Art. 21(2)(e) NIS 2 + CIR §6.7 + §6.8

Segurança de rede NIS 2 ao abrigo do Artigo 21(2)(e)

A NIS 2 determina que os seus sistemas de rede e de informação têm de ser seguros ao longo da aquisição, do desenvolvimento e da manutenção. O Artigo 21(2)(e) é onde reside o dever, o CIR (UE) 2024/2690 §6.7 e §6.8 detalham as partes específicas da rede, e o § 30(2)(5) BSIG é a transposição alemã.

Simon OrzelSimon Orzel·

A versão curta

O Artigo 21(2)(e) é o quinto na lista dos dez deveres de cibersegurança da NIS 2. Abrange todo o ciclo de vida dos sistemas de rede e de informação: como os compra, como os constrói e como os mantém a funcionar em segurança. O CIR (UE) 2024/2690 §6 operacionaliza depois isto em várias subsecções. As partes específicas da rede são o §6.7 (segurança de rede) e o §6.8 (segmentação de rede).

O §6.7 é o mais difícil de ler dos dois. Doze ações concretas, desde documentar a arquitetura da rede até manter a higiene de DNS e proteger o correio eletrónico. O §6.8 é o mais simples: divida a sua rede em zonas com base no que cada zona precisa de fazer e mantenha separado o tráfego de produção, de teste e de administração.

A Alemanha passa o mesmo dever para a lei nacional através do § 30(2)(5) BSIG. O BSI aponta para o IT-Grundschutz NET.1 (Netze und Kommunikation) e NET.3.2 (Firewall) como a via prática de implementação. Esta página percorre a diretiva, o CIR e a camada alemã por essa ordem.

A fonte jurídica
Três camadas empilhadas umas sobre as outras. A diretiva. O regulamento de execução. A transposição alemã. As três dizem o mesmo por palavras diferentes.

Artigo 21(2)(e) da Diretiva NIS 2 (2022/2555)

Segurança na aquisição, no desenvolvimento e na manutenção dos sistemas de rede e de informação, incluindo o tratamento e a divulgação de vulnerabilidades.

Ponto (e) da lista do Artigo 21(2). Abrange todo o ciclo de vida da sua rede e sistemas de TI, não apenas o estado em funcionamento. O CIR §6 desdobra depois isso em várias subsecções. O §6.7 e o §6.8 são os específicos da rede.

CIR (UE) 2024/2690, Anexo §6.7 e §6.8

§6.7 Segurança de rede. As entidades em causa devem tomar as medidas adequadas para proteger os seus sistemas de rede e de informação contra ciberameaças. §6.8 Segmentação de rede. As entidades em causa devem segmentar os seus sistemas […] em redes ou zonas em conformidade com os resultados da avaliação de risco […]; devem também segmentar os seus próprios sistemas e redes em relação a sistemas e redes de terceiros.

Por ser um regulamento (e não uma diretiva), é direito da UE diretamente vinculativo. O §6.7 lista doze ações concretas, desde uma arquitetura de rede documentada até à higiene de DNS e de correio eletrónico. O §6.8 lista oito ações de segmentação, incluindo DMZ, separação das redes de administração e separação da produção em relação ao desenvolvimento e teste.

§ 30(2)(5) BSIG (Alemanha)

Medidas de segurança na aquisição, no desenvolvimento e na manutenção de sistemas, componentes e processos de tecnologia da informação, incluindo a gestão e a divulgação de vulnerabilidades.

A Alemanha copia o texto da UE quase palavra por palavra. O BSI aponta depois para o IT-Grundschutz NET.1 (Netze und Kommunikation) e NET.3.2 (Firewall) como a via de implementação reconhecida para o detalhe do §6.7 e §6.8.

As três peças do CIR §6.7 e §6.8
O CIR divide a segurança de rede por duas subsecções. Nós agrupamo-las em três: a documentação e os controlos de acesso do §6.7, a higiene de protocolos e dispositivos do §6.7 e as regras de segmentação do §6.8.
§6.7.2(a)-(f)

Documente a rede, controle o acesso interno

Mantenha um diagrama atual e claro da arquitetura da sua rede. Defina e aplique controlos para proteger os domínios internos contra acessos não autorizados. Bloqueie as ligações e os serviços que não são necessários. Defina controlos separados para o acesso remoto, incluindo o acesso remoto de fornecedores. Não permita que os sistemas de administração sejam usados para outra coisa. Desligue ou proíba explicitamente as ligações e os serviços que não usa.

