Mittelstand / PME

Implementação da NIS2 para Empresas do Mid-Market

Um roteiro prático de implementação em 12 semanas para empresas alemãs com 50 a 250 trabalhadores, sem necessidade de equipa de segurança.

Simon OrzelSimon Orzel·Laufend geprüft

Está Abrangido. E Agora?

Estima-se que 29 500 empresas na Alemanha estejam dentro do âmbito da NIS2. Se tem mais de 50 trabalhadores e opera num setor abrangido, gestão de resíduos, produção alimentar, indústria transformadora, energia, transportes, saúde, infraestrutura digital, é quase certo que é uma delas. A BSIG entrou em vigor a 6 de dezembro de 2025 e o prazo de registo no BSI foi 6 de março de 2026.

Eis o que a maioria dos consultores não lhe dirá: para uma empresa do mid-market com TI básicas, a conformidade NIS2 é gerível. Não é um projeto de 6 meses e seis dígitos. A maioria dos 49 requisitos da BSIG é documentação que se escreve uma só vez: políticas, avaliações de risco, procedimentos. Apenas um punhado exige processos operacionais contínuos. A lei exige medidas 'adequadas' proporcionais ao seu risco, não a infraestrutura de segurança de uma Fortune 500.

Este guia dá-lhe o plano prático: um roteiro de 12 semanas, os papéis de que precisa (todos a tempo parcial, todos pessoal existente), os erros comuns que tropeçam empresas da sua dimensão e a ordem de prioridade para abordar as 10 medidas obrigatórias ao abrigo do §30 BSIG. Sem teoria, sem alarmismo, apenas os passos.

A Quem Se Destina Este Guia
Este guia foi escrito especificamente para empresas alemãs do mid-market que encontram a NIS2 pela primeira vez.
  • Empresas com 50 a 250 trabalhadores em setores NIS2
  • Pessoal de TI limitado, talvez 2 a 5 pessoas, não uma equipa de segurança
  • Sem departamento de conformidade dedicado nem experiência em GRC
  • Primeira vez a lidar com a NIS2, a BSIG ou o registo no BSI

Roteiro de Implementação

Fundação
Semanas 1-2
Estabelecer a base organizacional: registar-se no BSI, atribuir responsabilidades e informar a gestão sobre a sua responsabilidade pessoal ao abrigo do §38 BSIG. Esta fase trata de envolver as pessoas certas e de definir o âmbito.
  • Registo no BSI através do Mein Unternehmenskonto + portal do BSI
  • Nomear o responsável de conformidade (papel a tempo parcial, não uma nova contratação)
  • Informação à gestão sobre os deveres do §38 BSIG e a responsabilidade pessoal
  • Configurar a plataforma de conformidade e convidar os membros da equipa
  • Âmbito inicial: identificar qual a categoria de entidade aplicável (essencial ou importante)
Avaliação de Risco
Semanas 3-4
Construir o inventário de ativos e realizar a avaliação de risco inicial. Esta é a base sobre a qual tudo o resto assenta, medida 1 do §30(1) BSIG. Use a metodologia de análise de risco BSI-200-3: identificar ativos, identificar ameaças, avaliar probabilidade e impacto, decidir o tratamento.
  • Construir o inventário de ativos, agrupar ativos idênticos (por exemplo, '45 portáteis' = 1 entrada)
  • Identificar e categorizar fornecedores com acesso aos seus sistemas
  • Realizar a avaliação de risco inicial: probabilidade × impacto para cada ativo
  • Documentar as decisões de tratamento de risco: aceitar, mitigar, transferir ou evitar
  • Mapear os riscos às medidas da BSIG, quais os controlos que respondem a quais riscos
Controlos e Documentação
Semanas 5-8
Documentar os seus controlos e procedimentos de segurança. É a maior fase em volume, mas a maioria dos requisitos são políticas que se escrevem uma só vez. Concentre-se em documentar o que já faz (a maioria das empresas tem processos informais) e em colmatar lacunas genuínas.
  • Escrever ou adotar políticas de segurança (segurança da informação, controlo de acessos, resposta a incidentes)
  • Documentar a utilização de criptografia e a abordagem de gestão de chaves
  • Configurar o processo de resposta a incidentes com a cascata de 24h/72h/1 mês
  • Rever o controlo de acessos: privilégio mínimo, procedimentos de admissão/saída
  • Documentar os procedimentos de continuidade de negócio e de cópias de segurança
  • Implementar ou documentar MFA para sistemas críticos
Provas e Preparação para Auditoria
Semanas 9-12
Fechar o ciclo: aprovações da gestão, conclusão da formação, recolha de provas e uma primeira verificação de eficácia. Esta fase transforma as suas medidas documentadas em provas de conformidade auditáveis.
  • A gestão aprova formalmente todas as medidas de cibersegurança (dever do §38)
  • Concluir a formação obrigatória de cibersegurança da gestão
  • Carregar documentos de prova: capturas de ecrã, configurações, aprovações de políticas
  • Realizar a primeira avaliação de eficácia, os controlos estão de facto a funcionar?
  • Exportar o relatório de conformidade para revisão interna
Papéis de Que Precisa
Não precisa de contratar ninguém. Estas são responsabilidades a tempo parcial atribuídas a pessoal existente.

Responsável de Conformidade (4-8 horas/semana)

Conduz o processo, preenche os formulários de requisitos, coordena-se com as TI e a gestão. Normalmente o gestor de TI, o gestor da qualidade ou o responsável de operações.

Contacto de TI (2-4 horas/semana)

Fornece os dados técnicos: detalhes dos ativos, arquitetura de rede, estado da cifragem, controlos de acesso. O seu administrador ou gestor de TI.

Patrocinador da Gestão (1-2 horas/semana)

Revê e aprova as medidas, conclui a formação, demonstra supervisão. Exigido pelo §38 BSIG, não pode ser delegado.

Auditor Externo (opcional)

Para operadores KRITIS: exigido de 3 em 3 anos. Para entidades essenciais e importantes: opcional, mas recomendado no primeiro ciclo de conformidade para validar o seu trabalho.

Erros Comuns
O que vemos as empresas fazerem mal, e como evitá-lo.

  • Esperar pela 'orientação final'

    A lei está em vigor desde dezembro de 2025. O CIR define as medidas técnicas. Não vem aí mais nenhuma orientação que altere o que precisa de fazer. Comece já.

  • Sobredimensionar a solução

    Uma empresa de gestão de resíduos com 100 pessoas não precisa de um SOC nem de um SIEM. Ajuste os controlos ao seu perfil de risco real. A BSIG exige medidas 'adequadas', não medidas máximas.

  • Tratá-lo como um projeto de TI

    O §38 BSIG torna isto uma responsabilidade da gestão. Se o gerente não estiver envolvido, já está em incumprimento. Agende a informação à gestão na semana 1.

  • Ignorar a segurança da cadeia de abastecimento

    A NIS2 exige explicitamente avaliar a cibersegurança dos seus fornecedores. Isto apanha muitas empresas desprevenidas. Comece cedo a documentar as relações com fornecedores.

  • Conformidade no papel sem medidas reais

    Escrever políticas que ninguém lê não conta. O BSI pode exigir provas de que as medidas estão de facto implementadas e são eficazes. Construa processos reais, não apenas documentos.

Comece a Sua Implementação Hoje
A plataforma conduz através dos 49 requisitos da BSIG pela ordem em que devem ser implementados, com formulários estruturados, carregamentos de provas e fluxos de aprovação da gestão, exatamente o que uma empresa do mid-market precisa para ficar conforme sem contratar um consultor.
Inicie o Seu Processo de Conformidade NIS2