Higiene cibernética e formação em segurança NIS 2 ao abrigo do artigo 21.o, n.o 2, alínea g)
O artigo 21.o, n.o 2, alínea g), da NIS 2 cobre a sua força de trabalho. O artigo 20.o, n.o 2, cobre o seu órgão de direção. Dois deveres separados. O §8 do CIR (UE) 2024/2690 estabelece o que o dever da força de trabalho significa de facto: um programa de sensibilização para todos, mais formação específica por função para as pessoas em funções relevantes para a segurança.
A versão curta
O artigo 21.o, n.o 2, alínea g), coloca a higiene cibernética e a formação em segurança na lista das dez medidas de cibersegurança que todas as entidades essenciais e importantes têm de implementar. O dever cobre todos na entidade, incluindo o órgão de direção e os prestadores diretos.
O §8 do CIR (UE) 2024/2690 divide o dever em duas partes. O §8.1 é a sensibilização: um programa que chega a cada colaborador, repetido periodicamente, alinhado com a sua política de segurança da informação e com o seu panorama de ameaças real, abrangendo ameaças, pontos de contacto e recursos. O §8.2 é a formação específica por função: identificar o pessoal em funções relevantes para a segurança, formá-lo na configuração e operação seguras, nas ameaças conhecidas e em como agir durante um evento relevante para a segurança.
Este não é o mesmo dever do artigo 20.o, n.o 2. O artigo 20.o, n.o 2, é a formação do próprio órgão de direção, sobre riscos de cibersegurança e práticas de gestão. O artigo 21.o, n.o 2, alínea g), é a formação do resto da organização. Precisa de ambos. Os auditores verificam ambos.
Artigo 21.o, n.o 2, alínea g), da Diretiva NIS 2 (2022/2555)
Práticas básicas de higiene cibernética e formação em cibersegurança.
Este é o ponto g) na lista das dez medidas de cibersegurança que todas as entidades essenciais e importantes têm de implementar. É o dever alargado a toda a força de trabalho, distinto da formação do órgão de direção no artigo 20.o, n.o 2.
CIR (UE) 2024/2690, anexo §8
Para efeitos do artigo 21.o, n.o 2, alínea g), da Diretiva (UE) 2022/2555, as entidades em causa asseguram que os seus trabalhadores, incluindo os membros do órgão de direção e os prestadores diretos, têm consciência dos riscos, estão informados da importância da cibersegurança e aplicam práticas de higiene cibernética.
Por ser um regulamento (não uma diretiva), é direito da UE diretamente vinculativo. O §8.1 estabelece o programa de sensibilização. O §8.2 estabelece o dever de formação específica por função. Aplica-se a prestadores de DNS, registos TLD, prestadores de nuvem e de centros de dados, MSP, prestadores de serviços de confiança e aos outros setores enumerados no seu anexo.
§30(2)(7) BSIG (Alemanha)
Procedimentos básicos na área da higiene cibernética e formação na área da cibersegurança.
A Alemanha copia o texto da UE de perto. A via de implementação que o BSI aponta é o Baustein IT-Grundschutz ORP.3 «Sensibilisierung und Schulung zur Informationssicherheit», que cobre tanto o lado da sensibilização como o lado específico por função.
Programa de sensibilização para todos
Um programa que chega a cada colaborador, incluindo o órgão de direção e os prestadores diretos. Repetido periodicamente, não pontual. Os recém-chegados são incluídos. O conteúdo está alinhado com a sua política de segurança da informação e com o seu panorama de ameaças real. Abrange as ciberameaças que se aplicam efetivamente a si, os pontos de contacto se algo parecer errado, e os recursos que o pessoal pode usar.
Formação específica por função para funções relevantes para a segurança
Identifique quais as funções que precisam de competências relevantes para a segurança. Depois forme essas pessoas em três coisas: como configurar e operar os sistemas que tocam (incluindo dispositivos móveis), as ameaças conhecidas que se aplicam ao seu trabalho, e como agir durante um evento relevante para a segurança. Mais amplo do que TI: suporte técnico, programadores, recursos humanos, financeira, todos podem qualificar-se.
Recém-chegados e atualização periódica
Ambas as partes do §8 dizem que o programa tem de chegar ao novo pessoal em funções relevantes para a segurança e ser atualizado regularmente. Isso significa um passo de integração dentro dos processos de recursos humanos, mais uma cadência de revisão do próprio currículo, de modo que o conteúdo acompanhe as ameaças que enfrenta hoje e não as ameaças que enfrentava há dois anos.
Sensibilização e específica por função são dois programas distintos
O §8.1 e o §8.2 não são a mesma coisa reembalada. A sensibilização vai para todos. A específica por função vai para as pessoas cujo trabalho cria ou controla exposição de segurança. O conteúdo é diferente, a cadência é diferente, a prova é diferente. Se o seu plano de formação só tem um programa, está a falhar um dos dois deveres.
