Importante vs Essencial vs KRITIS: o mesmo trabalho, consequências diferentes
A NIS2 define três níveis de entidades reguladas. As medidas de segurança são idênticas nos três. O que muda é o grau de vigilância da BSI sobre si e a dureza da reação em caso de incumprimento.
Três níveis, um único conjunto de regras
A transposição alemã da NIS2 (BSIG) classifica as entidades reguladas em três categorias: wichtige Einrichtungen (entidades importantes), entidades essenciais (besonders wichtige Einrichtungen) e Betreiber kritischer Anlagen (operadores KRITIS). Muitas empresas passam semanas a tentar perceber em que categoria se enquadram antes de iniciar o trabalho de conformidade.
Aqui está a constatação principal: isso não importa para o trabalho em si. Todas as três categorias têm de implementar as mesmas 10 categorias de medidas de segurança definidas no §30(2) BSIG. A mesma gestão de risco. O mesmo reporte de incidentes. A mesma segurança da cadeia de fornecimento. Os mesmos controlos de acesso. As mesmas políticas de cifragem. O mesmo planeamento de continuidade do negócio.
As diferenças estão na supervisão (como a BSI o monitoriza), nas coimas (quanto paga se for apanhado em incumprimento) e em três obrigações adicionais que só se aplicam aos operadores KRITIS. O processo de conformidade que percorre na NISD2 cobre as três categorias de forma idêntica.
| Critério | Importante (Wichtig) | Essencial (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Dimensão da empresa | 50+ trabalhadores OU >10M EUR de volume de negócios e >10M EUR de balanço | 250+ trabalhadores OU >50M EUR de volume de negócios e >43M EUR de balanço | Qualquer dimensão. Determinado por limiares de infraestrutura (por exemplo, 500.000 pessoas abastecidas) |
| Setores | Anexo I (energia, transportes, finanças, saúde, água, infraestrutura digital, espaço) + Anexo II (postal, resíduos, químicos, alimentação, fabrico, serviços digitais, investigação) | Apenas setores do Anexo I (as entidades de média dimensão no Anexo I são classificadas como importantes, não essenciais) | Subconjunto das essenciais. Apenas entidades que operam infraestrutura cuja falha perturbaria o abastecimento público |
| Inclusões independentes da dimensão | Prestadores de serviços de confiança não qualificados, pequenos operadores de telecomunicações | Serviços de confiança qualificados, registos de TLD, prestadores de DNS, grandes operadores de telecomunicações | Operadores de instalações críticas tal como definidas na BSI-KritisV (redes elétricas, tratamento de água, hospitais, etc.) |
O limiar de média empresa da UE é: 50+ trabalhadores OU (>10M EUR de volume de negócios E >10M EUR de balanço). Ambos os critérios financeiros têm de ser cumpridos em simultâneo. Um volume de negócios elevado, por si só, não basta. Para entidades essenciais, o limiar de grande empresa é: 250+ trabalhadores OU (>50M EUR de volume de negócios E >43M EUR de balanço). Estes exemplos mostram como as regras se aplicam na prática.
