Gestão de risco NIS 2 ao abrigo do Artigo 21(2)(a)
A NIS 2 obriga a gerir o risco de cibersegurança de forma estruturada. O Artigo 21(2)(a) é onde reside o dever, o §2 do CIR (UE) 2024/2690 detalha os pormenores, e a sua autoridade nacional (na Alemanha: o BSI) é a quem responde.
A versão curta
A gestão de risco está no topo da lista de dez deveres de cibersegurança do Artigo 21(2). Se a NIS 2 se aplica a si, tem de identificar os riscos para os seus sistemas, avaliar a sua gravidade e agir sobre eles. A mesma regra aplica-se em toda a UE.
O CIR (UE) 2024/2690 preenche os detalhes. O §2 do Anexo diz que o seu quadro de gestão de risco precisa de três peças. Crie um. Verifique que as pessoas o usam de facto. Tenha alguém independente a revê-lo. Esse é o mínimo. Se opera DNS, cloud, um centro de dados, um MSP, serviços de confiança ou qualquer outro setor listado no Anexo do CIR, isto vincula-o diretamente.
A Alemanha passa a mesma regra para a lei nacional através do §30(2)(1) BSIG. A redação é quase palavra por palavra o texto da UE. Esta página percorre a diretiva, o regulamento de execução da UE e a transposição alemã por essa ordem.
Artigo 21(2)(a) da Diretiva NIS 2 (2022/2555)
Políticas de análise de riscos e de segurança dos sistemas de informação.
Este é o ponto (a) na lista das dez medidas de cibersegurança que todas as entidades essenciais e importantes têm de implementar.
CIR (UE) 2024/2690, Anexo §2
Para efeitos do Artigo 21(2)(a) da Diretiva (UE) 2022/2555, as entidades relevantes devem estabelecer um quadro adequado de gestão de risco para identificar e tratar os riscos para a segurança das redes e dos sistemas de informação.
Por ser um regulamento (e não uma diretiva), é lei da UE diretamente vinculativa. Não é necessária transposição nacional. Aplica-se a fornecedores de DNS, registos de TLD, fornecedores de cloud, centros de dados, fornecedores de serviços geridos e aos outros setores listados no seu Anexo.
§30(2)(1) BSIG (Alemanha)
Políticas de análise de riscos e de segurança das tecnologias de informação.
A Alemanha copia o texto da UE quase palavra por palavra. A pequena alteração ('segurança das tecnologias de informação' em vez de 'segurança dos sistemas de informação') é redação, não significado.
Crie um quadro de gestão de risco
Escreva como identifica riscos, como os pontua, o que faz com eles e quais os riscos com que está disposto a viver. Cubra todos os sistemas que importam para o seu negócio. Quem decide quais os riscos que aceita tem de o assinar, em nome próprio.
Verifique que as pessoas o seguem de facto
Reveja com uma cadência regular se a sua equipa faz o que o quadro determina. Se não fizer, registe a falha e corrija-a. Um quadro que ninguém segue não é um quadro.
Tenha um par de olhos independente sobre ele
De tempos a tempos, alguém que não gere o quadro deve analisá-lo. Independente significa estruturalmente separado, não necessariamente externo. A sua equipa de auditoria interna pode fazê-lo. Um consultor contratado pode fazê-lo. O objetivo é um olhar novo.
Abordagem de todos os perigos (Artigo 21(2))
Os ciberataques não são a única coisa na lista. Incêndio, inundação, falha de energia, a saída de uma pessoa-chave, a falência de um fornecedor, tudo isso conta. Se o seu registo de risco só tem malware e phishing, não cumpriu o padrão.
Proporcionalidade (Artigo 21(1), segundo parágrafo)
Ajusta o que faz ao risco que enfrenta de facto. O texto diz que deve ser 'adequado ao risco em causa'. Seis fatores entram na decisão: o seu grau de exposição, a sua dimensão, a probabilidade de um incidente, a gravidade que teria (incluindo o impacto económico e social mais amplo), o estado da arte, e o custo de implementação. Um Stadtwerk de 60 pessoas não tem de gastar como um banco.
