Controlo de acesso NIS 2 ao abrigo do Artigo 21(2)(i)+(j)
O Artigo 21(2)(i) nomeia as políticas de controlo de acesso. O Artigo 21(2)(j) nomeia a autenticação multifatorial. O §11 do CIR cobre-as em conjunto em sete subsecções. Esta página percorre os deveres mais amplos de política, de contas privilegiadas e de identidade. A página dedicada ao MFA cobre o §11.7.
A versão curta
O controlo de acesso está nos pontos (i) e (j) do Artigo 21(2). O ponto (i) nomeia 'segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos'. O ponto (j) nomeia 'a utilização de soluções de autenticação multifatorial ou de autenticação contínua, comunicações de voz, vídeo e texto seguras'. Ambos se aplicam a todas as entidades essenciais e importantes em toda a UE.
O CIR (UE) 2024/2690 §11 cobre ambas as alíneas em conjunto, sob o título 'Controlo de acesso (Artigo 21(2), pontos (i) e (j) da Diretiva (UE) 2022/2555)'. Divide o dever em sete subsecções: a própria política, a gestão de direitos, as contas privilegiadas, os sistemas de administração de sistemas, a identificação, a autenticação e a autenticação multifatorial. Esta página percorre o §11.1 até ao §11.6. Para o §11.7 especificamente, ver a página dedicada ao MFA.
A Alemanha coloca o dever de política no § 30(2)(9) BSIG e o dever de MFA no § 30(2)(10) BSIG. A base alemã para a implementação é o módulo ORP.4 'Identitäts- und Berechtigungsmanagement' do IT-Grundschutz.
info.accessControl.legalAnchor.directiveI.label
info.accessControl.legalAnchor.directiveI.quote
info.accessControl.legalAnchor.directiveI.context
info.accessControl.legalAnchor.directiveJ.label
info.accessControl.legalAnchor.directiveJ.quote
info.accessControl.legalAnchor.directiveJ.context
CIR (UE) 2024/2690, Anexo §11
Controlo de acesso (Artigo 21(2), pontos (i) e (j) da Diretiva (UE) 2022/2555).
O §11 do CIR tem sete subsecções: §11.1 política de controlo de acesso, §11.2 gestão de direitos de acesso, §11.3 contas privilegiadas e contas de administração de sistemas, §11.4 sistemas de administração de sistemas, §11.5 identificação, §11.6 autenticação, §11.7 autenticação multifatorial. Este regulamento vincula diretamente os fornecedores de DNS, cloud, centros de dados, fornecedores de serviços geridos e os outros setores nomeados no Anexo.
§30(2)(9) e (10) BSIG (Alemanha)
Konzepte für die Zugriffskontrolle und für das Management von Anlagen. […] Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung.
A Alemanha divide o ponto (i)+(j) da UE em dois números do BSIG. O § 30(2)(9) carrega o controlo de acesso e a gestão de ativos. O § 30(2)(10) carrega o MFA e as comunicações seguras. A substância é a mesma regra da UE.
Política e gestão de direitos
Escreva como funciona o acesso (lógico e físico) para colaboradores, visitantes, fornecedores e prestadores de serviços. Conceda, modifique e revogue direitos com base na necessidade do negócio: necessidade de conhecer, necessidade de usar, separação de funções. Cada direito é atribuído a uma pessoa nomeada. A revogação corre na mudança de vínculo laboral, não num ciclo semanal. O acesso de terceiros (visitantes, fornecedores) é acompanhado.
Contas privilegiadas e de administração
As contas de administração recebem identificação, autenticação e autorização fortes. Apenas contas de administração dedicadas, usadas unicamente para instalação, configuração, gestão e manutenção. Os direitos de administração são adaptados individualmente e restringidos. Os sistemas de administração de sistemas ficam na sua própria rede lógica, separados das redes de aplicações, acedidos via autenticação e cifragem.
Identidade e autenticação
Ciclo de vida da identidade: IDs únicos, cada ID ligado a uma pessoa, monitorização e registo ao longo do ciclo de vida. Os procedimentos de autenticação correspondem à política de controlo de acesso: robustez da palavra-passe ajustada à classificação do ativo, procedimentos de alteração, bloqueio em tentativas falhadas, tempos limite de sessão, credenciais separadas para contas privilegiadas.
Necessidade de conhecer, necessidade de usar, separação de funções
O §11.2 do CIR nomeia as três. Necessidade de conhecer: só as pessoas que precisam dos dados recebem os dados. Necessidade de usar: os direitos correspondem à tarefa, não ao cargo. Separação de funções: nenhuma pessoa isolada deve poder conceder, usar e auditar o mesmo direito. Se os seus grupos de AD são 'TI' e 'todos os outros', não implementou nenhuma das três.
