Continuidade das atividades NIS 2 ao abrigo do Artigo 21.o, n.o 2, alínea c)
A NIS 2 diz que tem de manter as operações a funcionar e recuperar quando algo falha. O Artigo 21.o, n.o 2, alínea c), é o dever. O §4 do CIR (UE) 2024/2690 detalha o BCP, o plano de cópias de segurança e o procedimento de crise. A Alemanha insere-o no §30, n.o 2, ponto 3, BSIG.
A versão curta
A continuidade das atividades situa-se no ponto c) da lista do Artigo 21.o, n.o 2. A diretiva agrupa três coisas: manter o negócio a funcionar, gerir as cópias de segurança e a recuperação, e conduzir a gestão de crises. Se a NIS 2 se lhe aplica, tem de fazer as três.
O §4 do CIR (UE) 2024/2690 divide o mesmo dever em três subsecções. O §4.1 é o próprio plano de continuidade das atividades, com uma lista de oito pontos de conteúdo. O §4.2 é cópia de segurança e redundância, com um plano de seis pontos mais testes de integridade. O §4.3 é o procedimento de gestão de crises, incluindo a forma como fala com o regulador. Se opera DNS, cloud, um centro de dados, um MSP, serviços de confiança ou qualquer outro setor do Anexo do CIR, isto vincula-o diretamente.
A Alemanha insere a mesma regra no direito nacional através do §30, n.o 2, ponto 3, BSIG. A redação segue a diretiva. Esta página percorre a diretiva, o regulamento de execução da UE e a transposição alemã, por essa ordem.
Artigo 21.o, n.o 2, alínea c), Diretiva NIS 2 (2022/2555)
Continuidade das atividades, como a gestão de cópias de segurança e a recuperação após desastre, e gestão de crises.
O ponto c) na lista das dez medidas de cibersegurança que toda a entidade essencial e importante tem de implementar. Uma linha, três deveres agrupados.
CIR (UE) 2024/2690, Anexo §4
Continuidade das atividades e gestão de crises (Artigo 21.o, n.o 2, alínea c), da Diretiva (UE) 2022/2555).
Por ser um regulamento (não uma diretiva), é direito da UE diretamente vinculativo. O CIR divide o §4 em três subsecções: §4.1 o plano de continuidade das atividades e de recuperação após desastre, §4.2 a gestão de cópias de segurança e redundância, §4.3 o procedimento de gestão de crises. Aplica-se diretamente aos prestadores de DNS, aos registos de TLD, aos prestadores de cloud e de centros de dados, aos MSP e aos restantes setores listados no seu Anexo.
§30, n.o 2, ponto 3, BSIG (Alemanha)
Continuidade das atividades, como a gestão de cópias de segurança e a recuperação após desastre, e gestão de crises.
A Alemanha copia a redação da diretiva. Os Infopakete do BSI listam a continuidade das atividades como uma das dez medidas do Artigo 21.o, n.o 2, que toda a entidade essencial e importante tem de cobrir.
Plano de continuidade das atividades e de recuperação após desastre
Um plano escrito com oito pontos: finalidade e âmbito, papéis e responsabilidades, lista de contactos, as condições que despoletam a ativação, a sequência de recuperação, o plano de recuperação para cada processo crítico, os recursos de que precisa e a forma de reiniciar e retomar a atividade normal. Não três frases num documento Word. Um documento real que as pessoas conseguem seguir quando a rede está em baixo e os telefones tocam.
Gestão de cópias de segurança e redundância
Um plano de cópias de segurança de seis pontos: tempos de recuperação alvo, completude das cópias, armazenamento fora do local, controlos de acesso físico e lógico, o próprio procedimento de recuperação e os períodos de retenção. Mais testes periódicos de integridade, para descobrir antes do incidente se as cópias de segurança restauram de facto. Mais redundância (N+1) para ativos, pessoal e canais de comunicação.
Procedimento de gestão de crises
Um procedimento escrito com papéis nomeados, um canal de comunicação com a autoridade competente, uma forma de manter a segurança durante a crise e a lista de comunicações obrigatórias, incluindo as notificações de incidentes ao abrigo do Artigo 23.o. Gestão de crises não é 'fazemos uma chamada'. É quem está na chamada, o que decidem e a quem comunicam.
A cópia de segurança é governação, não só TI
O plano de cópias de segurança do §4.2 é documentação auditável, não uma caixa marcada na sua ferramenta de backup. Os períodos de retenção são aprovados por assinatura. A localização do armazenamento fora do local é documentada. Os tempos de recuperação são definidos face ao negócio, não face ao que a ferramenta consegue. Se a sua história de cópias de segurança vive inteiramente dentro da equipa de TI, está a faltar-lhe a camada de governação que o CIR pede.