O conteúdo da formação reflete o seu panorama de risco real
O §8.1 diz que o programa de sensibilização tem de estar «alinhado com a política de segurança da informação e o panorama de risco» da entidade. Conteúdo genérico de phishing pensado para um banco não serve para um Stadtwerk ou uma empresa de gestão de resíduos. O programa tem de acompanhar as ameaças que enfrenta efetivamente, os sistemas que opera efetivamente, e os pontos de contacto a que o pessoal tem efetivamente de ligar.
BSI / Baustein IT-Grundschutz ORP.3
A via de implementação do BSI para o §30(2)(7) BSIG é o Baustein IT-Grundschutz ORP.3 «Sensibilisierung und Schulung». O ORP.3 cobre tanto o lado da sensibilização (sessões anuais para todo o pessoal) como o lado específico por função (módulos mais aprofundados para administradores, programadores, suporte técnico e gestores). Também define expectativas concretas de frequência e pede que documente o currículo, a assiduidade e uma cadência de revisão.
Orientação Técnica de Implementação da ENISA
A TIG da ENISA para o CIR (UE) 2024/2690 associa o §8 à ISO/IEC 27001:2022 (A.6.3, A.7.2.2 na numeração antiga), ao NIST CSF 2.0 (PR.AT) e à ETSI EN 319 401. Se já faz sensibilização de segurança ao abrigo da ISO 27001, a TIG diz-lhe quais os controlos existentes que cobrem o §8 e onde fica a lacuna.
Leis nacionais de transposição
Cada Estado-Membro transpõe o dever (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). A substância é a mesma porque a Diretiva estabelece uma norma única à escala da UE. O que difere: a língua de documentação, os canais de comunicação, e qual a autoridade nacional que audita os registos de formação.
Fizemos o curso do órgão de direção, terminámos a formação NIS 2.
O artigo 20.o, n.o 2, e o artigo 21.o, n.o 2, alínea g), são dois deveres separados. O curso do órgão de direção cobre o artigo 20.o, n.o 2. O seu programa alargado a toda a força de trabalho cobre o artigo 21.o, n.o 2, alínea g). Um não substitui o outro. Um auditor pedirá provas de ambos.
Fazemos uma simulação de phishing anual, por isso a sensibilização está coberta.
Uma simulação de phishing é uma tática, não um programa. O §8.1 do CIR exige um programa que abranja as ameaças que se aplicam a si, os pontos de contacto para reportar preocupações, e os recursos que o pessoal pode usar. Também tem de chegar aos recém-chegados e correr periodicamente. Uma única simulação anual não cumpre esse teste por si só.
Formamos a equipa de TI, isso cobre o dever específico por função.
O §8.2 diz «pessoal cujas funções exigem competências relevantes para a segurança». Isso é mais amplo do que TI. Pessoal de suporte técnico que redefine palavras-passe, programadores que escrevem o código, pessoal de recursos humanos que trata de entradas e saídas, pessoal de financeira que trata da autorização de pagamentos. Todos podem estar dentro do §8.2. A lista de funções tem de vir do seu panorama de risco real, não do organigrama.
O que vemos no Mittelstand alemão: uma simulação de phishing anual mais um parágrafo de segurança na apresentação de integração. Isso não é o §8. O §8 quer um programa escrito, com um público-alvo por módulo, uma frequência por módulo, e um registo por formando do que completou e quando.
A forma que resiste a uma auditoria: uma faixa de sensibilização para todos (módulo de integração mais atualização anual, ameaças e pontos de contacto), e uma faixa específica por função para as funções relevantes para a segurança que identificou (administradores, programadores, suporte técnico, mais as funções de negócio que a sua análise de risco assinalou). Documente o currículo, o público, a frequência, os registos de conclusão, e uma data de revisão para o próprio currículo.
O módulo de Formação (TRN) capta o programa: cada curso, o seu público-alvo, a sua frequência, e um registo de conclusão por formando. Pode associar o currículo de sensibilização a «todo o pessoal» e os módulos específicos por função às funções que definiu. O rasto de auditoria é a prova.
O lado da sensibilização do §8.1 é satisfeito pelo curso de CEO da plataforma (artigo 20.o, n.o 2) mais uma faixa de sensibilização para todo o pessoal. O lado específico por função do §8.2 é satisfeito acrescentando módulos específicos por função e atribuindo-os ao pessoal que a sua análise de risco assinala. A conclusão é registada automaticamente. Os ciclos de reformação são agendados pelo módulo.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 21.o, n.o 2, alínea g). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), anexo §8. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §30(2)(7) com a redação da Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- Baustein IT-Grundschutz do BSI ORP.3 «Sensibilisierung und Schulung zur Informationssicherheit»
- Orientação Técnica de Implementação da ENISA para o CIR (UE) 2024/2690 (à data de maio de 2026)