Art. 21(1) NIS 2

Seguro cibernético ao abrigo da NIS 2

O seguro pode pagar sinistros. Não executa as medidas técnicas e organizacionais que o Artigo 21 NIS 2 exige.

Simon OrzelSimon Orzel·

Visão geral

O seguro cibernético e a NIS 2 situam-se em camadas diferentes. Uma apólice cibernética é um contrato privado entre uma entidade e um segurador que paga custos definidos após um incidente. A NIS 2 é direito público: o Artigo 21 estabelece as medidas técnicas e organizacionais que as entidades essenciais e importantes têm de implementar, o Artigo 23 estabelece o dever de notificação, o Artigo 27 estabelece o dever de registo. Nenhum destes deveres passa para o segurador quando se assina uma apólice.

O BSI afirma-o diretamente. O seu pacote informativo sobre a NIS 2 descreve a transferência total de risco através de uma apólice de seguro como não disponível no âmbito do regime de gestão de risco da diretiva. O Artigo 21(1) NIS 2 exige medidas adequadas e proporcionadas, tendo em conta o estado da técnica e o custo de implementação. Uma apólice assinada não é nem uma medida nem um substituto de uma.

A questão prática para um operador no âmbito do Artigo 21 não é, por isso, se deve ter seguro cibernético, mas como a apólice interage com os controlos NIS 2 subjacentes. A maioria das apólices exige que esses controlos estejam em vigor como condição prévia para a cobertura. Os mesmos controlos são os que o BSI e os supervisores nacionais analisam durante uma auditoria NIS 2.

Âncora jurídica
O Artigo 21 NIS 2, o Regulamento de Execução da Comissão e a transposição alemã. O quadro de gestão de risco é definido ao nível da UE; a lei do Estado-Membro transpõe-no.

Artigo 21(1) NIS 2

Os Estados-Membros asseguram que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizacionais adequadas e proporcionadas para gerir os riscos para a segurança dos sistemas de rede e de informação que essas entidades utilizam nas suas operações ou na prestação dos seus serviços, e para prevenir ou minimizar o impacto dos incidentes nos destinatários dos seus serviços e noutros serviços. Tendo em conta o estado da técnica e, se aplicável, as normas europeias e internacionais pertinentes, bem como o custo de implementação, as medidas referidas no primeiro parágrafo asseguram um nível de segurança dos sistemas de rede e de informação adequado aos riscos existentes.

Fonte: Diretiva (UE) 2022/2555, Artigo 21(1). Os pontos de referência são o estado da técnica, as normas pertinentes e o custo de implementação. O seguro não consta da lista.

CIR 2024/2690 Anexo, ponto 2

A política de segurança dos sistemas de rede e de informação estabelece a abordagem das entidades em causa à gestão da segurança dos seus sistemas de rede e de informação. O quadro de gestão de risco referido no ponto 2.1 identifica os riscos para a segurança dos sistemas de rede e de informação e prevê a gestão desses riscos.

Fonte: Regulamento de Execução da Comissão (UE) 2024/2690, Anexo. Os requisitos detalhados de gestão de risco para as entidades de infraestrutura digital estão organizados em torno de um quadro de gestão de risco com medidas, não em torno da transferência financeira de risco.

§ 30 BSIG (transposição alemã)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.

Fonte: § 30 (1) BSIG. A transposição alemã espelha o Artigo 21 NIS 2: medidas técnicas e organizacionais pela própria entidade, num padrão de proporcionalidade. O seguro não é nomeado como um dos meios.

O que cobre uma apólice cibernética típica
As apólices cibernéticas no mercado alemão não são normalizadas, mas as rubricas de cobertura são em geral semelhantes. As descrições abaixo são ilustrativas de termos comuns, não um substituto para a leitura de uma apólice específica.
Cobertura típica

Custos do incidente e responsabilidade perante terceiros

As rubricas de cobertura comuns incluem os custos de resposta a incidentes (forense, jurídico, comunicação), as perdas por interrupção de negócio associadas a um evento cibernético coberto, os custos de recuperação de dados e a responsabilidade perante terceiros por reclamações de clientes ou titulares de dados. Algumas apólices estendem-se a pagamentos de resgate em jurisdições onde tal é lícito, sujeitos a triagem de sanções.

Exclusões típicas

Coimas, conhecimento prévio, guerra e infraestrutura

As coimas regulamentares são insuscetíveis de seguro em várias jurisdições da UE por razões de ordem pública. As exclusões comuns incluem também vulnerabilidades conhecidas não corrigidas, sistemas sem correções abaixo dos níveis contratualmente acordados, atos de guerra e ataques patrocinados por Estados (a redação do mercado Lloyd's é amplamente adotada) e falhas de infraestrutura pública fora do controlo da entidade.

Interface NIS 2

Condições prévias e garantias

A maioria dos seguradores cibernéticos exige que a entidade segurada mantenha uma base definida: autenticação multifator, cópia de segurança, aplicação de correções, formação de sensibilização, plano de resposta a incidentes. São os mesmos elementos cobertos pelo Artigo 21(2) NIS 2 e pelo CIR. Uma apólice pode caducar ou pagar montantes reduzidos se os controlos da garantia não estavam em vigor no momento do sinistro.

Dois princípios que não se movem
Haja ou não uma apólice cibernética, dois princípios estruturais do quadro NIS 2 permanecem com a entidade.

O dever do Artigo 21 não é transferível

O Artigo 21 dirige-se à entidade. As medidas, a documentação e a supervisão do órgão de gestão ao abrigo do Artigo 20 residem dentro da entidade. Um contrato de seguro é um acordo financeiro posterior ao facto; não desloca a obrigação legal de agir antes do facto. O BSI descreve isto no seu pacote informativo como excluindo a transferência total de risco.

