Segurança do pessoal NIS 2 ao abrigo do Artigo 21.o, n.o 2, alínea i)
As pessoas fazem parte da fronteira de segurança. O Artigo 21.o, n.o 2, alínea i), da NIS 2 nomeia a segurança do pessoal, o controlo de acessos e a gestão de ativos num só fôlego. O §10 do CIR (UE) 2024/2690 detalha as quatro peças do pessoal. Na Alemanha, o §30, n.o 2, ponto 9, BSIG carrega o mesmo dever.
A versão curta
A maioria das violações começa com uma pessoa. O Artigo 21.o, n.o 2, alínea i), coloca a segurança do pessoal na lista dos dez deveres de cibersegurança. O texto agrupa três coisas: segurança do pessoal, controlo de acessos e gestão de ativos. Estão ligadas porque um papel decide que acesso uma pessoa precisa e que ativos pode tocar.
O §10 do CIR (UE) 2024/2690 pega na metade do pessoal e divide-a em quatro peças. Assegurar que as pessoas compreendem o seu papel (§10.1). Verificar a fiabilidade onde faz sentido (§10.2). Tratar saídas e mudanças de papel de forma limpa (§10.3). Ter um procedimento disciplinar para violações (§10.4). Não são recursos humanos brandos. É segurança operacional.
A Alemanha transpõe a totalidade do Artigo 21.o, n.o 2, alínea i), através do §30, n.o 2, ponto 9, BSIG, que lista em conjunto a segurança do pessoal, o controlo de acessos e a gestão de ativos. A mesma redação. O mesmo dever. Esta página percorre a diretiva, o regulamento de execução da UE e a transposição alemã, por essa ordem.
Artigo 21.o, n.o 2, alínea i), Diretiva NIS 2 (2022/2555)
Segurança dos recursos humanos, políticas de controlo de acessos e gestão de ativos.
O ponto i) na lista das dez medidas de cibersegurança que toda a entidade essencial e importante tem de implementar. Três deveres num só parágrafo, porque só funcionam em conjunto.
CIR (UE) 2024/2690, Anexo §10
Segurança dos recursos humanos (Artigo 21.o, n.o 2, alínea i), da Diretiva (UE) 2022/2555).
O §10 do CIR divide a metade do pessoal em quatro subsecções. §10.1 papéis e recrutamento, §10.2 verificações de fiabilidade, §10.3 cessação e mudanças de papel, §10.4 procedimento disciplinar. Direito da UE diretamente vinculativo para os prestadores de DNS, prestadores de cloud e de centros de dados, MSP, prestadores de serviços de confiança e os restantes setores nomeados no Anexo.
§30, n.o 2, ponto 9, BSIG (Alemanha)
Segurança dos recursos humanos, conceitos de controlo de acessos e gestão de ativos.
A Alemanha copia o texto da UE. O dever é o mesmo. O BSI sinaliza o IT-Grundschutz, em particular o módulo ORP.2 'Personnel', como o caminho prático para a implementação.
Papéis, sensibilização e recrutamento
Assegure que as pessoas sabem quais são as suas responsabilidades de cibersegurança. O pessoal em geral, os utilizadores com acesso de administrador ou privilegiado, e o órgão de direção em particular. Recrute deliberadamente para os papéis relevantes para a cibersegurança: verificação de referências, validação de qualificações, testes escritos quando adequado.
Verificações de fiabilidade quando adequado
Verificações de antecedentes do pessoal e dos prestadores diretos onde for 'viável e aplicável' e o papel o exigir. Escreva quais os papéis que só podem ser ocupados por pessoas cuja fiabilidade tenha sido verificada. Depende do papel, não é universal. Os papéis de administrador e de acesso privilegiado são candidatos típicos.
Cessação, mudança de papel e disciplina
Quando alguém sai ou muda de papel, os deveres de segurança que sobrevivem ao emprego têm de ficar fixados por escrito no contrato e efetivamente aplicados. As cláusulas de confidencialidade vigoram para além do fim do emprego. E tem de existir um procedimento disciplinar para violações das políticas de segurança.
As verificações de fiabilidade dependem do papel, não são universais
O §10.2 diz verificações de antecedentes 'onde for viável e aplicável' e apenas nos papéis que o exigem. Não rastreia cada operador de caixa. Rastreia a pessoa que detém o administrador de domínio. Os critérios sobre que papéis precisam de uma verificação de fiabilidade pertencem ao papel escrito, antes de contratar, não depois.
A confidencialidade sobrevive à relação de emprego
O §10.3 quer que os deveres de segurança que têm de vigorar depois de alguém sair fiquem fixados por contrato. A confidencialidade é o caso óbvio. Não divulgação de pormenores de incidentes, dados de clientes, arquitetura de sistemas. A cláusula vai para o contrato no primeiro dia, não no último dia de quem sai.
