Neste artigo
O que é a Diretiva NIS2
A NIS2 (Network and Information Security Directive 2) é a diretiva europeia que estabelece requisitos mínimos de cibersegurança para setores críticos e importantes na União Europeia. Substitui a NIS original de 2016 com escopo ampliado e penalidades mais rigorosas.
Adotada em dezembro de 2022 e com prazo de transposição para legislações nacionais até outubro de 2024, a NIS2 representa uma mudança significativa na abordagem europeia para cibersegurança, com foco em resiliência, resposta a incidentes e segurança da cadeia de suprimentos.
NIS2 vs NIS1: principais mudanças
- Escopo ampliado: De 7 setores (NIS1) para 18 setores
- Mais entidades: Inclui médias empresas, não apenas grandes
- Penalidades maiores: Até EUR 10M ou 2% do faturamento global
- Supply chain: Requisitos explícitos para segurança de fornecedores
- Responsabilidade pessoal: Gestores podem ser responsabilizados
- Notificação mais rápida: 24h para alerta inicial (vs 72h antes)
Escopo e Setores Afetados
NIS2 categoriza entidades em duas classes: essenciais (requisitos mais rigorosos) e importantes (requisitos um pouco menos rigorosos, mas ainda significativos).
Setores de alta criticidade (Entidades Essenciais)
Energia
Eletricidade, petróleo, gás, hidrogênio, aquecimento/resfriamento distrital
Transporte
Aéreo, ferroviário, marítimo, rodoviário
Bancário
Instituições de crédito conforme regulamento CRR
Mercado Financeiro
Operadores de plataformas de negociação
Saúde
Hospitais, laboratórios, fabricantes de dispositivos médicos, farmácias
Água
Abastecimento de água potável e tratamento de águas residuais
Infraestrutura Digital
IXPs, DNS, TLDs, cloud, data centers, CDNs, provedores de confiança
Administração Pública
Entidades governamentais centrais e regionais
Espaço
Operadores de infraestrutura terrestre de suporte a serviços espaciais
Outros setores críticos (Entidades Importantes)
Serviços Postais
Correios e serviços de courier
Gestão de Resíduos
Empresas de coleta e tratamento de resíduos
Química
Fabricação, produção e distribuição de produtos químicos
Alimentos
Produção, processamento e distribuição de alimentos
Manufatura
Dispositivos médicos, computadores, eletrônicos, veículos, máquinas
Provedores Digitais
Marketplaces online, motores de busca, redes sociais
Pesquisa
Organizações de pesquisa
Critérios de tamanho
| Categoria | Funcionários | Faturamento | Classificação |
|---|---|---|---|
| Grande empresa setor essencial | >250 | >EUR 50M | Entidade Essencial |
| Média empresa setor essencial | 50-250 | EUR 10-50M | Entidade Importante |
| Grande empresa setor importante | >250 | >EUR 50M | Entidade Importante |
| Média empresa setor importante | 50-250 | EUR 10-50M | Entidade Importante |
Requisitos de Segurança
O Artigo 21 da NIS2 especifica medidas mínimas de gestão de riscos de cibersegurança que todas as entidades cobertas devem implementar:
Medidas obrigatórias
- Políticas de análise de riscos e segurança de sistemas de informação
- Tratamento de incidentes (prevenção, detecção, resposta)
- Continuidade de negócios e gestão de crises (backups, disaster recovery)
- Segurança da cadeia de suprimentos (avaliação de fornecedores)
- Segurança na aquisição, desenvolvimento e manutenção de sistemas
- Avaliação da eficácia das medidas de gestão de riscos
- Práticas de higiene cibernética e treinamento
- Políticas de criptografia
- Segurança de recursos humanos, controle de acesso e gestão de ativos
- Autenticação multifator (MFA) e comunicações seguras
Frameworks de referência
NIS2 não prescreve um framework específico, mas organizações podem usar ISO 27001, NIST CSF ou CIS Controls como base para demonstrar conformidade. A ENISA publicará guias técnicos complementares.
Notificação de Incidentes
NIS2 estabelece um processo de notificação em múltiplas etapas para incidentes significativos:
| Etapa | Prazo | Conteúdo |
|---|---|---|
| Alerta inicial | 24 horas | Indicação se incidente é suspeito de ser malicioso ou transfronteiriço |
| Notificação de incidente | 72 horas | Atualização com avaliação inicial, severidade, impacto, IoCs |
| Relatório final | 1 mês | Descrição detalhada, causa raiz, medidas de mitigação, impacto transfronteiriço |
O que constitui um "incidente significativo"
- Causou ou pode causar perturbação operacional grave
- Causou ou pode causar perdas financeiras para a entidade
- Afetou ou pode afetar outras pessoas/entidades com danos materiais ou imateriais consideráveis
Penalidades e Responsabilidades
NIS2 introduz penalidades significativamente mais severas que a diretiva anterior:
Multas administrativas
| Categoria | Multa Máxima |
|---|---|
| Entidades Essenciais | EUR 10 milhões ou 2% do faturamento global anual (o que for maior) |
| Entidades Importantes | EUR 7 milhões ou 1.4% do faturamento global anual (o que for maior) |
Responsabilidade pessoal da gestão
Gestores podem ser pessoalmente responsabilizados
NIS2 Artigo 32 permite que Estados-Membros responsabilizem pessoalmente membros de órgãos de gestão por violações. Sanções podem incluir:
- Suspensão temporária de funções de gestão
- Proibição temporária de exercer cargos de direção
- Divulgação pública de violações e responsáveis
Impactos para Empresas Brasileiras
Empresas brasileiras podem ser afetadas pela NIS2 em vários cenários:
1. Subsidiárias na UE
Se a empresa brasileira tem filial, subsidiária ou representante legal em país da UE operando em setor coberto pela NIS2, essa entidade europeia está diretamente sujeita a diretiva.
