Art. 21(2)(f) NIS 2 + CIR §7

Avaliação de eficácia na NIS 2 ao abrigo do artigo 21.º, n.º 2, alínea f)

Não basta escrever as suas medidas de cibersegurança. O artigo 21.º, n.º 2, alínea f), diz que tem de verificar se elas funcionam mesmo, de forma contínua. O §7 do CIR transforma isso em KPI nomeados, responsáveis e uma cadência de revisão.

Simon OrzelSimon Orzel·

A versão curta

A avaliação de eficácia é o ciclo de prova. Passou um ano a montar gestão de risco, controlo de acessos, criptografia, revisões de fornecedores e o resto. O artigo 21.º, n.º 2, alínea f), faz a pergunta seguinte: as medidas que escreveu funcionam mesmo? Um controlo documentado que ninguém testa não é o mesmo que um controlo a funcionar.

O §7 do CIR (UE) 2024/2690 transforma o dever abstrato num processo PDCA. Escolhe o que medir. Escolhe como e com que frequência. Nomeia um responsável pela medição e um responsável pela análise. Revê os resultados. Atualiza o quadro após cada incidente significativo.

A Alemanha transpõe a mesma regra para o direito nacional através do §30(2)(6) BSIG. A redação segue de perto a diretiva. Esta página percorre a diretiva, o regulamento de execução da UE e a transposição alemã, por essa ordem.

A fonte jurídica
Três camadas empilhadas umas sobre as outras. A diretiva (vinculativa para todos os países da UE). O regulamento de execução (direito da UE diretamente aplicável aos setores referidos no anexo). A transposição nacional (na Alemanha: BSIG).

Artigo 21.º, n.º 2, alínea f), da Diretiva NIS 2 (2022/2555)

Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança.

A alínea f) da lista de dez medidas de cibersegurança que toda a entidade essencial e importante tem de pôr em prática. A diretiva não diz com que frequência nem com que KPI. Isso fica para o §7 do CIR.

CIR (UE) 2024/2690, anexo §7

Para efeitos do artigo 21.º, n.º 2, alínea f), da Diretiva (UE) 2022/2555, as entidades relevantes estabelecem, implementam e aplicam uma política e procedimentos para avaliar se as medidas de gestão dos riscos de cibersegurança são eficazmente implementadas e mantidas.

Direito da UE diretamente vinculativo para os setores referidos no anexo do CIR. O §7 nomeia as seis coisas que a sua política tem de cobrir (o quê, como, quando, quem mede, quando os resultados são analisados, quem analisa). Também exige uma revisão em intervalos planeados ou após cada incidente significativo.

§30(2)(6) BSIG (Alemanha)

Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança.

A Alemanha copia o texto da UE quase palavra por palavra. O BSI espera que aponte para um conceito de avaliação documentado durante uma auditoria, não para uma folha de cálculo improvisada.

Três coisas que o §7 do CIR realmente exige
O §7 do CIR 2024/2690 resume-se a três perguntas: o que mede, como o mede e quem é responsável. A lista de seis itens do §7.2 mapeia exatamente nessas três.
§7.2(a)

O QUE mede

Nomeie as medidas de gestão dos riscos de cibersegurança que monitoriza. Tanto procedimentos como controlos contam. Não tem de medir tudo. Tem de escolher um conjunto, escrevê-lo e ligá-lo aos resultados da sua avaliação de risco e aos seus incidentes significativos anteriores.

§7.2(b)+(c)

COMO e QUANDO mede

Para cada medida, nomeie o método de monitorização e medição, a abordagem de análise e a cadência. Métricas trimestrais com uma análise aprofundada anual é uma forma comum. O método tem de produzir resultados válidos, pelo que temos uma intuição sobre isso não passa.

§7.2(d)+(f)

QUEM é responsável

Duas funções nomeadas. Uma pessoa é responsável pela medição (recolhe os números, executa o teste, exporta o registo). Uma segunda pessoa é responsável pela análise (lê os dados, avalia se o controlo está a funcionar, escala). A mesma pessoa pode fazer ambas numa pequena dimensão de Mittelstand, mas o documento tem de as nomear.

Duas regras que moldam tudo o resto
Duas regras interpretativas assentam por baixo do §7. Explicam porque é que a avaliação de eficácia não é apenas um projeto de painel de KPI.

Ligar a eficácia ao registo de riscos

O §7.2 do CIR diz que a política tem de ter em conta os resultados da avaliação de risco e os incidentes significativos anteriores. KPI soltos não contam. Se mede a conformidade de patches mas os seus três principais riscos são violações em fornecedores, phishing e exposição de OT, os seus KPI não acertam no alvo. Escolha KPI que testem os controlos que cobrem os seus riscos mais elevados.

Reportar ao órgão de gestão

O artigo 20.º, n.º 1, da NIS 2 faz o órgão de gestão aprovar as medidas de gestão dos riscos de cibersegurança e supervisionar a sua implementação. Não pode supervisionar o que não vê. Os dados de eficácia têm de chegar à sua frente periodicamente. Trimestral é a cadência comum. O formato não importa desde que seja documentado.

