Roteiro NIS2 para diretores-gerais

Verifique os limiares (trabalhadores, volume de negócios, setor) para confirmar se a sua entidade é classificada como 'essencial' ou 'importante'.

Base jurídica:

§28 BSIG

Responsável:

Diretor-geral

Esforço:

2 minutos

Prazo:

agora

Regista-se junto da autoridade da NIS2 de cada Estado-Membro da UE em que opera: não apenas a Alemanha. 'Operar em' significa estabelecimento físico: a sua própria empresa, uma sucursal, um escritório ou os seus próprios trabalhadores presentes nesse país. As vendas transfronteiriças por si só não contam. Exemplo: uma GmbH alemã com um escritório em Viena regista-se junto do BSI (DE) e da NIS-Stelle (AT).

Base jurídica:

NIS2 Art. 27.o · §33 BSIG (DE)

Responsável:

O responsável de TI submete, o diretor-geral assina

Esforço:

cerca de 1 hora por país + configuração da identidade nacional (por exemplo, ELSTER na DE: 5 a 10 dias úteis)

Prazo:

Aplicam-se prazos nacionais: DE: 06.03.2026 ultrapassado; a obrigação mantém-se

Lista completa dos sistemas, aplicações e dados de que as suas operações dependem: e os riscos associados a cada um. Ambos são a base de todas as outras obrigações da NIS2 e a primeira coisa que um auditor pede para ver. Na plataforma NISD2, o seu responsável de TI e o CISO constroem e mantêm o inventário e o registo de riscos, e o fluxo de comunicação de incidentes (24h / 72h / 1 mês ao abrigo do §32 BSIG) é integrado automaticamente.

Base jurídica:

§30(2) BSIG · NIS2 Art. 21.o, n.o 2, alínea a)

Responsável:

O responsável de TI produz, o diretor-geral assina (§38(1) BSIG)

Esforço:

cerca de 1 dia na primeira passagem · mantido continuamente, aprovado anualmente

Prazo:

1.o trimestre

Inventário dos seus fornecedores diretos, associado ao seu registo de ativos (que fornecedor opera que sistema). Gestão contínua de riscos de cibersegurança: não um questionário único: postura de segurança por fornecedor, notificações de incidentes recebidas através do respetivo portal de fornecedores, pontuação de risco. A plataforma inclui o questionário padrão ancorado na NIS2 (código aberto, MIT + CC BY 4.0) e mantém o inventário.

Base jurídica:

§30(2)(4) BSIG · NIS2 Art. 21.o, n.o 2, alínea d)

Responsável:

Compras / TI produz, o diretor-geral assina

Esforço:

cerca de meio dia na primeira passagem · mantido continuamente

Prazo:

1.o a 2.o trimestre

As dez áreas de medida ao abrigo do Art. 21.o da NIS2: tratamento de incidentes, continuidade do negócio (cópias de segurança, recuperação), formação, controlo de acesso, criptografia, gestão de vulnerabilidades e de correções, segurança de rede, monitorização, contratos com fornecedores, comunicações. A plataforma cobre todas as dez com modelos, captura automática de provas e um registo de auditoria completo; assina o resumo anual.

Base jurídica:

§30(2) n.os 1 a 10 BSIG · NIS2 Art. 21.o

Responsável:

O responsável de TI / CISO implementa, o diretor-geral aprova anualmente

Esforço:

contínuo, a par do trabalho normal de TI

Prazo:

a partir do 2.o trimestre