A proporcionalidade decide as medidas, não o prémio

O Artigo 21(1) nomeia três pontos de referência: o estado da técnica, as normas pertinentes e o custo de implementação. O teste de proporcionalidade aplica-se às próprias medidas técnicas e organizacionais. Um prémio de seguro mais elevado não altera a avaliação de proporcionalidade; o operador continua a ter de demonstrar que as medidas são adequadas aos riscos que a entidade efetivamente comporta.

Perspetiva nacional e de supervisão
Como as autoridades nacionais e os organismos do setor descrevem o papel do seguro cibernético a par das obrigações NIS 2.
DE

BSI, Bundesamt für Sicherheit in der Informationstechnik

O pacote informativo do BSI sobre a transposição da NIS 2 afirma que o dever de gestão de risco não pode ser cumprido transferindo o risco por inteiro para um segurador. A linguagem usada é a de que a transferência total de risco está excluída. A posição alinha o supervisor alemão com a estrutura do Artigo 21: espera-se que uma entidade implemente medidas, não que pague para as contornar.

EU

ENISA

A orientação técnica de implementação da NIS 2 da ENISA está construída em torno das medidas enumeradas no Artigo 21(2) e no anexo do CIR. A orientação publicada pela agência não trata o seguro cibernético como uma das medidas; surge, quando surge, como parte das opções mais amplas de tratamento de risco de uma entidade, ao abrigo de um quadro de gestão de risco.

DE

GDV, Gesamtverband der Deutschen Versicherungswirtschaft

A associação alemã de seguros publica redações-modelo do setor para cobertura cibernética (AVB Cyber) e estudos de mercado. O material público da associação descreve o seguro cibernético como um elemento de uma abordagem mais ampla de gestão de risco e aponta para uma base de controlos técnicos como condição prévia habitual de subscrição.

Mitos comuns
Três afirmações que surgem com regularidade em conversas entre operadores, corretores e consultores. A coluna da realidade remete para o Artigo 21 NIS 2, o CIR e a posição do BSI acima.

  • Mito: Uma apólice cibernética transfere a obrigação NIS 2 para o segurador.

    As obrigações NIS 2 ao abrigo dos Artigos 20, 21, 23 e 27 dirigem-se à entidade. O segurador é uma contraparte ao abrigo de um contrato privado, não uma entidade regulada que assume os deveres NIS 2 do operador. O BSI descreve a transferência total de risco como excluída no âmbito do regime da diretiva.

  • Mito: As coimas regulamentares estão cobertas pela apólice.

    As coimas regulamentares ao abrigo do § 65 BSIG (a transposição alemã das coimas administrativas da NIS 2 ao abrigo dos Artigos 34 e 36) são amplamente tratadas como insuscetíveis de seguro por razões de ordem pública nas jurisdições da UE. As redações padrão excluem-nas. Os custos de defesa são uma questão separada e estão frequentemente cobertos, sujeitos a limites.

  • Mito: O prémio é pago, por isso a indemnização é automática.

    A subscrição cibernética está condicionada a declarações de garantia sobre os controlos da entidade. Se os controlos da garantia (autenticação multifator, níveis de aplicação de correções, regime de cópias de segurança, plano de resposta a incidentes) não estavam em vigor no momento do sinistro, um segurador pode reduzir ou recusar a indemnização. Estes controlos de garantia acompanham as medidas do Artigo 21(2) NIS 2.

Perspetiva do profissional

Os corretores e os gestores de risco descrevem habitualmente o seguro cibernético como uma camada sobre um programa de segurança que funciona, não como um substituto dele. A ordem que descrevem é: implementar primeiro as medidas do Artigo 21, documentá-las, depois ir ao mercado. Os seguradores pedem a mesma documentação que uma auditoria NIS 2 pede. Inventário de ativos, registo de fornecedores, base de aplicação de correções, resultados de testes de cópias de segurança, plano de resposta a incidentes, registos de formação de sensibilização.

Da perspetiva da NIS 2, a questão relevante para um operador é, por isso, prática. A entidade tem evidência das medidas do Artigo 21(2)? As garantias contratuais da apólice cibernética são coerentes com a postura real do operador? Se as duas divergem, a lacuna aparece duas vezes: uma com o supervisor numa auditoria NIS 2, outra com o segurador num sinistro.

Como o NISD2 se relaciona com isto

O NISD2 organiza a evidência da entidade em torno das áreas de medidas do Artigo 21(2) e do anexo do CIR. O inventário de ativos, o registo de fornecedores, o plano de tratamento de risco, o plano de resposta a incidentes, os registos de formação de sensibilização e a aprovação da gestão residem num único registo de obrigações. O mesmo dossiê de evidência é o que os seguradores e os supervisores analisam.

A plataforma não vende, não intermedeia nem recomenda produtos de seguro. Documenta as medidas NIS 2 subjacentes, para que a questão da cobertura assente sobre uma postura definida, e não no lugar dela.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Artigo 21, https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamento de Execução da Comissão (UE) 2024/2690, Anexo, https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), § 30 e § 65, https://www.gesetze-im-internet.de/bsig_2009/
  • BSI, NIS-2 Informationspakete und Hintergrund, https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
  • ENISA, NIS 2 Technical Implementation Guidance, https://www.enisa.europa.eu/publications
  • GDV, Cyber-Versicherung und unverbindliche Musterbedingungen (AVB Cyber), https://www.gdv.de/
Verifique primeiro se a entidade está no âmbito da NIS 2
As questões de cobertura assentam sobre uma obrigação do Artigo 21. A verificação de aplicabilidade confirma se a entidade cai no âmbito da NIS 2 e quais as obrigações que se aplicam.
Realizar a verificação de aplicabilidade