Como os reguladores nacionais aplicam isto de facto
A UE define a regra. Cada país transpõe-na. A substância é a mesma. A mecânica local difere um pouco.
Alemanha

BSI / IT-Grundschutz DER.1

O BSI lista a avaliação de eficácia como o ponto seis das dez medidas do artigo 21.º, n.º 2. A camada DER.1 Deteção do IT-Grundschutz cobre o lado da monitorização operacional (análise de registos, SIEM, deteção de anomalias). A DER.1 por si só não satisfaz o §7, mas é uma das entradas que o seu conceito de avaliação irá referenciar.

Toda a UE

Guia de Implementação Técnica da ENISA

O TIG da ENISA para o CIR (UE) 2024/2690 nomeia as provas que os auditores esperam ao abrigo do §7: política documentada, lista de KPI com metas e valores reais, responsáveis nomeados, atas de revisão, itens de ação resultantes da análise. A ENISA também mapeia o §7 nos controlos 9.1 (monitorização) e 5.36 (revisão de conformidade) da ISO/IEC 27001:2022.

Outros Estados-Membros

Leis nacionais de transposição

Cada Estado-Membro tem a sua própria lei de transposição (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). O dever é o mesmo porque a diretiva fixa uma única norma à escala da UE. O que difere: a quem reporta, qual é o aspeto do ciclo de auditoria, qual o regulador setorial que tem a palavra no seu país.

Três armadilhas que vemos a toda a hora
Três pressupostos que surgem em quase todas as chamadas de preparação de auditoria. Os três criam lacunas que um auditor irá encontrar.

  • Fazemos uma auditoria anual, essa é a nossa avaliação de eficácia.

    Uma auditoria é uma verificação num momento no tempo. O §7 do CIR pede monitorização e medição contínuas, mais análise periódica. A auditoria é uma entrada, não a resposta toda. Se a sua única prova de eficácia é um relatório de auditoria anual, não tem um conceito do §7.

  • Temos um SIEM, por isso a monitorização está tratada.

    Um SIEM é uma ferramenta entre as entradas que o seu conceito de avaliação referencia. O §7 não pergunta tem um SIEM. Pergunta que controlo está a testar, que KPI está a medir face a ele, que valor-alvo define eficaz. Os painéis de SIEM por si só não respondem a isso.

  • O nosso CISO sabe se as medidas funcionam.

    O §7.2(d) e o §7.2(f) do CIR pedem responsáveis nomeados e análise documentada. O conhecimento tácito na cabeça de uma pessoa falha em dois pontos: sem rasto de auditoria, sem continuidade se essa pessoa sair. O conceito tem de ser escrito, a análise tem de ser registada e o órgão de gestão tem de ver os resultados.

Como os operadores reais do Mittelstand fazem isto de facto

A maioria das empresas do Mittelstand já mede duas coisas: a disponibilidade dos sistemas e a conformidade de patches. Ambos são bons KPI, mas só cobrem duas das dez medidas do artigo 21.º, n.º 2. O artigo 21.º, n.º 2, alínea f), exige mais de si: contagem de incidentes face a metas, tempo médio de deteção, tempo médio de resposta, taxas de conclusão de formação, resultados de testes de phishing, taxas de conclusão de revisões de fornecedores.

O que vemos na prática: escolha seis a oito KPI que mapeiem nos seus principais riscos. Leitura trimestral ao órgão de gestão. Análise aprofundada anual que revê a seleção de KPI face ao registo de riscos atualizado. Após cada incidente significativo, o gatilho do §7.3 dispara e revê as medidas relevantes independentemente do calendário. Isso sustenta-se face à proporcionalidade do artigo 21.º, n.º 1, para um operador de 60 a 250 pessoas.

Como tratamos disto na plataforma

Integrámos o conceito de avaliação do §7 na plataforma como um módulo. Define os KPI, liga cada um à medida de gestão de risco que testa, define uma cadência de medição e um valor-alvo, e nomeia o responsável pela medição e o responsável pela análise. A plataforma lembra o responsável quando a próxima leitura é devida.

O painel do órgão de gestão reúne todos os KPI numa única vista trimestral, pronta para a reunião de supervisão do artigo 20.º, n.º 1. Após um incidente significativo, o gatilho de revisão do §7.3 dispara automaticamente: os KPI relevantes surgem, os responsáveis afetados recebem uma tarefa, a análise recebe uma validação. O rasto de auditoria fica completo por predefinição.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), artigo 21.º, n.º 2, alínea f). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), anexo §7. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Lei do BSI (BSIG), §30(2)(6) com a redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
  • BSI IT-Grundschutz, camada DER.1 Deteção de eventos relevantes para a segurança. bsi.bund.de/grundschutz
  • Guia de Implementação Técnica da ENISA para o CIR (UE) 2024/2690 (à data de maio de 2026)
Prove que os seus controlos funcionam, sem a pilha de folhas de cálculo
KPI, responsáveis, cadência e o painel do órgão de gestão numa só plataforma. Gratuito, código aberto, sem lock-in.
Abrir a plataforma gratuita