§6.7.2(g)-(l)

Higiene ao nível de dispositivos, protocolos, DNS e correio eletrónico

Sempre que adequado, restrinja o acesso apenas a dispositivos aprovados. Admita ligações de fornecedores apenas após um pedido de aprovação e apenas durante uma janela de tempo definida (por exemplo, para manutenção). Faça correr a comunicação sistema a sistema sobre canais de confiança, separados de forma lógica, criptográfica ou física, com identificação segura dos pontos finais. Planeie e acelere a migração para protocolos modernos da camada de rede. Adote normas modernas e interoperáveis de correio eletrónico para fechar vulnerabilidades associadas ao email. Aplique práticas comprovadas de segurança de DNS e de higiene de encaminhamento para o tráfego de entrada e de saída.

§6.8

Segmente por risco, separe a produção do teste e da administração

Segmente os seus sistemas em redes ou zonas usando o resultado da avaliação de risco do §2.1, não apenas a conveniência. Tenha em conta as ligações funcionais, lógicas, físicas e de localização entre sistemas de confiança. Conceda o acesso a cada zona com base nos requisitos de segurança dessa zona. Coloque dentro de zonas seguras os sistemas indispensáveis às operações ou à segurança. Execute uma DMZ nas redes de comunicações. Restrinja o acesso às zonas e dentro delas ao que as operações precisam. Mantenha uma rede de administração dedicada aos sistemas, separada da rede operacional. Mantenha os canais de administração de rede separados do restante tráfego. Mantenha os sistemas de produção dos serviços em funcionamento separados do desenvolvimento e do teste, incluindo as respetivas cópias de segurança.

Duas regras que moldam tudo o resto
Duas regras de base sustentam tanto o §6.7 como o §6.8. Determinam se a configuração da sua rede cumpre realmente a norma ou só aparenta cumpri-la.

Segmente por risco, não por conveniência

O CIR §6.8.2 liga a segmentação ao §2.1: a avaliação de risco é o que lhe diz de que zonas precisa e quão rigorosas têm de ser as fronteiras entre elas. Uma rede plana com uma única firewall não é segmentação. Zonas baseadas no que cada parte do negócio realmente faz, e no risco que comporta, é que são. Se não conseguir apontar para a linha da avaliação de risco que justifica uma zona, não tem segmentação na definição da norma.

Documente a arquitetura, mantenha-a atual

O §6.7.2(a) é a primeira ação da lista por um motivo. Tudo o resto no §6.7 e no §6.8 depende de um diagrama de rede documentado e atual. Os auditores olham primeiro para o diagrama. Se não existir, ou se tiver dois anos de desatualização, todos os outros controlos ficam mais difíceis de verificar. Trate o diagrama como um documento vivo, não como um ficheiro Visio feito uma vez.

Como os reguladores nacionais aplicam isto na prática
A UE define a regra. Cada país transpõe-na. A substância é a mesma. A mecânica local difere um pouco.
Alemanha

BSI / § 30(2)(5) BSIG / IT-Grundschutz

O BSI aponta para o IT-Grundschutz NET.1 (Netze und Kommunikation) para a conceção geral de rede e NET.3.2 (Firewall) para os controlos de perímetro e segmentação. Ambos os Bausteine correspondem às ações do §6.7 e §6.8 quase um a um. Se já opera uma rede conforme ao Grundschutz, pode usar a documentação existente como base de evidência.

Toda a UE

ENISA Technical Implementation Guidance

O TIG da ENISA cobre o Art. 21(2)(e) e as subsecções do CIR §6, incluindo a segurança de rede e a segmentação. Mapeia os requisitos para os controlos da ISO/IEC 27001:2022 (A.8.20 Segurança de rede, A.8.21 Segurança dos serviços de rede, A.8.22 Segregação de redes) e para o NIST CSF 2.0 PR.IR (Technology Infrastructure Resilience). Se já opera um destes, pode reutilizar os controlos.

