismo independente, auditorias ad hoc quando há razão justificada, varrimentos de segurança, e pedidos escritos de informação e documentos. O BSI sobe essa escada.
O §64 BSIG transpõe esses poderes para o direito alemão como Auskunfts- und Unterlagenanforderung, Vor-Ort-Prüfung e technische Untersuchung. O §61 BSIG fixa os poderes de supervisão envolventes. O §65 BSIG é onde vivem as coimas. As coimas chegam a dez milhões de euros ou dois por cento do volume de negócios do grupo para as entidades essenciais e sete milhões ou um vírgula quatro por cento para as entidades importantes, espelhando o artigo 34.o da NIS 2.
A maioria das auditorias nunca chega ao passo no local. Documentação limpa, um órgão de direção que pode responder por ela, e um plano de tratamento escrito para as lacunas conhecidas terminam a auditoria no passo um ou dois. Esta página percorre a escada, o texto legal por detrás dela, e as três armadilhas que transformam uma auditoria documental numa visita ao local.
Artigo 32.o da Diretiva NIS 2 (2022/2555)
Os Estados-Membros asseguram que as medidas de supervisão impostas às entidades essenciais para efeitos da presente diretiva sejam eficazes, proporcionadas e dissuasivas, tendo em conta as circunstâncias de cada caso concreto. No exercício dos seus poderes de supervisão relativamente às entidades essenciais, as autoridades competentes têm o poder de submeter essas entidades a: a) inspeções no local e supervisão fora do local, incluindo verificações aleatórias, realizadas por profissionais formados; b) auditorias de segurança regulares e direcionadas realizadas por um organismo independente ou por uma autoridade competente; c) auditorias ad hoc, incluindo quando justificadas com base num incidente significativo ou numa infração à presente diretiva pela entidade essencial; d) varrimentos de segurança baseados em critérios objetivos, não discriminatórios, justos e transparentes de avaliação de riscos, se necessário com a cooperação da entidade em causa; e) pedidos de informação necessários para avaliar as medidas de gestão de riscos de cibersegurança adotadas pela entidade em causa.
O artigo 32.o fixa o conjunto de ferramentas ex ante para as entidades essenciais. O artigo 33.o espelha-o para as entidades importantes mas como supervisão ex post, o que significa que o BSI só pode atuar quando tem indícios de incumprimento. O artigo 34.o fixa os limites máximos de coima que o BSIG copia.
Regulamento de Execução (UE) 2024/2690 da Comissão, Anexo
Para efeitos do artigo 21.o, n.o 2 da Diretiva (UE) 2022/2555, as entidades relevantes estabelecem, implementam e aplicam uma política de segurança de redes e de informação [...] e o quadro de gestão de riscos [...] que aborda os riscos para a segurança dos sistemas de redes e de informação.
O Anexo do CIR é aquilo contra que um auditor verifica de facto. Detalha o que a gestão de riscos, a segurança da cadeia de abastecimento, o tratamento de incidentes, a continuidade do negócio, a formação, a criptografia, o controlo de acesso e as outras medidas do artigo 21.o, n.o 2 têm de conter. A diretiva dá ao BSI o direito de olhar. O Anexo do CIR fixa a fasquia.
§64 BSIG (Alemanha)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
O §64 BSIG dá ao BSI três poderes operacionais: pedir documentos, entrar nos seus escritórios durante o horário de expediente, realizar uma inspeção técnica. O §61 BSIG fixa o mandato de supervisão mais amplo. O §65 BSIG fixa as coimas, com os limites máximos do artigo 34.o transpostos diretamente. Os operadores KRITIS carregam um dever de prova trienal adicional ao abrigo do §29 BSIG.
Pedido de documentação e percurso explicativo
O passo um é um Auskunfts- und Unterlagenanforderung escrito do §64 BSIG. O BSI pede o seu quadro de gestão de riscos, a sua lista de ativos, a sua política de tratamento de incidentes, os seus registos de formação, as suas medidas de cadeia de abastecimento e a prova de formação da direção do §38 BSIG. O passo dois é uma chamada de percurso explicativo: o BSI pede aos papéis responsáveis que expliquem o que está no papel. Espera-se normalmente um membro do órgão de direção nesta chamada. A maioria das auditorias fecha aqui.