Privilegiado não é apenas o regular com mais direitos
O §11.3 e o §11.4 do CIR elevam a fasquia especificamente para as contas de administração. Identificação forte. MFA nomeado no próprio §11.3, não só no §11.7. Contas dedicadas usadas apenas para trabalho de administração. Sistemas de administração de sistemas na sua própria rede. O ponto: uma conta de administração comprometida compromete tudo, por isso as contas de administração têm o seu próprio regime.
BSI / IT-Grundschutz ORP.4
A base alemã é o módulo ORP.4 'Identitäts- und Berechtigungsmanagement' do IT-Grundschutz. O ORP.4 cobre o ciclo de vida da identidade, os direitos baseados em funções, a separação de contas privilegiadas, as regras de palavra-passe e a cadência de revisão. Ao abrigo do § 44(2) BSIG, implementar o Grundschutz é explicitamente reconhecido como cumprindo as obrigações NIS 2 na Alemanha.
Orientação Técnica de Implementação da ENISA
A Orientação Técnica de Implementação da ENISA para o CIR (UE) 2024/2690 percorre cada subsecção do §11 em linguagem operacional e mapeia-a na ISO/IEC 27001:2022 (A.5.15 a A.5.18, A.8.2 a A.8.5) e no NIST CSF 2.0 (PR.AA). Uma implementação de controlo de acesso ISO 27001 existente cobre já a maior parte do §11.
Leis nacionais de transposição
Cada Estado-Membro transpõe o Artigo 21(2)(i) e (j) para a sua própria lei (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). Os deveres são idênticos porque a diretiva define um padrão único para toda a UE. O que difere: para que norma de base a autoridade nacional aponta.
Temos grupos de AD, por isso temos controlo de acesso.
Um começo, não a meta. O §11.2 do CIR quer uma política documentada de direitos de acesso, direitos atribuídos a pessoas nomeadas, um procedimento de revogação ligado à mudança de vínculo laboral, e um registo de auditoria de concessões e revogações. Os grupos de AD dão-lhe o mecanismo. Não lhe dão a política, o registo de pessoas nomeadas, nem o procedimento de entradas, mudanças e saídas que um auditor vai pedir.
Os nossos administradores usam a conta normal para o trabalho de administração, com sudo ou 'executar como administrador'.
Não ao abrigo do §11.3.2 do CIR. O texto exige 'contas de administração dedicadas' usadas apenas para instalação, configuração, gestão e manutenção. A conta normal de um administrador é para correio, calendário e Excel. Uma conta de administração separada, com o seu próprio MFA, é para o trabalho privilegiado. Misturar as duas significa que um e-mail de phishing pode comprometer a função de administração.
Sincronizamos os direitos de acesso todas as segundas-feiras de manhã.
Perto, mas não é o que o §11.2 pede. O dever de revogação é acionado na mudança de vínculo laboral, não num ciclo de calendário. Quem saiu na terça-feira não deve ter acesso na quarta-feira. Para mudanças de função dentro da empresa, sobretudo as privilegiadas, a mudança deve ser imediata. Uma cadência semanal serve para a revisão de auditoria, não para a própria revogação.
Configuração típica de Mittelstand de 50 a 250 pessoas: Active Directory ou Entra ID para identidades, grupos de AD para acesso a aplicações, um sistema de RH que emite tickets de onboarding para as TI. O mecanismo está em grande parte presente. As lacunas do §11 vivem em três sítios.
O que vemos os profissionais apanharem primeiro: uma política escrita de direitos de acesso (a maioria tem um rascunho, poucos têm uma versão atual assinada), contas de administração dedicadas (a maioria dos administradores ainda usa sudo na conta diária), e o procedimento de entradas, mudanças e saídas a ser só das TI em vez de conduzido pelo RH (por isso a conta de um prestador externo persiste porque o RH nunca disse às TI que ele saiu). Corrigir esses três fecha a maior parte da lacuna do §11.
O nosso módulo ACC cobre o §11.1 (carrega ou redige a política de controlo de acesso e o órgão de direção aprova-a), o §11.2 (um registo de direitos ligado a utilizadores nomeados), o §11.3 (inventário de contas privilegiadas com evidência de autenticação separada), e o §11.5 mais o §11.6 (registo da fonte de identidade ligado ao seu IdP). A separação dos sistemas de administração de sistemas do §11.4 é documentada como uma decisão de arquitetura com evidência.
Para a peça do MFA do §11.7 especificamente, ver a página dedicada ao MFA e o seu fluxo de evidência. O registo de auditoria que a plataforma mantém automaticamente (assinaturas, estado das tarefas, registo de alterações) cobre o que um auditor quer ver quanto à cadência de revisão e à decisão da direção.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21(2)(i) e (j). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo §11. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §30(2)(9) e §30(2)(10) com a redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- IT-Grundschutz Compendium, módulo ORP.4 'Identitäts- und Berechtigungsmanagement'. bsi.bund.de/grundschutz
- Orientação Técnica de Implementação da ENISA para o CIR (UE) 2024/2690 (à data de maio de 2026)