| Cenário | Trabalhadores | Volume de negócios | Balanço | Setor | Classificação |
|---|---|---|---|---|---|
| Empresa de trading com receita elevada e equipa pequena | 12 | 25M EUR | 18M EUR | Anexo I. Banca | Importante. Ambos os limiares financeiros excedidos (>10M EUR), número de trabalhadores irrelevante |
| Grande fabricante, margem baixa | 200 | 5M EUR | 3M EUR | Anexo II. Fabrico | Importante. Número de trabalhadores ≥50 é suficiente, a receita não conta |
| Startup SaaS, receita elevada, equipa minúscula | 8 | 15M EUR | 4M EUR | Anexo I. Infraestrutura digital | Fora de âmbito. A receita excede 10M EUR mas o balanço está abaixo de 10M EUR. São precisos OS DOIS |
| Hospital regional | 400 | 60M EUR | 45M EUR | Anexo I. Saúde | Essencial. 250+ trabalhadores em setor do Anexo I. Se >30.000 casos de internamento/ano: KRITIS |
| Comercializadora de energia, pouco intensiva em ativos | 15 | 120M EUR | 55M EUR | Anexo I. Energia | Essencial. Ambos os limiares financeiros de grande empresa excedidos (>50M EUR de volume de negócios E >43M EUR de balanço) |
| Empresa de gestão de resíduos | 80 | 8M EUR | 6M EUR | Anexo II. Resíduos | Importante. 80 trabalhadores ≥50 do limiar, apesar da receita baixa. Apenas NACE E.38 (não a remediação E.39) |
| Prestador de serviços geridos (MSP) | 45 | 12M EUR | 11M EUR | Anexo I. Gestão de serviços TIC | Importante. Abaixo de 50 trabalhadores mas ambos os limiares financeiros excedidos. Também sujeito ao CIR 2024/2690 |
| Transformador alimentar, força de trabalho sazonal | 55 (média anual) | 9M EUR | 7M EUR | Anexo II. Alimentação | Importante. O número de trabalhadores usa unidades de trabalho anuais (Rec. 2003/361/CE Art. 5). Os picos sazonais contam proporcionalmente |
| Prestador de serviços de confiança qualificado (qTSP) | 3 | 500K EUR | 200K EUR | Anexo I. Infraestrutura digital | Essencial. Independente da dimensão ao abrigo do §28(1) BSIG. Os qTSP são sempre essenciais, independentemente da dimensão |
| Distribuidor de químicos, grande subsidiária | 180 | 70M EUR | 50M EUR | Anexo II. Químicos | Importante. Apesar dos grandes dados financeiros, os setores do Anexo II ficam no máximo em importante. Só Anexo I + grande = essencial |
Limiares de dimensão segundo a Recomendação 2003/361/CE da UE, Art. 2, referenciada pela Diretiva NIS2 Art. 2(1). O número de trabalhadores usa unidades de trabalho anuais (Art. 5). As regras de empresas associadas/parceiras (Anexo, Art. 3) podem agregar o número de trabalhadores e os dados financeiros da empresa-mãe. Classificação setorial segundo o Anexo I/II da Diretiva NIS2, transposta no BSIG §28 Anlage 1/2. Casos independentes da dimensão segundo o §28(1) BSIG.
O que é idêntico nas três categorias
As obrigações de conformidade definidas no §30(2) BSIG são as mesmas para entidades importantes, essenciais e KRITIS. Não há uma versão mais ligeira para entidades importantes nem uma versão mais pesada para entidades essenciais. As 10 categorias de medidas de segurança aplicam-se por igual:
- Políticas e procedimentos de gestão de risco (§30(2) Nr. 1)
- Tratamento e reporte de incidentes. Inicial em 24h, detalhado em 72h, relatório final em 1 mês (§32)
- Continuidade do negócio e recuperação após desastre (§30(2) Nr. 3)
- Segurança da cadeia de fornecimento (§30(2) Nr. 4)
- Segurança na aquisição, desenvolvimento e manutenção (§30(2) Nr. 5)
- Políticas para avaliar a eficácia das medidas de segurança (§30(2) Nr. 6)
- Higiene de cibersegurança e formação (§30(2) Nr. 7)
- Políticas de criptografia e cifragem (§30(2) Nr. 8)
- Segurança dos recursos humanos e controlo de acesso (§30(2) Nr. 9)
- Autenticação multifator e comunicações seguras (§30(2) Nr. 10)
- Registo junto da BSI no prazo de 3 meses (§33)
- Responsabilidade da gestão. Responsabilidade pessoal pela aprovação e supervisão das medidas de segurança (§38)
Isto significa que a plataforma NISD2 cobre todos os tipos de entidade com o mesmo conjunto de requisitos. Quer seja uma empresa alimentar importante ou um fornecedor de energia essencial, o processo de conformidade é idêntico. Cumpre os mesmos requisitos, produz a mesma evidência e atinge os mesmos padrões.
