§32 BSIG

Manual de comunicação de incidentes NIS2

O §32 BSIG transpõe o artigo 23.o, n.o 4, da NIS 2: três relatórios obrigatórios com prazos fixos (24h, 72h, 1 mês) mais dois relatórios condicionais (a pedido, se o incidente ainda estiver em curso). Falhar um prazo é uma infração separada, independente do próprio incidente.

Simon OrzelSimon Orzel·Laufend geprüft

Comunicação de incidentes ao abrigo da NIS2

O §32 BSIG aplica o artigo 23.o da Diretiva NIS2. Estabelece um regime obrigatório de comunicação de incidentes de segurança significativos. Todas as entidades classificadas como entidade essencial ou entidade importante têm de comunicar ao BSI quando um incidente cumpre os critérios de significância. A cascata tem três relatórios obrigatórios com prazos fixos e dois relatórios condicionais, desencadeados a pedido ou por um incidente em curso. A obrigação não pode ser delegada num prestador de serviços de segurança geridos; a própria entidade é responsável pela comunicação atempada.

Os prazos de comunicação são rigorosos e começam quando a entidade toma conhecimento do incidente, não quando a investigação está concluída. Esta é uma distinção crítica: o alerta precoce de 24 horas tem de ser apresentado com base no conhecimento inicial, mesmo que o âmbito e o impacto totais sejam desconhecidos. Esperar por informação completa antes de comunicar é, em si, uma infração.

Cascata de comunicação nos termos do artigo 23.o, n.o 4, da NIS 2
Três fases obrigatórias com prazos fixos a partir do momento do conhecimento, mais até dois relatórios condicionais (intermédio a pedido da autoridade, relatório de progresso se o incidente ainda estiver em curso no dia em que o relatório final é devido).
1

Alerta precoce (Frühwarnung)

Dentro de 24 horas

A notificação inicial ao BSI de que foi detetado um incidente potencialmente significativo. Tem de ser apresentada dentro de 24 horas após o conhecimento do incidente. O objetivo é permitir ao BSI avaliar o impacto intersetorial e emitir alertas a outras entidades, se necessário.

  • Confirmação de que ocorreu ou se suspeita de um incidente significativo
  • Se se suspeita que o incidente foi causado por atos ilícitos ou maliciosos
  • Se o incidente pode ter impacto transfronteiriço
  • Nome da entidade, setor e dados de contacto para seguimento
2

Notificação de incidente (Meldung)

Dentro de 72 horas

Uma notificação mais detalhada que atualiza o alerta precoce com informação adicional recolhida durante a resposta inicial. Tem de ser apresentada dentro de 72 horas após o conhecimento. Atualiza o BSI sobre a natureza, gravidade e avaliação de impacto inicial do incidente.

  • Avaliação atualizada da gravidade e do impacto do incidente
  • Indicadores de comprometimento (IoC) quando disponíveis
  • Avaliação inicial da natureza e da causa do incidente
  • Medidas tomadas ou planeadas para mitigar o incidente
  • Avaliação de impacto transfronteiriço, se aplicável
3

Relatório intermédio (Zwischenbericht)

A pedido

Apresentado a pedido do BSI entre a notificação de 72 horas e o relatório final. Atualização do estado atual do tratamento do incidente. Não é automático; é desencadeado pela autoridade.

  • Estado atual da contenção e da remediação
  • Novas constatações sobre causa, âmbito ou impacto
  • Ajustes às contramedidas
  • Avaliação de danos atualizada
4

Relatório final (Abschlussbericht)

1 mês após a notificação de 72h

Um relatório final abrangente apresentado no prazo de um mês após a notificação de incidente de 72 horas. Documentação completa do incidente e da resposta.

  • Descrição detalhada do incidente, incluindo gravidade e impacto
  • Análise da causa raiz. O tipo de ameaça ou vulnerabilidade que causou o incidente
  • Medidas aplicadas e em curso para mitigar o incidente e os seus efeitos
  • Impacto transfronteiriço, se aplicável
  • Lições aprendidas e ações corretivas planeadas ou implementadas
5

Relatório de progresso (Verlaufsbericht)

Se o incidente ainda estiver em curso

Se o incidente ainda não estiver resolvido na data em que o relatório final é devido, o relatório de progresso substitui-o. O relatório final subsequente é então devido no prazo de um mês após a resolução do incidente.

  • Estado atual, dado que o incidente ainda está em curso
  • Medidas de contenção implementadas até ao momento
  • Duração prevista até à resolução do incidente, quando previsível
  • Plano para o eventual relatório final após a resolução do incidente
O que torna um incidente «significativo»
Nem todos os eventos de segurança desencadeiam a obrigação de comunicação do §32 BSIG. Um incidente é significativo se cumprir um ou mais dos seguintes critérios, conforme definidos no artigo 23.o, n.o 3, da Diretiva NIS2 e especificados mais detalhadamente no artigo 3.o do CIR 2024/2690.

Perturbação do serviço

O incidente causou ou é suscetível de causar uma perturbação operacional grave dos serviços prestados pela entidade. Para prestadores de DNS e registos TLD, o CIR especifica limiares que incluem a disponibilidade abaixo de 99,9 % ou a entrega de respostas DNS incorretas.

Perda financeira

O incidente causou ou é suscetível de causar perda financeira à entidade. O artigo 3.o do CIR 2024/2690 especifica um limiar de 500 000 EUR ou 5 % do volume de negócios anual, consoante o que for inferior. Inclui custos diretos (remediação, perícia forense) e custos indiretos (perda de receita, penalidades contratuais).

Impacto noutras entidades

O incidente causou ou poderia causar danos consideráveis a outras pessoas singulares ou coletivas. Inclui incidentes que se propagam pelas cadeias de abastecimento, afetam infraestruturas partilhadas ou expõem dados pertencentes a terceiros.