2. Provedores de serviços digitais
Empresas brasileiras que oferecem serviços digitais (cloud, SaaS, marketplace, etc.) para clientes na UE estão cobertas se atingirem os critérios de tamanho. A regra é: se presta serviços na UE, está sujeita a NIS2.
3. Cadeia de suprimentos
Mesmo sem presença direta na UE, empresas brasileiras que são fornecedoras de entidades europeias cobertas pela NIS2 enfrentarão requisitos contratuais de segurança. O Artigo 21 exige que entidades avaliem e gerenciem riscos de seus fornecedores.
Exemplo prático: supply chain
Uma empresa brasileira de software que fornece sistema para hospital alemão (entidade essencial) será obrigada contratualmente a:
- Demonstrar práticas de desenvolvimento seguro
- Responder a requisitos de due diligence de segurança
- Notificar vulnerabilidades descobertas
- Participar de processos de resposta a incidentes
4. Exportadores de tecnologia
Fabricantes brasileiros de equipamentos de TI, IoT, dispositivos médicos ou industriais que exportam para UE enfrentam requisitos de segurança desde o design (security by design) para atender critérios de seus clientes europeus.
Como se Preparar para NIS2
Fase 1: Assessment de escopo
- Determinar se sua organização está no escopo (setor + tamanho)
- Mapear presença e operações na UE
- Identificar entidades europeias para as quais você é fornecedor
- Verificar transposição local nos países onde atua (pode haver variação)
Fase 2: Gap analysis
- Comparar controles atuais com os 10 requisitos do Artigo 21
- Avaliar maturidade de resposta a incidentes
- Revisar capacidades de notificação (24h/72h/1 mês)
- Analisar gestão de risco de fornecedores
Fase 3: Remediation
- Implementar controles faltantes (MFA, criptografia, BCP/DR)
- Estabelecer processo de gestão de incidentes alinhado aos prazos NIS2
- Criar programa de gestão de risco de terceiros
- Treinar gestão sobre suas responsabilidades pessoais
- Documentar políticas e procedimentos
Fase 4: Governança contínua
- Estabelecer mecanismo de reporte ao board (Art. 20 exige aprovação da gestão)
- Implementar avaliações periódicas de eficácia
- Manter registros para demonstrar conformidade
- Monitorar atualizações regulatórias e guias da ENISA
Certificações que ajudam
ISO 27001 cobre grande parte dos requisitos NIS2 e é reconhecida na UE. SOC 2 também demonstra maturidade de controles. Considere quantificação de risco para priorizar investimentos.
Perguntas Frequentes
Em geral, não. NIS2 se aplica a médias e grandes empresas (>50 funcionários ou >EUR 10M faturamento). Porém, há exceções: provedores de serviços de confiança, registros de nomes de domínio e provedores DNS estão cobertos independentemente do tamanho. Estados-Membros também podem designar entidades menores como críticas.
Não é obrigação regulatória direta para você, mas é uma obrigação contratual. Seu cliente europeu é obrigado pela NIS2 a gerenciar riscos de sua cadeia de suprimentos, e exigirá de você evidências de segurança. Recusar pode significar perder o cliente ou contrato.
São complementares: NIS2 cobre setores críticos em geral. DORA (Digital Operational Resilience Act) é específico para setor financeiro com requisitos mais detalhados. CRA (Cyber Resilience Act) cobre produtos com elementos digitais (hardware/software). Uma empresa pode estar sujeita a múltiplas regulamentações.
Conclusão
A NIS2 representa uma mudança de paradigma na regulamentação europeia de cibersegurança. Com escopo ampliado, penalidades severas e responsabilidade pessoal de gestores, as organizações não podem mais tratar cibersegurança como questão puramente técnica.
Para empresas brasileiras, os impactos são reais: seja por operações diretas na UE, prestação de serviços digitais ou participação em cadeias de suprimentos de clientes europeus. A preparação deve começar com assessment de escopo e gap analysis contra os requisitos do Artigo 21.
A boa notícia: investimentos em conformidade NIS2 fortalecem a postura de segurança global da organização e podem ser alavancados para atender outras regulamentações como LGPD, requisitos de M&A e demandas de clientes em qualquer região.
Precisa de Ajuda com Conformidade NIS2?
Oferecemos assessment de escopo, gap analysis e implementação de controles alinhados a NIS2.
Falar com Especialista