Inspeção no local
Se faltar documentação ou o percurso explicativo expuser lacunas que o BSI não consegue conciliar, o §64 BSIG permite-lhe entrar nas suas instalações durante o horário de expediente e inspecionar. Vai pedir para ver como as políticas se traduzem em prática: cópias de segurança a correr de facto, controlo de acesso de facto aplicado, manuais de incidentes de facto conhecidos. O artigo 32.o, n.o 2, alínea c) permite-lhe escalar ad hoc após um incidente significativo, sem aviso. A solução não é ter um bom desempenho no dia. É não ter nada que o percurso explicativo já não pudesse mostrar.
Auditoria de segurança direcionada e inspeção técnica
O artigo 32.o, n.o 2, alínea b) permite ao BSI ordenar uma auditoria de segurança regular ou direcionada por um organismo independente, a seu cargo. O §64 BSIG acrescenta a technische Untersuchung: varrimentos, revisões de configuração, análise de registos. O artigo 32.o, n.o 2, alínea d) permite-lhe realizar varrimentos de segurança no seu perímetro sob critérios objetivos e não discriminatórios. Este passo é raro para as entidades importantes, estruturalmente disponível para as entidades essenciais, e a via padrão para os operadores KRITIS ao abrigo do §29 BSIG (ciclo trienal de Nachweis).
Datado e assinado vence abrangente
Um auditor não quer uma política perfeita. Quer uma política que esteja datada, assinada por um proprietário nomeado, revista pela última vez nos últimos doze meses, e rastreável a uma versão. Uma política de seis páginas com uma aprovação do diretor-geral de há dois meses vale mais do que uma política de quarenta páginas que ninguém possui. Lacunas conhecidas com um plano de tratamento escrito e uma data-alvo são aceitáveis. Lacunas desconhecidas e decisões não documentadas não são.
O órgão de direção tem de estar na sala
O artigo 20.o da NIS 2 coloca o órgão de direção responsável por aprovar as medidas de gestão de riscos de cibersegurança e supervisionar a implementação. O §38 BSIG transpõe isto com responsabilidade pessoal. Um percurso explicativo do BSI em que o diretor-geral não consegue responder pelo quadro de risco é por si só uma constatação. A solução não é um guião. É uma revisão trimestral em que o diretor-geral participa de facto.
Auditoria padrão do BSI + §29 Nachweis KRITIS
Para as entidades essenciais e importantes, o BSI opera a escada do §64 BSIG a partir do pedido de documentação para cima. Para os operadores KRITIS (infraestrutura crítica ao abrigo do §28 BSIG), o §29 BSIG acrescenta um dever trienal de Nachweis: a cada três anos, o operador submete prova (tipicamente um relatório de auditoria externa) que mostra que as medidas do §30 BSIG estão implementadas. O Nachweis do §29 é guiado pelo calendário e não depende de o BSI iniciar uma auditoria.
ENISA + Grupo de Cooperação NIS
A ENISA, a Agência da UE para a Cibersegurança, publica a Technical Implementation Guidance (TIG) que mapeia o artigo 21.o da NIS 2 em normas estabelecidas como a ISO/IEC 27001:2022 e o NIST CSF 2.0. O Grupo de Cooperação NIS ao abrigo do artigo 14.o da NIS 2 coordena a prática de auditoria entre os Estados-Membros. Se opera em vários países, a substância que os auditores verificam é a mesma. A mecânica (formulários, canais, prazos) difere.
Autoridades competentes setoriais
Para alguns setores (energia, finanças, telecomunicações) a supervisão fica em parte com o regulador setorial (BNetzA, BaFin) em vez de ou a par do BSI. A diretiva permite isto e o §61 BSIG nomeia as repartições de competência. Os próprios poderes do artigo 32.o não mudam. Quem aparece à porta sim.
Se as nossas políticas estão escritas, estamos prontos.
