Sou um fabricante de máquinas ao abrigo do NIS 2?
O setor 5 do Anexo II da Diretiva NIS 2 traz a indústria transformadora para o âmbito. Os construtores de máquinas situam-se na subcategoria (d), divisão NACE C28. Se tem 50 trabalhadores ou 10 milhões de euros de volume de negócios, é uma entidade importante com os mesmos dez deveres do Artigo 21.º(2) que as grandes.
A versão curta
O NIS 2 cobre a indústria transformadora como setor importante. O setor 5 do Anexo II nomeia seis subcategorias da indústria transformadora. O fabrico de máquinas e equipamento, divisão NACE C28, é uma delas. Se é isso que faz e está acima do limiar de dimensão, o NIS 2 aplica-se-lhe.
O teste de dimensão consta do Artigo 2.º(1) da Diretiva. 50 ou mais trabalhadores, ou 10 milhões de euros de volume de negócios e total do balanço. Atinja um desses e está dentro. Abaixo de ambos, fica fora do âmbito por defeito. A Alemanha copia o mesmo limiar para o §28 BSIG.
O que torna as máquinas especiais é a pegada de OT. A sua célula de produção tem PLCs, SCADA, HMIs, controladores de robôs, e um ERP e um MES por cima. O Artigo 21.º(2) trata toda essa pilha como um único sistema a defender. A via prática de implementação na Alemanha é o BSI IT-Grundschutz, em particular os blocos IND para sistemas de controlo industrial, e a ISO/IEC 62443 para a camada de OT.
Anexo II ponto 5 Diretiva NIS 2 (2022/2555), Indústria transformadora
(a) Fabrico de dispositivos médicos e dispositivos médicos para diagnóstico in vitro (NACE C32.5 em parte, C26.60 em parte); (b) Fabrico de equipamentos informáticos, produtos eletrónicos e óticos (NACE C26); (c) Fabrico de equipamento elétrico (NACE C27); (d) Fabrico de máquinas e de equipamentos, n.e. (NACE C28); (e) Fabrico de veículos automóveis, reboques e semirreboques (NACE C29); (f) Fabrico de outro equipamento de transporte (NACE C30).
Os construtores de máquinas situam-se na alínea (d). A referência NACE é a Rev. 2. Se o seu negócio é retificação, fresagem, soldadura, montagem ou integração de máquinas industriais, instalações ou módulos, a C28 é a sua divisão. O Anexo II é a lista de 'entidades importantes'. Os mesmos dez deveres do Artigo 21.º(2) que o Anexo I, limite de sanção inferior, supervisão reativa em vez de proativa.
Artigo 2.º(1) Diretiva NIS 2, teste de dimensão
A presente diretiva aplica-se às entidades públicas ou privadas de um dos tipos referidos no Anexo I ou II que sejam consideradas médias empresas nos termos do Artigo 2.º do Anexo à Recomendação 2003/361/CE, ou que excedam os limiares para médias empresas previstos no n.º 1 desse artigo.
O limite de dimensão usa a definição de PME da UE. 50 trabalhadores ou mais, ou volume de negócios anual acima de 10 milhões de euros e total do balanço acima de 10 milhões de euros. Atinja um desses e está dentro. A Diretiva lista um punhado de casos em que a dimensão não importa, mas o fabrico puro de máquinas não consta dessa lista de derrogação.
§28 BSIG (Alemanha), wichtige Einrichtung, setor 'Verarbeitendes Gewerbe / Herstellung'
Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.
A Alemanha lista a indústria transformadora no Anlage 2 da BSIG, com as mesmas seis subcategorias do ponto 5 do Anexo II da Diretiva. O limite de sanção para entidades importantes é fixado pelo §65 BSIG: até 7 milhões de euros ou 1,4 por cento do volume de negócios mundial, consoante o que for mais elevado.
