Requisitos NIS2
O que as entidades abrangidas têm de implementar: 10 medidas obrigatórias de cibersegurança, uma cascata rigorosa de notificação de incidentes e uma conformidade baseada em provas.
10 medidas obrigatórias de gestão de risco (Secção 30 BSIG / Artigo 21.o, n.o 2, NIS-2)
Todas as entidades essenciais e importantes têm de implementar estas medidas. Não há período de transição. Estas obrigações aplicam-se desde 6 de dezembro de 2025 na Alemanha.
Análise de risco e políticas de segurança da informação
Estabelecer e manter políticas de análise de risco e de segurança dos sistemas de informação. Realizar avaliações de risco regulares que abranjam todos os sistemas e processos críticos.
Tratamento de incidentes
Implementar procedimentos de prevenção, deteção, identificação, contenção, mitigação e resposta a incidentes de segurança.
Continuidade das atividades e gestão de crises
Gestão de cópias de segurança, planeamento de recuperação após desastre e procedimentos de gestão de crises para assegurar a resiliência operacional.
Segurança da cadeia de abastecimento
Medidas de segurança para as relações com fornecedores diretos e prestadores de serviços. Inclui a avaliação das práticas de cibersegurança de todos os fornecedores e requisitos de segurança contratuais.
Segurança na aquisição, desenvolvimento e manutenção
Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação. Inclui o tratamento de vulnerabilidades e procedimentos de divulgação.
Avaliação da eficácia
Políticas e procedimentos para avaliar a eficácia das medidas de gestão de risco de cibersegurança. Testes e avaliação regulares dos controlos de segurança.
Formação em cibersegurança e higiene cibernética
Práticas básicas de formação em cibersegurança para todos os colaboradores. Programas de sensibilização que abrangem phishing, engenharia social, gestão de palavras-passe e práticas informáticas seguras.
Criptografia e cifragem
Políticas e procedimentos relativos ao uso de criptografia e, quando adequado, de cifragem. Abrange dados em repouso, dados em trânsito e a gestão de chaves.
Segurança do pessoal, controlo de acessos e gestão de ativos
Políticas de segurança de recursos humanos, mecanismos de controlo de acessos e procedimentos de gestão de ativos. Inclui entrada e saída de colaboradores, acesso de privilégio mínimo e inventários de ativos.
Autenticação multifator e comunicações seguras
Uso de MFA ou de soluções de autenticação contínua. Comunicações seguras de voz, vídeo e texto. Sistemas seguros de comunicação de emergência dentro da entidade.
Aviso prévio (Frühwarnung)
Comunicar se há suspeita de que o incidente foi causado por atos ilícitos ou maliciosos, e se poderia ter impacto transfronteiriço.
Notificação atualizada (Aktualisierte Meldung)
Avaliação da gravidade, avaliação do impacto, indicadores de comprometimento e uma primeira análise da causa raiz, se disponível.
Relatório final (Abschlussmeldung)
Descrição detalhada do incidente, causa raiz confirmada, medidas de mitigação adotadas, medidas preventivas implementadas e avaliação do impacto transfronteiriço.
O que conta como incidente "significativo"?
Um incidente de segurança qualifica-se como significativo quando causou ou é suscetível de causar uma perturbação operacional grave ou perdas financeiras para a entidade.
Também se qualifica quando afetou ou é suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. Para os 11 tipos de entidades digitais abrangidos pelo CIR 2024/2690 (DNS, cloud, MSP, MSSP, mercados em linha, motores de pesquisa, redes sociais, serviços de confiança, etc.) aplicam-se limiares quantitativos adicionais do Artigo 3.o do CIR (perda financeira superior a 500 000 euros ou 5% do volume de negócios anual, exfiltração de segredos comerciais, morte ou dano grave para a saúde, acesso não autorizado malicioso bem-sucedido), além de critérios específicos por setor nos Artigos 5.o a 14.o (por exemplo, interrupção de DNS superior a 30 minutos, ou interrupção de cloud com mais de 5% dos utilizadores afetados).
Requisitos de auditoria e de prova
Têm de demonstrar conformidade através de auditorias, inspeções ou certificações a cada 3 anos. Têm de incluir sistemas de deteção de ataques nas suas medidas. Prazo de prova inicial definido pelo BSI no momento do registo (~2028).
Sem ciclo de auditoria obrigatório regular, mas têm de manter documentação completa. O BSI pode realizar verificações pontuais proativas e exigir provas a qualquer momento, com base numa seleção orientada pelo risco.
Têm de documentar a implementação de todas as medidas exigidas. As inspeções do BSI são apenas reativas, despoletadas por incidentes ou por suspeita fundamentada de não conformidade.
- Relatórios de auditoria interna ou externa
- Certificações (ISO 27001, BSI IT-Grundschutz, etc.)
- Documentação completa das avaliações de risco, das medidas implementadas e das revisões de eficácia
A certificação ISO 27001 ou IT-Grundschutz apoia mas não garante a conformidade NIS2: os requisitos do BSIG podem ir além do âmbito de uma certificação padrão.
- Avaliar as práticas de cibersegurança de todos os fornecedores diretos e prestadores de serviços
- Incluir requisitos de cibersegurança nos contratos com fornecedores
- Acompanhar e rever a postura de segurança dos fornecedores de forma contínua
- Coordenar a divulgação de vulnerabilidades com os fornecedores
- Ter em conta a qualidade global dos produtos e das práticas dos fornecedores, incluindo os seus procedimentos de desenvolvimento seguro