As políticas escritas são o passo um. O percurso explicativo no passo dois é onde a auditoria se decide de facto. O auditor pede ao papel responsável que explique como a política funciona na prática. Se o papel não a consegue explicar, a política é papel e a auditoria avança para o local ao abrigo do §64 BSIG. O tratamento não são melhores políticas. É a pessoa responsável a usá-las de facto e o órgão de direção a revê-las de facto.
Vamos pôr a documentação em ordem assim que a carta de auditoria chegar.
O BSI dá tipicamente um prazo de duas a quatro semanas para o pedido de documentação do §64. Construir um registo de riscos, um inventário de ativos e uma política de tratamento de incidentes de raiz nessa janela não é realista. Também produz o pior artefacto possível para um auditor: um documento novo sem histórico de versões, sem aprovações anteriores e sem uso rastreável. Os documentos precisam de ser operados, não produzidos para a carta.
Só somos responsáveis pelo que operamos nós próprios, não pelos nossos fornecedores.
O artigo 21.o, n.o 2, alínea d) da NIS 2 e o §30, n.o 2, ponto 4 BSIG colocam a segurança da cadeia de abastecimento sobre a entidade, não sobre o fornecedor. Uma resposta caixa-preta como "o nosso prestador de serviços geridos trata disso" é uma constatação. O auditor vai pedir as cláusulas contratuais, a avaliação de risco do fornecedor e a prova de que verifica o fornecedor. Os operadores KRITIS enfrentam isto de forma mais aguda: o Nachweis do §29 cobre também os serviços geridos. Pode subcontratar a operação, não a responsabilidade.
Um fornecedor regional de energia com quem trabalhamos está no âmbito como operador KRITIS ao abrigo do §28 BSIG. O seu último Nachweis do §29 foi há dezoito meses, o próximo vence dentro de dezoito. Executam a preparação numa base contínua: a cada trimestre, o CISO percorre uma medida do §30 BSIG com o diretor-geral, capta a prova (versão da política, aprovação, última revisão, itens de tratamento em aberto) e fecha qualquer lacuna antes do trimestre seguinte. Quando o auditor bate à porta, nada é produzido para a visita. Tudo está datado.
O próprio Nachweis do §29 corre através de um auditor externo contratado pelo operador. O BSI não conduz a auditoria diretamente: aceita o relatório externo. O relatório de auditoria assinala lacunas como "erhebliche Mängel" (defeitos significativos), "sonstige Mängel" (outros defeitos) ou nenhum. Os defeitos significativos acionam deveres de acompanhamento. Os outros defeitos vêm com um plano de tratamento e uma data-alvo. O fornecedor de energia fecha cerca de oitenta por cento das constatações de auditoria antes de o relatório ir para o BSI, tratando a lista de lacunas como a ordem de trabalhos permanente para os próximos dois trimestres.
Cada requisito da NIS 2 na plataforma produz três coisas por defeito: uma política com uma versão e uma aprovação, uma revisão recorrente com um prazo, e um rasto de auditoria que regista quem fez o quê e quando. Um Auskunfts- und Unterlagenanforderung do §64 BSIG torna-se uma exportação, não um projeto de escrita. Entrega um pacote de prova embalado (políticas, aprovações, lista de ativos, registo de riscos, registo de incidentes, registos de formação, lista de fornecedores) em vez de andar à procura de ficheiros.
Para os operadores KRITIS, o Nachweis do §29 corre sobre os mesmos dados. O auditor externo obtém uma vista só de leitura dos mesmos artefactos que a empresa já opera. Não há uma segunda ferramenta, nenhuma pilha paralela de folhas de cálculo, e nenhuma corrida da semana de auditoria. O ponto é estrutural: quando chega o dia da carta de auditoria, não está a preparar. Está a exportar.
- Diretiva (UE) 2022/2555 (NIS 2), artigos 32.o, 33.o, 34.o. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §29 (KRITIS Nachweis), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- BSI Infopakete "NIS 2 Pflichten". bsi.bund.de/dok/nis-2-infopakete
- ENISA Technical Implementation Guidance para o CIR (UE) 2024/2690 (a partir de maio de 2026)
- Documentos de referência do Grupo de Cooperação NIS sobre a prática de supervisão. digital-strategy.ec.europa.eu