Os fornecedores de entidades NIS 2 não são automaticamente entidades NIS 2
O Artigo 2 da NIS 2 decide o âmbito com base no que é, não em quem é o seu cliente. As relações com clientes não o arrastam para dentro. Os deveres do seu cliente chegam à sua caixa de entrada através do contrato de aquisição ao abrigo do Artigo 21(2)(d).
A versão curta
Saber se a NIS 2 se aplica à sua empresa é decidido apenas pelo Artigo 2 da Diretiva. Dois testes. O seu setor tem de constar do Anexo I ou II. E tem de cumprir o limiar de dimensão (média empresa nos termos da Recomendação 2003/361/CE da Comissão, com algumas exceções independentes da dimensão no Artigo 2(2) a (4)). Quem são os seus clientes não faz parte do teste.
Por isso, vender a um cliente NIS 2 não o coloca no âmbito. Torna-se uma entidade NIS 2 apenas se o seu próprio setor mais a sua própria dimensão passarem o Artigo 2 por si sós. Se não passarem, está fora do âmbito, mesmo que todos os clientes da sua lista estejam dentro.
O que de facto desce a cadeia de abastecimento é contratual, não legal. O Artigo 21(2)(d) determina que as entidades NIS 2 giram a segurança dos seus fornecedores diretos. A ferramenta que utilizam é o contrato de aquisição: cláusulas, questionários, pedidos de evidências. Sente a pressão porque o seu cliente quer a resposta, não porque um regulador está a falar consigo.
Diretiva NIS 2 (UE) 2022/2555, Artigo 2(1)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
O âmbito está ligado a dois factos sobre a própria entidade: o setor no Anexo I ou II, e o limiar de dimensão. Relações com clientes, contratos e vínculos de cadeia de abastecimento não constam do texto e não alargam o âmbito. O Artigo 2(2) a (4) acrescenta algumas exceções independentes da dimensão para tipos específicos de entidade, mas nenhuma é desencadeada por se ser fornecedor de alguém.
Artigo 21(2)(d) NIS 2 mais Regulamento de Execução (UE) 2024/2690 da Comissão §5
supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers.
O Artigo 21(2)(d) coloca o dever na entidade NIS 2 (o comprador), não no fornecedor. O CIR 2024/2690 §5 transforma isso numa política de segurança de fornecedores com critérios de seleção escritos e um registo de risco de fornecedores. O fornecedor faz o que o contrato disser. O regulador só fala com o comprador.
BSIG §30 (Alemanha)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
A Alemanha copia o Artigo 21(2)(d) quase à letra para o §30 BSIG. O dever recai sobre a entidade no âmbito. Não declara os seus fornecedores no âmbito. Outros Estados-Membros transpõem o mesmo Artigo 21 com a mesma mecânica do lado do comprador (NL Cyberbeveiligingswet, AT NISG, sucessor da LPM em FR).
O seu setor está no Anexo I ou II?
Anexo I (altamente crítico): energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços TIC, administração pública, espaço. Anexo II (crítico): postal, resíduos, produtos químicos, alimentação, fabrico de dispositivos médicos e maquinaria, prestadores digitais, investigação. Se o seu negócio não se enquadra num destes, está fora, independentemente de a quem vende. Uma pequena tipografia que fornece um hospital continua a ser uma tipografia.
É uma média empresa ou maior?
O limiar é a definição de PME na Recomendação 2003/361/CE da Comissão: pelo menos 50 trabalhadores e pelo menos 10 milhões de EUR de volume de negócios ou balanço, ou maior. Se estiver abaixo disso, está fora, a não ser que uma das exceções independentes da dimensão no Artigo 2(2) a (4) o apanhe mesmo assim (por exemplo, é o único prestador de um serviço essencial, um prestador qualificado de serviços de confiança, ou um prestador de serviços de DNS).
Uma exclusão deixa-o de fora?
