Anexo II. Entidade importante

NIS2 para empresas de gestão de resíduos

O seu setor passou a estar abrangido pelo anexo II da NIS2. Se a sua empresa de gestão de resíduos tem 50 ou mais colaboradores ou mais de 10 milhões de euros de faturação, este é o seu guia prático para o que a lei exige e por onde começar.

Simon OrzelSimon Orzel·Laufend geprüft

Porque é que a NIS2 se aplica às empresas de resíduos?

A gestão de resíduos foi acrescentada à NIS2 porque as operações modernas de resíduos dependem fortemente de sistemas de TI. A gestão de frotas, a otimização de rotas, os sistemas de báscula, os comandos das centrais de triagem, a faturação e a comunicação regulamentar funcionam todos com software em rede. Um ataque de ransomware que paralisa o sistema de gestão de frotas de uma empresa de resíduos não para apenas os camiões. Cria um risco de saúde pública. Resíduos por recolher numa cidade de 200.000 pessoas tornam-se uma crise em poucos dias.

A UE classificou a gestão de resíduos no anexo II da diretiva NIS2, o que significa que as empresas de resíduos que cumpram o limiar de dimensão (50 ou mais colaboradores ou mais de 10 milhões de euros de faturação anual) são categorizadas como 'entidades importantes' (wichtige Einrichtungen) nos termos do §28(2) BSIG. Isto significa que se aplica todo o conjunto de obrigações da NIS2: registo no BSI, medidas de gestão de riscos de cibersegurança, comunicação de incidentes, segurança da cadeia de abastecimento e responsabilidade da gestão.

A maioria das empresas de resíduos nunca lidou com regulamentação de cibersegurança. Não é uma crítica. Até à NIS2, não havia razão legal para tal. Mas significa que existe uma curva de aprendizagem mais acentuada em comparação com setores que já estavam sob a KRITIS. A boa notícia: os ambientes de TI das empresas de resíduos são tipicamente menos complexos do que os da banca ou da energia, o que significa que o esforço de conformidade é proporcionalmente menor.

Como é o inventário de ativos de uma empresa de resíduos?
Todas as entidades NIS2 têm de manter um inventário dos ativos que suportam serviços críticos. Para uma empresa típica de gestão de resíduos com 100 a 200 colaboradores, o inventário é mais simples do que se poderia esperar. Normalmente, 10 a 15 entradas agrupadas.

Gestão de frotas e GPS

O software e os sistemas que gerem o encaminhamento de veículos, o rastreio por GPS, o escalonamento de motoristas e a otimização de rotas em tempo real. Normalmente é uma plataforma SaaS alojada na nuvem ou um servidor local. Se isto falhar, os camiões não podem ser despachados com eficiência. Agrupe todos os componentes de gestão de frotas numa única entrada de ativo.

Báscula e sistemas de pesagem

Sistemas de pesagem eletrónica nos locais que registam os pesos de material à entrada e à saída para faturação e conformidade regulamentar. Frequentemente ligados a sistemas ERP. Podem incluir controladores industriais mais antigos. Agrupe o sistema de báscula (hardware mais software) como um único ativo.

Sistema ERP e de faturação

O sistema de negócio central que trata a gestão de clientes, contratos, faturação, rastreio de materiais e comunicação regulamentar. Comummente SAP Business One, DATEV ou soluções específicas do setor como o RECY ou o Wastebox. O comprometimento deste sistema afeta a receita, os dados de clientes e a comunicação regulamentar. Uma entrada de ativo.

Comandos de centrais de triagem e tratamento

Se a sua empresa explora centrais de triagem, instalações de compostagem ou centrais de valorização energética de resíduos, é provável que tenha sistemas SCADA ou de controlo industrial a gerir os processos físicos. São muitas vezes sistemas mais antigos com funcionalidades de segurança limitadas. Representam uma categoria de risco distinta porque controlam equipamento físico. Agrupe por instalação.