NACE C28 ou um dos cinco vizinhos
Retire o seu código NACE Rev. 2 da entrada no registo comercial ou da sua última declaração estatística. Se começar por C28, é um fabricante de máquinas. C26, C27, C29, C30 e a parte C32.5 para dispositivos médicos são as subcategorias vizinhas do Anexo II. As oficinas mistas (construção de máquinas mais montagem elétrica) são tipicamente classificadas pela atividade principal. Se a sua atividade principal for qualquer uma destas, está no setor.
50 trabalhadores ou 10 milhões de euros
O Artigo 2.º(1) lê-se como 'considerada média empresa'. A definição de PME tem dois limiares: efetivos de 50 ou mais, ou volume de negócios anual acima de 10 milhões de euros e total do balanço acima de 10 milhões de euros. As empresas associadas e parceiras contam. Uma UG de 35 pessoas dentro de um grupo de 400 pessoas é normalmente contada com o grupo.
A sua pegada de OT
Mapeie a sua célula de produção uma vez. PLCs, SCADA, HMIs, robôs, CNCs, MES, ERP, postos de engenharia, caixas de acesso remoto de fornecedores. Essa lista é o seu inventário de ativos ao abrigo do Artigo 21.º(2)(a). É também o âmbito da sua análise de risco. O Grundschutz permite agrupar ativos idênticos (doze CNCs idênticos como uma entrada com quantidade). As TI e a OT estão ambas no âmbito. A resposta clássica 'a OT está isolada por air gap, logo está fora' não sobrevive a uma auditoria.
O Anexo II continua a ser NIS 2
As entidades do Anexo II são 'importantes', não 'essenciais'. As dez medidas do Artigo 21.º(2) são as mesmas que para o Anexo I. O que difere é o limite de sanção e o estilo de supervisão. O §65 BSIG limita as coimas a até 7 milhões de euros ou 1,4 por cento do volume de negócios mundial para entidades importantes (face a 10 milhões ou 2 por cento para essenciais). A supervisão é reativa: o BSI vê se houver um motivo concreto, não num ciclo de rotina. Os mesmos deveres, intensidade de aplicação diferente.
A OT está no âmbito, ponto final
O Artigo 21.º cobre as 'redes e sistemas de informação'. O CIR e o TIG da ENISA tratam ambos a OT, o SCADA e os PLCs como estando no âmbito. O catálogo BSI IT-Grundschutz tem blocos IND dedicados a sistemas de controlo industrial. A ISO/IEC 62443 é a norma internacional que a comunidade de engenharia usa, e a ENISA mapeia as medidas do Artigo 21.º sobre ela. Uma auditoria que exclua a OT não é uma auditoria ao Artigo 21.º.
BSI / IT-Grundschutz IND
O BSI é a autoridade competente para o NIS 2 na Alemanha. Para os construtores de máquinas, a via prática é o IT-Grundschutz com os blocos IND: IND.1 (controlo de processos e automação em geral), IND.2 (sistema de controlo industrial), IND.3 (sensores e atuadores). Implemente esses a par dos blocos de TI padrão (SYS, NET, OPS, APP) e tem uma base defensável do Artigo 21.º.
VDMA
A Verband Deutscher Maschinen- und Anlagenbau publica orientações setoriais sobre o NIS 2, o Cyber Resilience Act e a ISO/IEC 62443 para os seus membros. Mantém grupos de trabalho sobre segurança de OT e traduz o texto regulatório em linguagem prática de implementação para o setor das máquinas alemão. A adesão é voluntária, mas a maioria dos construtores de máquinas de média dimensão são membros.
ENISA Technical Implementation Guidance
A ENISA publica uma Technical Implementation Guidance para o CIR (UE) 2024/2690 que mapeia as medidas do Artigo 21.º sobre a ISO/IEC 27001:2022, o NIST CSF 2.0 e outras normas. A tabela de mapeamento está na v1.2 à data de agosto de 2025 ao abrigo da CC BY 4.0. Para as máquinas, a sobreposição relevante é com a série ISO/IEC 62443, que a ENISA referencia para a camada de OT.