Outros Estados-Membros

Leis nacionais de transposição

Outros Estados-Membros transpõem o Art. 21(2)(e) para as suas próprias leis (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). A substância é idêntica porque o detalhe do CIR §6 vincula diretamente os setores nomeados. O que difere é a agência com quem fala e a orientação nacional de implementação que lê em paralelo com o CIR.

Três armadilhas que vemos constantemente
Três frases que ouvimos em quase todas as chamadas de preparação de auditoria. As três deixam uma lacuna no §6.7 ou no §6.8 que um auditor vai encontrar.

  • Temos uma firewall, por isso estamos cobertos.

    Uma firewall é boa. Não é todo o §6.7. O §6.7.2(a) quer uma arquitetura de rede documentada e atual. O §6.7.2(c) quer ligações e serviços não usados bloqueados por predefinição. O §6.7.2(f) quer serviços não usados explicitamente proibidos ou desativados. O §6.8 quer segmentação por risco. Uma firewall sem estas quatro peças cumpre uma linha do §6.7, não a secção.

  • A produção e o teste estão na mesma rede porque é mais fácil.

    O §6.8.2(h) é explícito: os sistemas de produção dos serviços em funcionamento têm de ser separados do desenvolvimento e do teste, incluindo as respetivas cópias de segurança. Esta é uma das lacunas mais difíceis de corrigir a posteriori e uma das mais fáceis de um auditor detetar. Uma sub-rede partilhada entre produção e teste não sobrevive à revisão do §6.8.

  • Os nossos administradores entram na firewall a partir das estações de trabalho habituais.

    O §6.8.2(f) quer uma rede de administração separada para os sistemas. O §6.8.2(g) quer os canais de administração separados do restante tráfego de rede. Entrar numa firewall a partir de uma estação de trabalho que também corre email e um browser quebra ambos. Use um jump host dedicado ou uma estação de trabalho de acesso privilegiado, numa VLAN de gestão separada.

Como os operadores reais do Mittelstand fazem isto

Uma rede típica de Mittelstand com 60 a 250 pessoas já tem uma firewall e, muitas vezes, uma DMZ. As lacunas do §6.7 e §6.8 que vemos são geralmente as mesmas três: nenhum diagrama de rede documentado, nenhuma rede de administração dedicada, e produção e teste na mesma sub-rede. Cada uma delas é barata de registar uma vez e dolorosa de corrigir mais tarde.

A ordem pragmática: desenhe a rede atual numa página, segmente por aquilo que cada zona realmente faz (escritório, servidor, DMZ, OT ou produção, administração), registe que ligações são permitidas entre zonas e porquê, e puxe o acesso de administração para uma VLAN de gestão separada com um jump host. Isto cobre o §6.7.2(a), o núcleo de segmentação do §6.8 e a separação da rede de administração do §6.8.2(f) e (g). O resto é higiene que decorre daí.

Como tratamos disto na plataforma

O módulo PRO da plataforma guarda o inventário da arquitetura de rede, as regras de segmentação e o registo da rede de administração. Regista cada zona, o que faz, a que se liga e qual a linha da avaliação de risco que a justifica. O diagrama e a lógica de segmentação vivem num só lugar, não divididos entre um ficheiro Visio e uma página de Confluence.

As alterações à rede são registadas à medida que acontecem, para que o §6.7.2(a) se mantenha um documento vivo em vez de um instantâneo. O trilho de auditoria capta quem alterou o quê e quando, que é a evidência que um auditor quer ver quando pergunta se a documentação reflete a realidade.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Artigo 21(2)(e), eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamento de Execução da Comissão (UE) 2024/2690 (CIR), Anexo §6.7 e §6.8, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSI-Gesetz (BSIG), § 30(2)(5) na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
  • BSI IT-Grundschutz, Bausteine NET.1 (Netze und Kommunikation) e NET.3.2 (Firewall), bsi.bund.de/grundschutz
  • ENISA Technical Implementation Guidance para o CIR (UE) 2024/2690 (à data de maio de 2026)
Faça a evidência de segurança de rede sem a pilha de folhas de cálculo
Arquitetura de rede, regras de segmentação e registo da rede de administração numa só plataforma, ligados à sua avaliação de risco. Gratuito, código aberto, sem lock-in.
Abrir a plataforma gratuita