BSI / IT-Grundschutz ORP.2
A base do IT-Grundschutz do BSI cobre a segurança do pessoal no módulo ORP.2 'Personnel'. O ORP.2 percorre recrutamento, sensibilização, formação, procedimentos de saída e pessoal de fornecedores. Na Alemanha também tem de coordenar com o direito do trabalho: limites da AGG aos critérios de rastreio, codeterminação do comité de empresa do BetrVG sobre verificações de antecedentes. Faça a política com o comité de empresa na sala, não contra ele.
Orientação Técnica de Implementação da ENISA
A TIG da ENISA para o CIR (UE) 2024/2690 mapeia o §10 nos controlos do Anexo A da ISO/IEC 27001:2022, A.6.1 a A.6.6 (rastreio, termos e condições de emprego, sensibilização, processo disciplinar, cessação, confidencialidade). Se já corre a ISO 27001, a maior parte do §10 está implementada. A TIG nomeia as provas que os auditores esperam.
Leis nacionais de transposição
Cada Estado-Membro tem a sua própria transposição (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). O dever ao abrigo do Artigo 21.o, n.o 2, alínea i), é o mesmo. O que difere localmente: as restrições do direito do trabalho ao rastreio de antecedentes, que espelham a AGG e o BetrVG alemães na forma, ainda que não no detalhe.
Não fazemos verificações de antecedentes. A proteção de dados proíbe-o.
É demasiado amplo. O §10.2 limita as verificações de fiabilidade aos papéis em que são 'viáveis e aplicáveis'. Para utilizadores de administrador ou de acesso privilegiado, uma verificação de fiabilidade documentada é normalmente válida ao abrigo do GDPR se tiver uma base jurídica clara, um âmbito definido e o comité de empresa a bordo. A tarefa não é 'não rastrear ninguém'. A tarefa é 'escrever quais os papéis que precisam e executá-la para esses papéis'.
Quando alguém sai, recolhemos o cartão e desativamos a conta. Pronto.
Bom para a parte do acesso físico e de TI. Não chega para o §10.3. A diretiva quer os deveres que sobrevivem ao emprego fixados por escrito no contrato. Confidencialidade, não divulgação, devolução de ativos, obrigações de comunicação contínua para incidentes que a pessoa conhece. Uma lista de verificação de saída sem âncora contratual é metade do trabalho.
Não temos um procedimento disciplinar para violações de segurança informática.
Têm, sim, só não o escreveram especificamente para as TI. O §10.4 quer um procedimento disciplinar para violações das políticas de segurança. Não tem de ser um processo separado. Ligue-o ao seu procedimento disciplinar geral de RH: nomeie o gatilho ('violação da política de segurança da informação'), refira a política, documente a via de escalonamento.
A maioria das empresas do Mittelstand já faz metade do §10 sem lhe chamar NIS 2. Os RH fazem verificação de referências na contratação. Há uma lista de verificação de saída. As cláusulas de confidencialidade estão no contrato de trabalho padrão. A formação de sensibilização acontece uma vez por ano. Isto cobre o grosso do §10.1 e uma fatia do §10.3.
As lacunas do §10 que vemos são mais estreitas do que as pessoas pensam. Uma: cláusulas contratuais de confidencialidade que cobrem explicitamente obrigações relacionadas com as TI e sobrevivem ao fim do emprego, não apenas a linguagem genérica de NDA. Duas: uma lista escrita de papéis em que a verificação de fiabilidade é obrigatória antes de contratar, com os critérios detalhados. Três: um procedimento disciplinar explícito para violações de segurança informática, mesmo que seja um parágrafo com referência cruzada ao procedimento geral de RH. Feche essas três, e o §10 está pronto.
A plataforma capta a prova do §10 nos módulos de RH e de ACC. As atribuições de papéis vivem num só lugar com a pessoa, o papel, o estado da verificação de fiabilidade e a data da última formação de sensibilização. A lista de verificação de saída é um fluxo de trabalho com aprovação, não um documento Word.
O registo disciplinar fica na trilha de auditoria. Quando uma violação de política é registada, o procedimento que dispara é documentado, os passos dados são aprovados por assinatura e o encerramento fica visível. Sem folha de cálculo. Sem segunda ferramenta. A mesma base de prova que o seu auditor vai consultar.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21.o, n.o 2, alínea i). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução da Comissão (UE) 2024/2690 (CIR), Anexo §10. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §30, n.o 2, ponto 9, conforme alterada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- BSI IT-Grundschutz, módulo ORP.2 'Personnel'. bsi.bund.de/grundschutz
- Orientação Técnica de Implementação da ENISA para o CIR (UE) 2024/2690 (em maio de 2026)