Postos de trabalho e TI de escritório

Portáteis, computadores de secretária e dispositivos móveis usados pelo pessoal de escritório, despachantes e gestão. Aplicações de escritório padrão (Microsoft 365, email, gestão documental). O Grundschutz permite agrupar dispositivos idênticos: '45 portáteis Windows padrão' é uma entrada de ativo, não 45.

Infraestrutura de rede

Routers, switches, firewalls e ligações VPN que interligam escritórios, depósitos e instalações fabris. Inclua as ligações à internet e quaisquer ligações entre locais. Se a sua empresa tem várias localizações, a rede de cada local pode ser uma entrada agrupada. A rede é o que liga tudo o resto. O seu comprometimento afeta todos os outros ativos.

Por onde começar. Ordem de prioridade para empresas de resíduos
Não precisa de fazer tudo de uma vez. Esta ordem de prioridade reflete o que o BSI vai procurar primeiro e o que cria mais valor de conformidade por hora de esforço.
1

1. Registar-se no BSI

Conclua o seu registo nos termos do §33 BSIG através do portal do BSI. É a obrigação mais visível e tem a sua própria disposição sancionatória (até 500.000 euros). Demora cerca de 30 minutos e coloca-o imediatamente no registo como uma entidade que está a tratar das suas obrigações. Faça isto antes de tudo o resto.

2

2. Construir o seu inventário de ativos

Liste os sistemas que suportam os seus serviços de recolha, tratamento e eliminação de resíduos. Use as seis categorias acima como ponto de partida. Para cada ativo, anote o que faz, quem o gere (interno ou fornecedor) e o que acontece se ficar indisponível durante 24 horas. Este inventário torna-se a base de tudo o que se segue.

3

3. Configurar a comunicação de incidentes

Defina o que conta como incidente significativo para a sua empresa e estabeleça o processo de comunicação ao BSI dentro dos prazos exigidos (24h/72h/1 mês). Designe quem toma a decisão de comunicar, quem apresenta o relatório e como os contactar fora do horário de expediente. Não precisa de um centro de operações de segurança. Precisa de uma cadeia de contactos clara e de um processo documentado.

4

4. Rever os controlos de acesso

Audite quem tem acesso aos seus sistemas críticos, em especial à gestão de frotas, ao ERP e a quaisquer sistemas de controlo de centrais. Implemente autenticação multifator no acesso remoto e nas contas administrativas. Remova o acesso de antigos colaboradores. Esta é muitas vezes a área com mais ganhos fáceis: muitas empresas de resíduos têm palavras-passe partilhadas, sem MFA, e contas de antigos colaboradores ainda ativas.

5

5. Documentar as relações com fornecedores

A maioria das empresas de resíduos subcontrata funções de TI significativas: alojamento na nuvem, manutenção do ERP, software de gestão de frotas. Documente quem são esses fornecedores, que acesso têm aos seus sistemas e que compromissos de segurança assumem. É o início do seu processo de segurança da cadeia de abastecimento nos termos do §30(2)(4) BSIG. Se o seu prestador de TI for comprometido, os seus dados e os seus serviços ficam em risco.

O que torna as empresas de resíduos diferentes

As empresas de resíduos têm um perfil de risco único. Ao contrário de uma empresa de software, onde quase tudo é digital, as operações de resíduos envolvem processos físicos: camiões nas estradas, materiais em movimento, equipamento nos locais. Um ciberataque à gestão de frotas tem consequências imediatas no mundo físico. Esta dimensão de tecnologia operacional significa que a sua avaliação de risco deve considerar tanto os sistemas de TI como quaisquer controlos industriais.

A maioria das empresas de resíduos subcontrata muito. Muitas operam com uma pequena equipa de TI interna (ou nenhum pessoal de TI dedicado) e dependem de prestadores externos para tudo, do email ao ERP e à gestão de frotas. Ao abrigo da NIS2, pode subcontratar operações, mas não a responsabilização. O §30 BSIG responsabiliza a sua empresa pelas medidas de segurança, mesmo quando um fornecedor as executa. Isto torna a gestão de fornecedores a sua alavanca de conformidade mais importante.