| Obrigação | Importante | Essencial | KRITIS |
|---|---|---|---|
| 10 medidas de segurança (§30) | Obrigatório | Obrigatório | Obrigatório |
| Reporte de incidentes (§32) | 24h / 72h / 1 mês | 24h / 72h / 1 mês | 24h / 72h / 1 mês |
| Registo junto da BSI (§33) | Básico | Básico | Reforçado. Serviço crítico, métricas de abastecimento, localização da instalação, contacto 24/7 |
| Responsabilidade da gestão (§38) | Responsabilidade pessoal | Responsabilidade pessoal | Responsabilidade pessoal |
| Supervisão da BSI | Apenas reativa (§62). A BSI atua só quando existe evidência de incumprimento | Proativa (§61). A BSI pode auditar a qualquer momento, sem motivo | Proativa + ciclo obrigatório de prova de 3 em 3 anos (§39) |
| Coima máxima (base) | 7.000.000 EUR | 10.000.000 EUR | 10.000.000 EUR |
| Coima máxima (volume de negócios) | 1,4% do volume de negócios global | 2% do volume de negócios global | 2% do volume de negócios global |
| Sistemas de deteção de ataques (§31) | Não obrigatório | Não obrigatório | Obrigatório. Capacidade contínua de SIEM/SOC |
| Prova de conformidade obrigatória (§39) | Não obrigatório | Não obrigatório | Obrigatório. De 3 em 3 anos, submetida à BSI |
KRITIS: três obrigações adicionais
Os operadores KRITIS, entidades que operam infraestrutura cuja falha perturbaria o abastecimento público (redes elétricas, tratamento de água, hospitais), têm de cumprir três requisitos adicionais para além do que as entidades importantes e essenciais têm de fazer.
§31. Sistemas de deteção de ataques (Angriffserkennungssysteme)
Precisa de um sistema a vigiar a sua rede 24 horas por dia, capaz de detetar ataques em curso ou de detetar que alguém já entrou. Na prática, isto implica implementar um SIEM (Security Information and Event Management). Software que recolhe registos de cada servidor, firewall e endpoint, os correlaciona e gera alertas perante anomalias. Tem de usar correspondência de padrões E deteção de anomalias, não apenas assinaturas. A maioria das empresas subcontrata isto a um fornecedor de SOC gerido (Security Operations Center), o que custa normalmente entre 5.000 e 15.000 EUR por mês. As entidades NIS2 normais conseguem cumprir com monitorização básica. Os operadores KRITIS, explicitamente, não.
§33(2). Registo reforçado junto da BSI
Além do registo padrão (nome, setor, contacto), os operadores KRITIS têm de indicar à BSI exatamente que serviço crítico prestam (por exemplo, 'abastecimento de água potável para 200.000 pessoas'), que componentes críticos usam, a localização física da instalação e uma pessoa de contacto 24/7 contactável a qualquer hora. As métricas de abastecimento têm de ser reportadas anualmente. A BSI usa-as para verificar que continua acima do limiar KRITIS (definido na BSI-KritisV, por exemplo 500.000 pessoas abastecidas para água, 104 MW para eletricidade).
§39. Prova de conformidade obrigatória de 3 em 3 anos (Nachweispflicht)
De 3 em 3 anos, tem de submeter proativamente à BSI resultados de auditoria, relatórios de segurança ou certificações que provem a conformidade com todas as medidas do §30 e com a deteção de ataques do §31. A BSI não tem de o procurar. É você que vai ter com ela. Se a BSI encontrar deficiências, emite ordens vinculativas de remediação com prazos e exige prova de que corrigiu os problemas. Veja-o como um ciclo obrigatório de certificação ISO, com a diferença de que o auditor é o Estado. Primeiro prazo: dezembro de 2028 (5 anos para hospitais: dezembro de 2030).
O que isto significa para a sua empresa
Se é uma empresa de 50 a 250 trabalhadores na Alemanha, o utilizador típico da NISD2, é quase de certeza classificado como wichtige Einrichtung (entidade importante). A sua empresa de fabrico, o seu negócio de transformação alimentar ou o seu prestador de serviços de TI cai nesta categoria. O trabalho de conformidade que tem de fazer é exatamente o mesmo que o de uma grande entidade essencial ou até de um operador KRITIS. A única diferença prática: a BSI não o auditará proativamente, a menos que tenha um motivo para o fazer (um incidente, uma queixa ou uma denúncia).