Mesmo que os Testes 1 e 2 sejam afirmativos, o Artigo 2(7) a (11) pode retirá-lo (segurança nacional, segurança pública, defesa, aplicação da lei) ou uma lei da UE mais específica pode prevalecer (as entidades financeiras DORA dispensam o Artigo 21 e o Artigo 23, mas ainda registam-se ao abrigo do Artigo 27). Ser fornecedor de uma entidade NIS 2 nunca é uma exclusão que o arraste para dentro. Também nunca é um fator que o arraste para dentro.
Âmbito por entidade
O Artigo 2 vincula a Diretiva a uma entidade específica com base nos seus próprios atributos. Não existe âmbito derivado. A DORA funciona da mesma forma (entidades financeiras por tipo e dimensão). A Diretiva CER funciona da mesma forma (entidades críticas por setor). O CRA funciona da mesma forma (fabricantes de produtos com elementos digitais). Cada instrumento define o âmbito pelo que a parte regulada é, não por quem ela vende.
Os contratos descem em cascata, não a lei
O Artigo 21(2)(d) torna o comprador responsável por gerir o risco de segurança dos seus fornecedores. A ferramenta do comprador é o contrato. Por isso, os fornecedores sentem pressão comercial, não pressão regulatória. A cláusula de proporcionalidade no Artigo 21(1) rege quantas evidências o comprador pode pedir: um fornecedor de software de alto risco recebe um questionário mais aprofundado, um SaaS de escritório de baixo risco recebe um mais leve. O seu trabalho enquanto fornecedor é ler esses pedidos como termos comerciais, não como ordens de um regulador.
BSI / BMI: §28 e §30 BSIG separam comprador e fornecedor
O §28 BSIG enumera os tipos de entidade no âmbito e aplica o teste de dimensão à própria entidade. O §30 BSIG (o dever de cadeia de abastecimento) torna uma besonders wichtige ou wichtige Einrichtung específica responsável pelas suas relações com fornecedores. Nenhuma das secções arrasta para o âmbito um fornecedor que não se qualifique. A verificação de aplicabilidade do BSI (Betroffenheitsprüfer) testa setor mais dimensão para quem está a correr a verificação, não para os seus clientes.
ENISA: âmbito ao abrigo do Artigo 2, risco de fornecedores ao abrigo do Artigo 21
As orientações de implementação da ENISA tratam o âmbito e as medidas de cadeia de abastecimento como duas questões separadas. O âmbito é Anexo I ou II mais dimensão. A segurança de fornecedores é um dos controlos que a entidade no âmbito executa como parte da sua própria gestão de risco. Não arrasta fornecedores para a NIS 2. O registo da ENISA ao abrigo do Artigo 27 lista apenas entidades que estão elas próprias no âmbito.
Outros Estados-Membros aplicam o mesmo teste por entidade
A Cyberbeveiligingswet neerlandesa, a NISG austríaca e a transposição francesa (que substitui a LPM para os setores civis) leem todas o Artigo 2 da mesma forma. Uma empresa neerlandesa de gestão de resíduos que abastece um operador de energia belga só está no âmbito se a gestão de resíduos for uma das suas próprias atividades e cumprir o limiar de dimensão nos Países Baixos. As autoridades nacionais não podem esticar a Diretiva por via de lei nacional para abranger empresas que não se qualificam por si próprias.
O nosso cliente está no âmbito, por isso nós também estamos.
Não. O Artigo 2(1) aplica-lhe a Diretiva com base no seu setor e na sua dimensão. O estatuto do seu cliente não faz parte do teste. Pode ainda ter de cumprir cláusulas contratuais de segurança que o cliente lhe apresenta. Isso não faz de si uma entidade NIS 2. Faz de si uma parte contratante.
A NIS 2 desce em cascata pela cadeia de abastecimento.
Não. Os contratos descem em cascata. A Diretiva não. O Artigo 21(2)(d) torna o comprador responsável por gerir a segurança dos seus fornecedores diretos. O comprador empurra isso para os contratos de aquisição. Deve ao comprador (por contrato), não ao regulador (ao abrigo da NIS 2). A mesma lógica vale para os subfornecedores: só a relação direta está no âmbito do Artigo 21(2)(d), não o fornecedor do fornecedor.