O lado positivo: os ambientes de TI das empresas de resíduos são tipicamente simples. Uma empresa de resíduos de 100 pessoas tem talvez 6 a 10 grupos de sistemas distintos, contra 30 ou mais num banco ou hospital de dimensão semelhante. Isto significa que o esforço de conformidade é proporcional. Está a falar de semanas de trabalho focado, não de um programa de vários anos. A norma do BSI de 'adequado e proporcionado' joga a seu favor aqui.

Perguntas frequentes

A nossa empresa de resíduos está mesmo no âmbito da NIS2?

Se a sua empresa opera na recolha, tratamento ou eliminação de resíduos e tem 50 ou mais colaboradores ou 10 milhões de euros ou mais de faturação anual, está quase de certeza no âmbito como entidade importante nos termos do anexo II da NIS2. A definição setorial cobre toda a cadeia de gestão de resíduos. Se estiver perto do limiar, verifique se as empresas do grupo ligadas o empurram acima do limite. A NIS2 usa a definição de PME da UE, que considera as empresas associadas.

Subcontratamos toda a TI. A NIS2 ainda se aplica a nós?

Sim, totalmente. A NIS2 aplica-se à entidade que presta o serviço de gestão de resíduos, independentemente de quem gere a TI. Pode subcontratar o trabalho, mas não a responsabilidade legal (§30 BSIG). Na prática, isto significa que o seu prestador de TI se torna o seu fornecedor mais crítico: documente a relação, inclua requisitos de cibersegurança no contrato e verifique se têm medidas de segurança adequadas. Se forem comprometidos, despoleta-se a sua obrigação de comunicar, não a deles.

Como é um inventário de ativos para uma empresa de resíduos?

Mais simples do que pensa. Uma empresa típica de resíduos de 100 pessoas tem cerca de 10 a 15 entradas de ativos agrupadas: sistema de gestão de frotas, sistema de báscula, ERP/faturação, infraestrutura de rede por local, postos de trabalho padrão (agrupados, por exemplo '45 portáteis Windows'), email/colaboração (Microsoft 365) e, possivelmente, comandos SCADA ou de central de triagem. O Grundschutz permite explicitamente agrupar ativos idênticos, por isso não precisa de uma linha por cada portátil.

Quanto tempo demora a conformidade NIS2 para uma empresa da nossa dimensão?

Para uma empresa de resíduos de 100 pessoas a começar do zero, conte com 3 a 6 meses para atingir uma base sólida: registo no BSI (semana 1), inventário de ativos e avaliação de risco (semanas 2 a 6), processo de comunicação de incidentes (semanas 4 a 8), melhorias de controlo de acessos (semanas 6 a 12), documentação de políticas (em curso). Não precisa de estar perfeito no primeiro dia. O BSI avalia a trajetória e a boa-fé. Após a configuração inicial, o esforço contínuo é sobretudo revisões anuais e resposta a incidentes.

Fontes
  • Diretiva (UE) 2022/2555 (NIS2). Anexo II, setor 4: Águas residuais e gestão de resíduos
  • BSIG. §28 (âmbito), §30 (medidas de cibersegurança), §33 (registo), §38 (responsabilidade da gestão)
  • BSI. Orientação NIS2 específica por setor e documentação do portal de registo (2025)
  • IT-Grundschutz Kompendium. OPS.1.2.5 (Fernwartung), IND.1 (Prozessleit- und Automatisierungstechnik)
  • BDE Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft. Documentos de posição sobre a NIS2
Conformidade NIS2 para empresas de resíduos. Estruturada e prática
A plataforma orienta-o por cada requisito do §30 BSIG com orientação adequada ao setor: modelos de inventário de ativos, fluxos de avaliação de risco, documentação de fornecedores e procedimentos de comunicação de incidentes dimensionados para operações de gestão de resíduos.
Inicie o seu processo de conformidade NIS2