O NIS 2 é para grandes grupos industriais, não para a nossa oficina de máquinas de 80 pessoas.
O teste de dimensão é 50 trabalhadores ou 10 milhões de euros de volume de negócios. Uma oficina de máquinas de 80 pessoas com NACE C28 está claramente dentro. A categoria de 'entidade importante' do Anexo II existe precisamente para a camada do Mittelstand. O limite de sanção é inferior ao das entidades essenciais, mas os dez deveres do Artigo 21.º(2) são os mesmos.
Só fazemos a montagem final, o verdadeiro fabrico está nos nossos fornecedores.
A NACE classifica pela atividade principal, não pelo local onde está o valor acrescentado. Se a sua empresa vende máquinas ou módulos acabados em nome próprio, a sua atividade principal é o fabrico, mesmo que grande parte da construção ocorra a montante. A classificação segue a entrada no registo comercial e a declaração estatística, não a narrativa da cadeia de valor.
Exportamos quase tudo, por isso as regras da UE não se aplicam.
A Diretiva usa o estabelecimento, não a base de clientes. Se a sua entidade jurídica está estabelecida num Estado-Membro da UE e cumpre os testes de setor e dimensão, está no âmbito independentemente de onde vende. Os exportadores são entidades NIS 2 como qualquer outro fabricante. O facto de os compradores estarem fora da UE não altera as suas obrigações do lado da produção.
O que vemos no terreno no setor das máquinas do Mittelstand alemão: primeiro um memorando de aplicabilidade de uma página (código NACE, efetivos, volume de negócios, o raciocínio jurídico), depois uma avaliação de lacunas que percorre as dez medidas do Artigo 21.º(2) contra a configuração de TI e OT existente. A maioria das oficinas já tem algo para as TI. O lado da OT é normalmente mais escasso.
Depois da avaliação de lacunas, as doze a quinze medidas mais urgentes são feitas no primeiro ano. Inventário de ativos, análise de risco, revisão de fornecedores, tratamento de incidentes, segmentação básica de OT, autenticação multifator nos postos de engenharia e nas caixas de acesso remoto. O resto distribui-se pelos um ou dois anos seguintes. Isso aguenta-se ao abrigo da cláusula de proporcionalidade do Artigo 21.º(1), desde que o faseamento esteja escrito e aprovado pelo órgão de gestão.
Suportamos a verificação de aplicabilidade do setor 5 do Anexo II como uma entrada de um passo: escolha o seu código NACE, confirme os efetivos e o volume de negócios e chega a um espaço de trabalho pré-preenchido com as dez medidas do Artigo 21.º(2) e os blocos BSI IND para a camada de OT. O inventário de ativos, o registo de risco, a lista de fornecedores e o fluxo de incidentes assentam no mesmo modelo de dados.
As provas específicas de OT (diagramas de segmentação de rede, exportações do inventário de PLCs, revisões de acesso remoto de fornecedores) encaixam na mesma biblioteca de provas que os controlos de TI. Não corre um ISMS separado para a célula de produção. O requisito de formação da gestão do §38 BSIG está integrado como um módulo de curso para a Geschäftsführung.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo II ponto 5 (Indústria transformadora) e Artigo 2.º(1) (âmbito e teste de dimensão), eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão, Anexo Artigo 2.º (definição de PME)
- Classificação Eurostat NACE Rev. 2, Secção C divisões 26, 27, 28, 29, 30 e grupo 32.5
- Lei BSI (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) e §65 (sanções)
- BSI IT-Grundschutz Kompendium, blocos IND.1, IND.2, IND.3, bsi.bund.de/grundschutz
- VDMA, orientações setoriais sobre o NIS 2 e a segurança de OT, vdma.org
- ENISA Technical Implementation Guidance para o CIR (UE) 2024/2690, tabela de mapeamento v1.2 (agosto de 2025)