BSI / §30 BSIG
O BSI lista as dez medidas do Artigo 21(2) nos seus Infopakete e chama-lhes 'pelo menos as dez medidas seguintes (ver § 30(2) BSIG)'. A transposição alemã segue de perto a redação da diretiva e aponta para o IT-Grundschutz como via prática de implementação.
Orientação Técnica de Implementação da ENISA
A ENISA, a agência de cibersegurança da UE, publica uma Orientação Técnica de Implementação (TIG) que pega no texto abstrato do CIR e mostra o que fazer na prática. Também mapeia os requisitos em normas estabelecidas como a ISO/IEC 27001:2022 e o NIST CSF 2.0, pelo que as certificações existentes lhe dão um avanço.
Leis nacionais de transposição
Cada Estado-Membro tem a sua própria lei de transposição (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). Os deveres são os mesmos porque a diretiva define um padrão único para toda a UE. O que difere: prazos, canais de comunicação, com que agência fala.
Temos seguro cibernético, por isso estamos cobertos.
O BSI é direto: 'Uma transferência genérica de risco ou uma aceitação geral do risco está, por isso, excluída.' O seguro é algo que se acrescenta ao tratamento de risco, não um substituto. Também não pode simplesmente 'aceitar' todos os riscos com que não quer lidar. Esse argumento não sobrevive a uma auditoria.
Podemos fazer a análise de risco sem listar os nossos ativos.
Não pode. O §2.1 do CIR não funciona sem uma lista escrita do que tem de facto. Aplicações, sistemas, instalações, dados, fornecedores. O IT-Grundschutz permite agrupar ativos idênticos (45 portáteis de escritório contam como uma entrada com uma quantidade), por isso a lista não tem de ser enorme. Mas tem de existir.
Decidimos o que aceitamos caso a caso.
Um auditor precisa de ver os critérios que definiu antes do incidente, não depois. Decida com antecedência: a que limiar aceita um risco, a que limiar o corrige, a que limiar o transfere (por exemplo, via seguro). Esses critérios pertencem ao quadro, não a um e-mail feito a posteriori.
O Artigo 21(1) dá-lhe margem com a cláusula de proporcionalidade: o que faz tem de corresponder à sua dimensão, à sua exposição ao risco e ao custo. A própria diretiva não espera que faça tudo com profundidade máxima no primeiro dia.
O que vemos os profissionais fazerem no Mittelstand alemão: primeiro uma avaliação de lacunas, depois as doze a quinze medidas mais urgentes dentro do primeiro ano, e o resto repartido pelo ano ou dois seguintes. Isso aguenta-se ao abrigo do Artigo 21(1) desde que o faseamento esteja escrito, justificado pelo seu quadro de risco e aprovado pelo órgão de direção. Não se aguenta se o faseamento não estiver documentado ou se ignorou os riscos mais elevados.
Construímos o quadro do §2 do CIR na plataforma como um módulo. Regista riscos contra ativos, pontua probabilidade e impacto, encaminha cada um para um plano de tratamento, e capta os critérios de aceitação com uma assinatura. Sem pilha de folhas de cálculo. Sem segunda ferramenta.
A parte de monitorização do §2.2 resulta do uso da plataforma: assinaturas, estado das tarefas, registo de auditoria. Não mantém um registo de conformidade separado. A revisão independente do §2.3 pode correr internamente (um colega que não está na cadeia) ou externamente (um auditor contratado). De uma forma ou de outra, damos-lhes a vista só de leitura de que precisam.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo §1 e §2. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §30 com a redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- BSI Infopakete 'NIS 2 Pflichten'. bsi.bund.de/dok/nis-2-infopakete
- Orientação Técnica de Implementação da ENISA para o CIR (UE) 2024/2690 (à data de maio de 2026)