RACI para a NIS 2 numa organização de 60 pessoas
Ao abrigo do Art. 20 NIS 2, o órgão de gestão é Responsável-final pelas medidas de gestão de risco por lei. A RACI é a forma mais barata de garantir que todos os outros sabem o que isso significa na prática.
Porquê uma RACI para a NIS 2
A maioria das equipas de Mittelstand salta a matriz RACI porque soa a teatro de consultoria. Ao abrigo da NIS 2 não é opcional no espírito. O Art. 20 NIS 2 atribui a Responsabilidade-final ao órgão de gestão pelo nome; a matriz é apenas a forma mais barata de tornar Responsável-final, Responsável, Consultado e Informado legíveis para a equipa.
Uma organização de 60 pessoas não pode dar-se ao luxo de ter um CISO, um DPO, um CCO, um diretor jurídico e um diretor de TI como cinco pessoas diferentes. Uma pessoa cobre normalmente dois ou três papéis, e o órgão de gestão cobre os de responsabilidade diretamente pessoal. A RACI documenta como essa consolidação funciona sem violar a diretiva.
A matriz importa sobretudo em dois momentos: quando um novo gestor entra e pergunta quem é dono de cada obrigação NIS 2, e quando o BSI pede provas e precisa de mostrar que alguém deu a aprovação.
Art. 20(1) NIS 2 (responsabilidade do órgão de gestão)
Os Estados-Membros asseguram que os órgãos de gestão das entidades essenciais e importantes aprovam as medidas de gestão do risco de cibersegurança tomadas por essas entidades para dar cumprimento ao artigo 21.o, supervisionam a sua aplicação e podem ser responsabilizados por infrações dessas entidades a esse artigo.
'Aprovar' e 'supervisionar' são atividades de Responsável-final em termos RACI. O órgão de gestão detém o A, delegue ou não o R. A delegação é permitida, a abdicação não é.
§38 BSIG (formação do órgão de gestão)
Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.
A formação é uma obrigação própria do órgão de gestão, não delegável. A RACI mostra isto como Responsável E Responsável-final na linha do órgão de gestão.
Órgão de gestão
CEO, Geschäftsführer, Vorstand. Responsável-final pelas medidas do Art. 21 por lei. Responsável pela formação do Art. 20, pela aprovação do orçamento, pela aceitação de risco acima do limiar acordado.
Responsável de TI ou CISO
A maioria das entidades de Mittelstand de 60 pessoas não tem um CISO; o responsável de TI acumula. Responsável pela implementação técnica das medidas, pelas operações do dia a dia, pela avaliação técnica de fornecedores.
Encarregado da proteção de dados (DPO)
Já existente para o GDPR. Ao abrigo da NIS 2, costuma ser dono do lado da notificação aos clientes (Art. 23(2) NIS 2) e da sobreposição de violações com o Art. 33 do GDPR. Muitas vezes a tempo parcial ou externo.
RH
Responsável pela formação de pessoal ORP.3, pelos processos de acesso de entrada/mudança/saída, pelo lado dos dados pessoais dos trabalhadores na gestão de fornecedores.
Conformidade ou jurídico
Frequentemente externalizado. Responsável pelas cláusulas contratuais com fornecedores ao abrigo do Art. 21(2)(d), pelas notificações a destinatários do Art. 23(2), pela correspondência regulamentar com o BSI.
| Matriz RACI | Órgão de gestão | Responsável de TI ou CISO | Encarregado da proteção de dados (DPO) | RH | Conformidade ou jurídico |
|---|---|---|---|---|---|
| Registo no BSI ao abrigo do §33 BSIG | A | R | C | I | C |
| Política de segurança da informação ao abrigo do Art. 21(2)(a) | A | R | C | C | C |
| Tratamento de incidentes ao abrigo do Art. 21(2)(b) | A | R | C | I | C |
| Continuidade de negócio ao abrigo do Art. 21(2)(c) | A | R | I | C | I |
| Segurança da cadeia de abastecimento ao abrigo do Art. 21(2)(d) | A | C | C | I | R |
| Formação do órgão de gestão ao abrigo do Art. 20(2) + §38 BSIG | A e R | I | C | C | C |
| Formação de sensibilização de todo o pessoal ao abrigo do Art. 21(2)(g) | A | C | C | R | I |
| Notificação de incidentes ao abrigo do Art. 23 + §32 BSIG | A | R | C | I | C |
| Notificação a destinatários ao abrigo do Art. 23(2) NIS 2 | A | C | R | I | C |
| Atualização do registo ao abrigo do §33(5) BSIG (prazo de 2 semanas) | A | R | I | C | C |
A RACI falha quando as equipas tratam A e R como o mesmo. Ao abrigo do Art. 20 NIS 2, o órgão de gestão detém o A por lei. Não pode delegar o A. Pode e deve delegar o R, muitas vezes ao responsável de TI ou ao DPO, mas a responsabilidade última continua a parar no órgão de gestão.
Consequência prática: quando uma auditoria pergunta 'quem aprovou esta aceitação de risco?', a resposta não pode ser 'o responsável de TI'. Tem de ser um membro do órgão de gestão, pelo nome, com data. O responsável de TI executa; o órgão de gestão assina.
Um acordo com MSP não transfere o A para o MSP. O Art. 20 permanece no seu órgão de gestão. A responsabilidade pela execução pode residir no MSP, mas apenas dentro de um contrato que defina o que ele faz ao abrigo do Art. 21(2)(d).
A matriz RACI ganha uma sexta coluna: MSP externo. Fica como R nas linhas técnicas, como Consultado nas linhas de política. A coluna do Responsável-final nunca sai do seu órgão de gestão.
- Diretiva (UE) 2022/2555 (NIS 2), Art. 20, Art. 21, Art. 23, www.eur-lex.europa.eu
- Lei do Serviço Federal para a Segurança da Informação (BSIG), §32, §33, §38, www.gesetze-im-internet.de
- BSI IT-Grundschutz ORP.3 (sensibilização e formação), www.bsi.bund.de
- Modelos Comuns de Notificação do Grupo de Cooperação (adotados em 26 de maio de 2026) sobre fluxos de comunicação
Esta página fornece orientação estruturada com base em fontes publicamente disponíveis (Diretiva NIS 2, BSIG, BSI IT-Grundschutz, modelos do Grupo de Cooperação). Não constitui aconselhamento jurídico na aceção do §2 RDG. Para a conceção específica da RACI na sua entidade, consulte um consultor qualificado. Estado a 2026-06-04.