Isto não é motivo para fazer menos. Se a BSI o auditar, de forma reativa, depois de um incidente, e o encontrar em incumprimento, aplicam-se coimas até 7 milhões de EUR ou 1,4% do volume de negócios global. E a sua gestão é pessoalmente responsável ao abrigo do §38. A posição mais segura é a conformidade total, independentemente da categoria. A NISD2 dá-lhe o mesmo processo de conformidade usado pelas entidades essenciais e KRITIS, porque os requisitos são idênticos.
Perguntas frequentes
A minha empresa pode ser ao mesmo tempo importante e essencial?
Não. As categorias são mutuamente exclusivas ao abrigo do §28 BSIG. Se cumpre o limiar de essencial (250+ trabalhadores ou >50M de volume de negócios num setor do Anexo I), é essencial. Se cumpre o limiar de importante mas não o de essencial, é importante. KRITIS é um subconjunto das essenciais. Os operadores KRITIS são automaticamente classificados como essenciais, com obrigações adicionais por cima.
Sou uma entidade importante. Preciso de fazer menos trabalho de conformidade?
Não. As 10 categorias de medidas de segurança do §30(2) BSIG aplicam-se de forma idêntica tanto às entidades importantes como às essenciais. A única diferença é a fiscalização: a BSI supervisiona as entidades essenciais de forma proativa (auditorias aleatórias) e as entidades importantes de forma reativa (só após evidência de incumprimento). Mas as medidas em si, os prazos de reporte de incidentes e a responsabilidade da gestão são todos iguais.
Como sei se sou KRITIS?
A classificação KRITIS é definida na regulamentação BSI-KritisV, com base em limiares de abastecimento específicos: 500.000 pessoas abastecidas para água, 104 MW de capacidade instalada para eletricidade, 30.000 casos de internamento por ano para hospitais, etc. Se a falha da sua infraestrutura não perturbasse diretamente o abastecimento público nestas escalas, não é KRITIS. A maioria das empresas de média dimensão não é KRITIS. São entidades importantes ou essenciais.
O que acontece se errar na classificação da minha entidade?
A classificação determina a intensidade da supervisão e os limites máximos das coimas, não o que tem de implementar. Se implementar as 10 categorias de medidas (que a NISD2 o guia a percorrer), está em conformidade, independentemente da classificação. O risco de uma classificação errada é subestimar a sua exposição à supervisão. Pensar que a BSI não o auditará quando na verdade pode.
O CIR 2024/2690 distingue entre entidades importantes e essenciais?
Não. O CIR aplica-se a tipos de entidade específicos (fornecedores de cloud, fornecedores de DNS, prestadores de serviços geridos, etc.) independentemente de serem classificados como importantes ou essenciais. Os requisitos técnicos do CIR são idênticos para ambas as categorias.
- §28 BSIG. Classificação das entidades (entidades essenciais e importantes)
- §30 BSIG. Medidas de gestão de risco (10 categorias, idênticas para todos os tipos de entidade)
- §31 BSIG. Sistemas de deteção de ataques (apenas KRITIS)
- §32 BSIG. Obrigações de reporte de incidentes (prazos idênticos para todos os tipos de entidade)
- §33 BSIG. Obrigações de registo (reforçadas para KRITIS)
- §38 BSIG. Responsabilidade da gestão (idêntica para todos os tipos de entidade)
- §39 BSIG. Prova de conformidade (apenas KRITIS, de 3 em 3 anos)
- §61 BSIG. Supervisão das entidades essenciais (proativa)
- §62 BSIG. Supervisão das entidades importantes (reativa)
- §65 BSIG. Sanções e coimas
- CIR 2024/2690. Regulamento de execução da UE (sem distinção por tipo de entidade)
- BSI-KritisV. Regulamentação dos limiares KRITIS