O nosso cliente disse-nos para nos registarmos junto da autoridade nacional, por isso temos de o fazer.
Não. O registo ao abrigo do Artigo 27 é exigido apenas a entidades que estão elas próprias no âmbito ao abrigo do Artigo 2 (com regras adicionais para prestadores de DNS, prestadores de nuvem, MSP e alguns outros). Um cliente não pode inventar um dever de registo para si. Se um comprador insistir, pergunte-lhe sob que entrada do Anexo e sob que limiar de dimensão pensa ele que se enquadra. Se a resposta não estiver no Artigo 2, o dever não existe.
Se é o comprador (uma entidade NIS 2), o seu trabalho ao abrigo do Artigo 21(2)(d) e do CIR §5 é redigir uma política de segurança de fornecedores com critérios de seleção, manter um registo de risco de fornecedores, e inserir cláusulas de segurança proporcionadas nos contratos dos seus fornecedores diretos. Avalia e gere. Não delega isso ao regulador. O CIR §5 diz explicitamente que pode escolher evidências adequadas ao risco: certificação ISO 27001, relatórios SOC 2, sínteses de testes de penetração, atestados de desenvolvimento seguro. O Artigo 21(1) permite-lhe escalar a profundidade das evidências ao risco real do fornecedor. Um fornecedor de software de alto risco recebe um pedido mais aprofundado do que a empresa que imprime os seus cartões de visita.
Se é o fornecedor e o seu cliente está no âmbito, aplique primeiro o teste do Artigo 2 a si próprio. Se não o passar, não é uma entidade NIS 2. O seu cliente ainda lhe enviará obrigações contratuais de segurança. Leia-as como termos comerciais: negoceie o âmbito, a profundidade das evidências, os direitos de auditoria, os prazos de notificação de violações. Se passar o Artigo 2 por si próprio, registe-se ao abrigo do Artigo 27 e cumpra o Artigo 21 e o Artigo 23 por direito próprio, independentemente do que qualquer cliente individual peça.
Para compradores, a plataforma transforma o dever do Artigo 21(2)(d) e do CIR §5 numa ferramenta operacional: um registo de fornecedores com níveis de risco, uma biblioteca de cláusulas, um fluxo de trabalho de evidências, e um portal de fornecedores onde os seus fornecedores respondem ao questionário. Você mantém o registo. O seu fornecedor só vê as perguntas dirigidas a ele.
Para fornecedores, o portal de fornecedores permite-lhe responder ao questionário de segurança uma vez e reutilizar a resposta entre clientes. O portal torna visível a natureza comercial do pedido: está a responder à política de aquisição do seu cliente, não a um regulador. Se acabar por estar no âmbito por si próprio ao abrigo do Artigo 2, a mesma plataforma trata do seu próprio registo de obrigações NIS 2 do lado do comprador.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 2 (âmbito), Anexo I e Anexo II (setores), Artigo 21(2)(d) (segurança da cadeia de abastecimento) e Artigo 21(3) (consideração de vulnerabilidades específicas dos fornecedores).
- Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024, §5 (segurança da cadeia de abastecimento): política de aquisição com critérios de seleção, registo de risco de fornecedores, obrigações contratuais de segurança.
- Recomendação 2003/361/CE da Comissão, Artigo 2 do Anexo (definição de média empresa: pelo menos 50 trabalhadores e pelo menos 10 milhões de EUR de volume de negócios ou total do balanço).
- BSIG (Alemanha) §28 (Einrichtungsarten und Größenkriterien) e §30 (Risikomanagementmaßnahmen, incluindo Lieferkettensicherheit), que transpõem os Artigos 2 e 21 da NIS 2.
- Orientações de implementação da NIS 2 da ENISA e a especificação do registo de entidades do Art. 27: o âmbito ao abrigo do Art. 2 determina se uma entidade é registada; as medidas de cadeia de abastecimento ao abrigo do Art. 21 determinam o que uma entidade no âmbito faz quanto aos seus fornecedores.