Teste numa cadência, não 'quando houver tempo'
O §4.1 espera que o BCP seja testado periodicamente. O §4.2 espera testes de integridade das cópias de segurança numa cadência. Um BCP por testar é papel. Uma cópia de segurança por testar é uma esperança. Uma vez por ano para o exercício de mesa do BCP, mais vezes para os testes de restauro das cópias. Documente o teste, documente o que falhou, documente o que corrigiu.
BSI / IT-Grundschutz DER.4
O BSI lista a continuidade das atividades como uma das dez medidas do Artigo 21.o, n.o 2 (ver §30, n.o 2, ponto 3, BSIG) e aponta o Baustein DER.4 'Notfallmanagement' do IT-Grundschutz como o caminho prático. O DER.4 cobre todo o ciclo de vida da continuidade: BIA, BCP, planos de recuperação, testes, aprovação. Se seguir o DER.4 do início ao fim, ultrapassa de longe o mínimo do §4 do CIR.
Orientação Técnica de Implementação da ENISA
A TIG da ENISA transforma o §4 do CIR em passos concretos e mapeia-o na ISO/IEC 27001:2022 (cláusulas em torno de A.5.29, A.5.30, A.8.13, A.8.14) e na NIST CSF 2.0 (função Recover). Se já corre a ISO 27001 ou a NIST CSF, a TIG diz-lhe o que pode reutilizar e onde ainda há lacunas.
Leis nacionais de transposição
Cada Estado-Membro tem a sua própria transposição (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). O dever de continuidade é o mesmo porque a diretiva fixa uma norma única à escala da UE. O que difere: qual a autoridade nacional que notifica numa crise e por que canal.
Temos cópias de segurança em fita, por isso estamos bem.
As cópias de segurança não bastam. O §4.2 do CIR quer o plano completo de seis pontos documentado: tempos de recuperação alvo, completude, armazenamento fora do local, controlos de acesso, procedimento de recuperação, períodos de retenção. Mais testes periódicos de integridade. Uma rotação de fitas sem o plano escrito é metade do requisito.
O BCP é problema da equipa de TI.
Não é. O §4.3 cobre explicitamente a gestão de crises ao nível da direção: canais de comunicação com a autoridade competente, as notificações obrigatórias de incidentes ao abrigo do Artigo 23.o, decisões sobre que serviços manter e quais suspender. Isso é um dever da direção, não um dever de TI.
Resolvemos numa crise.
Não vai resolver. O §4.3 exige um procedimento de crise escrito com papéis nomeados e canais de comunicação predefinidos. O objetivo de o escrever de antemão é não o estar a inventar às 3 da manhã de um domingo. Um auditor vai pedir o documento. 'Temos boa gente' não é o documento.
O que vemos na prática: a maioria das empresas do Mittelstand tem cópias de segurança. Fita, cloud, segundo local, alguma coisa. O que quase nunca têm é o plano documentado do §4.2 em torno dessas cópias: alvos de tempo de recuperação definidos face ao negócio, períodos de retenção aprovados por assinatura, localização do armazenamento fora do local nomeada, testes de integridade num calendário. As cópias de segurança existem. A governação não.
Dois passos que resolvem o problema: primeiro, escreva o BCP do §4.1. Use a lista de oito pontos do CIR como o seu índice. Segundo, faça o teste uma vez por ano. Um exercício de mesa em que a equipa de direção percorre o BCP para um cenário real vale mais do que seis meses a polir o documento. O teste é o que produz a prova de auditoria.
Construímos o §4 do CIR na plataforma como um módulo. O formulário do BCP capta os oito campos de conteúdo do §4.1. O formulário de cópias de segurança capta os seis pontos do §4.2 mais o calendário de testes. O formulário do procedimento de crise capta os papéis, os canais e as vias de comunicação do Artigo 23.o do §4.3. A aprovação fica ao lado de cada artefacto.
A cadência de testes também vive na plataforma. Agenda o exercício de mesa anual do BCP e os testes trimestrais de restauro de cópias, a plataforma lembra o responsável, o responsável regista o resultado e a trilha de auditoria mostra quando correu e o que aconteceu. Sem calendário separado, sem repositório de documentos separado.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21.o, n.o 2, alínea c). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução da Comissão (UE) 2024/2690 (CIR), Anexo §4. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §30, n.o 2, ponto 3, conforme alterada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- BSI IT-Grundschutz Baustein DER.4 'Notfallmanagement'. bsi.bund.de/grundschutz
- Orientação Técnica de Implementação da ENISA para o CIR (UE) 2024/2690 (em maio de 2026)