Violação de dados

O incidente envolve acesso não autorizado a dados, destruição ou alteração de dados. Note que a comunicação de incidentes NIS2 ao abrigo do §32 BSIG é separada e adicional à notificação de violação ao abrigo do RGPD nos termos dos artigos 33.o/34.o do RGPD. Ambas as obrigações podem aplicar-se em simultâneo.

Interrupção prolongada

O incidente causou ou prevê-se que cause uma perturbação prolongada dos serviços da entidade. O limiar de duração não está fixado na Diretiva, mas o CIR 2024/2690 fornece critérios específicos da entidade. Presume-se que interrupções prolongadas que afetam serviços críticos são significativas.

Campos de comunicação obrigatórios
O portal de comunicação do BSI exige informação estruturada. Ter estes campos preparados com antecedência reduz significativamente o risco de falhar o prazo de 24 horas.

  • Identificação da entidade

    Nome da empresa, número de registo BSI, classificação setorial, código NACE e ponto de contacto designado para a coordenação de incidentes. Esta informação deve estar pré-configurada no seu plano de resposta a incidentes, não pesquisada durante uma crise.

  • Natureza e classificação do incidente

    Tipo de incidente (ransomware, DDoS, violação de dados, ameaça interna, comprometimento da cadeia de abastecimento, etc.), sistemas e serviços afetados, cronologia dos eventos desde a deteção até ao estado atual, e classificação de gravidade inicial.

  • Avaliação de impacto

    Número de utilizadores ou clientes afetados, serviços perturbados, impacto financeiro estimado, categorias de dados afetadas (se as houver) e duração da perturbação. Para o alerta precoce, são aceitáveis estimativas. A precisão vem na notificação de 72 horas e no relatório final.

  • Impacto transfronteiriço

    Se o incidente afeta ou poderia afetar entidades ou cidadãos noutros Estados-Membros da UE. Isto desencadeia a partilha de informação entre os CSIRT nacionais e pode envolver a coordenação da ENISA. Tem de ser avaliado tanto no alerta precoce como nas notificações subsequentes.

  • Medidas de resposta

    Ações tomadas para conter, erradicar e recuperar do incidente. Inclui medidas técnicas (isolamento, aplicação de correções, rotação de credenciais), medidas de comunicação (notificação de clientes, informação das partes interessadas) e medidas organizacionais (ativação da equipa de crise, recurso a apoio externo).

Onde e como comunicar
A comunicação faz-se exclusivamente através do portal digital de comunicação do BSI.

Todos os relatórios de incidentes ao abrigo do §32 BSIG têm de ser apresentados através do portal de comunicação oficial do BSI. O BSI não aceita relatórios por correio eletrónico, telefone ou carta em substituição da apresentação pelo portal. Ainda assim, o contacto telefónico com a equipa de resposta a incidentes do BSI (CERT-Bund) é adequado para coordenar a resposta a incidentes críticos em paralelo com o relatório formal.

O portal de comunicação está disponível no sítio do BSI, na secção NIS2. O acesso exige registo prévio ao abrigo do §33 BSIG, o que significa que as entidades não registadas enfrentam um problema agravado: não podem apresentar relatórios de incidentes pelo canal adequado porque não concluíram o registo prévio exigido. Esta é mais uma razão pela qual o registo no BSI não pode ser adiado.

Sanções por falhas de comunicação
A não comunicação é penalizada independentemente do próprio incidente. Uma empresa que sofre um incidente e o trata bem tecnicamente mas não o comunica enfrenta uma ação de execução separada.

Até 10 000 000 EUR ou 2 % do volume de negócios

Entidades essenciais

O valor mais elevado entre 10 milhões de EUR ou 2 % do volume de negócios anual mundial do exercício anterior. Aplica-se às entidades essenciais nos setores enumerados no anexo 1 do BSIG (energia, transportes, banca, saúde, água, infraestrutura digital, espaço, administração pública).

Até 7 000 000 EUR ou 1,4 % do volume de negócios

Entidades importantes

O valor mais elevado entre 7 milhões de EUR ou 1,4 % do volume de negócios anual mundial. Aplica-se às entidades importantes nos setores enumerados no anexo 2 do BSIG (serviços postais, gestão de resíduos, produtos químicos, alimentação, indústria transformadora, prestadores digitais, investigação).

Responsabilidade pessoal. §38 BSIG

Direção (Geschäftsleitung)

Se a direção tinha conhecimento de um incidente e não assegurou a comunicação atempada, isso constitui uma violação do dever de supervisão ao abrigo do §38(1) BSIG. A direção pode ser responsabilizada pessoalmente perante a empresa pelos danos resultantes da falha de comunicação, separadamente das sanções impostas à própria empresa.

Fontes
  • Diretiva NIS2 (UE) 2022/2555. Artigo 23.o (Obrigações de comunicação)
  • BSIG. §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG. §38 (Billigung, Überwachung, Schulung. Geschäftsleitung)
  • BSIG. §65 (Bußgeldvorschriften)
  • CIR (UE) 2024/2690. Artigo 3.o (Significância dos incidentes), artigo 4.o (Incidentes recorrentes)
  • ENISA. Orientações sobre as obrigações de comunicação de incidentes NIS2 e modelos (2024)
  • BSI. Documentação e FAQ do portal de comunicação NIS2
Esteja pronto a comunicar antes de o incidente ocorrer
A plataforma pré-configura os seus campos de comunicação do BSI, mantém um registo de incidentes com fluxos de trabalho de classificação, e acompanha os prazos de 24h/72h/1 mês. Assim cumpre cada obrigação sob pressão.
Iniciar o seu processo de conformidade NIS2