NIS2 (Diretiva UE 2022/2555): obrigações de cibersegurança e o que muda para empresas brasileiras que operam na União Europeia

Resposta direta

A NIS2 (Diretiva UE 2022/2555) é a norma europeia de cibersegurança que amplia o escopo da antiga NIS, abrangendo setores essenciais e importantes. Exige gestão de risco com as medidas mínimas do art. 21, reporte de incidentes em fases (alerta em 24h, notificação em 72h e relatório final em 1 mês) e responsabiliza a alta gestão. Empresas brasileiras costumam ser alcançadas indiretamente, como fornecedoras de entidades reguladas no bloco.

Principais conclusões

  • A NIS2 substitui a Diretiva NIS (2016/1148) e amplia o número de setores e entidades cobertas, classificando-as como entidades essenciais ou importantes com regimes de supervisão distintos.
  • As obrigações centrais são gestão de risco de cibersegurança (medidas mínimas do art. 21), reporte de incidentes em fases (24h, 72h e 1 mês) e responsabilização direta dos órgãos de gestão.
  • Como diretiva, a NIS2 não se aplica diretamente: cada Estado-membro a transpõe para lei nacional, com prazo de transposição até 17 de outubro de 2024.
  • Empresas brasileiras raramente são reguladas diretamente, mas são alcançadas via segurança da cadeia de suprimentos (art. 21) quando fornecem software, serviços gerenciados ou infraestrutura a entidades europeias cobertas.
  • A NIS2 prevê multas administrativas relevantes e medidas de responsabilização de gestores, tornando a conformidade um tema de governança e não apenas de TI.
  • Preparar-se exige mapear exposição contratual com clientes europeus, alinhar controles ao art. 21 e estruturar resposta a incidentes compatível com os prazos de notificação.

O que é a NIS2 e por que ela substitui a diretiva anterior

A NIS2 é a Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, publicada em 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia. Ela revoga a Diretiva (UE) 2016/1148, conhecida como NIS, considerada insuficiente diante da expansão da superfície de ataque e da heterogeneidade na forma como os Estados-membros aplicaram a norma original.

O objetivo declarado é elevar e harmonizar a maturidade de cibersegurança no mercado interno europeu. A NIS2 padroniza critérios de inclusão de entidades, define um conjunto mínimo de medidas de gestão de risco, uniformiza obrigações de notificação de incidentes e reforça os mecanismos de supervisão e cooperação entre autoridades nacionais.

Por ser uma diretiva, e não um regulamento, a NIS2 não produz efeitos diretos imediatos sobre as empresas. Ela vincula os Estados-membros, que devem transpor seu conteúdo para o direito interno. Isso significa que a obrigação concreta de uma empresa nasce da lei nacional de transposição do país onde o cliente europeu está estabelecido, e não do texto da diretiva isoladamente.

Quem é abrangido: setores essenciais e importantes

A NIS2 classifica as entidades cobertas em duas categorias: entidades essenciais e entidades importantes. Os anexos I e II da diretiva listam os setores. O anexo I trata de setores de alta criticidade, como energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços de TIC entre empresas, administração pública e espaço.

O anexo II abrange outros setores críticos, incluindo serviços postais e de correio, gestão de resíduos, fabrico, produção e distribuição de produtos químicos, produção e distribuição de alimentos, fabrico de determinados produtos, fornecedores de serviços digitais (como mercados em linha, motores de busca e plataformas de redes sociais) e investigação.

Em regra, a classificação combina setor e porte. Aplica-se um critério geral de dimensão: entidades de médio e grande porte dos setores listados tendem a ser abrangidas, com entidades essenciais sujeitas a supervisão proativa e entidades importantes a supervisão reativa, acionada após indícios de descumprimento. Há exceções em que entidades de menor porte também são incluídas, por exemplo quando prestam serviços críticos cuja interrupção teria impacto significativo, conforme os critérios do art. 2 e do art. 3 da diretiva.

Alcance para empresas fora da UE e o efeito cadeia de suprimentos

Uma empresa brasileira que não tenha estabelecimento na União Europeia geralmente não é uma entidade regulada diretamente pela NIS2. A diretiva foca em entidades que prestam serviços ou estão estabelecidas no bloco. Há, porém, regras específicas de jurisdição para certos prestadores de serviços digitais e de infraestrutura, que podem ser obrigados a designar um representante na União quando oferecem serviços dentro dela, conforme os critérios de jurisdição e territorialidade do art. 26.

O alcance prático mais comum para empresas brasileiras é indireto, por meio da segurança da cadeia de suprimentos. O art. 21 exige que as entidades europeias cobertas considerem os riscos associados a seus fornecedores e prestadores de serviços, incluindo a qualidade das práticas de cibersegurança desses parceiros. Na prática, isso transfere exigências contratuais para fornecedores de software, provedores de serviços gerenciados, integradores e operadores de infraestrutura situados fora do bloco.

Para um SaaS, uma indústria exportadora ou uma empresa de serviços brasileira que atende clientes europeus regulados, isso costuma se materializar em cláusulas contratuais, questionários de segurança, requisitos de notificação de incidentes em prazos curtos e direitos de auditoria. Ignorar esse efeito cadeia pode resultar em perda de contratos ou exclusão de processos de homologação de fornecedores.

As obrigações: medidas do art. 21 e responsabilização da gestão

O coração das obrigações está no art. 21, que estabelece medidas de gestão de risco de cibersegurança baseadas em uma abordagem de todos os perigos. O conjunto mínimo inclui políticas de análise de riscos e de segurança dos sistemas de informação; tratamento de incidentes; continuidade das atividades e gestão de crises; segurança da cadeia de suprimentos; segurança na aquisição, desenvolvimento e manutenção de sistemas, incluindo gestão de vulnerabilidades; políticas e procedimentos para avaliar a eficácia das medidas; práticas básicas de ciberhigiene e formação.

O rol prossegue com políticas de uso de criptografia e, quando adequado, cifragem; segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos; e, sempre que apropriado, soluções de autenticação multifatorial ou contínua, comunicações de voz, vídeo e texto seguras e sistemas de comunicação de emergência protegidos. As medidas devem ser proporcionais ao risco, ao porte e à exposição da entidade.

A NIS2 introduz responsabilização explícita da alta gestão. O art. 20 determina que os órgãos de direção das entidades aprovem as medidas de gestão de risco, supervisionem sua aplicação e possam ser responsabilizados por incumprimentos. A diretiva também prevê que os membros desses órgãos recebam formação adequada para identificar riscos e avaliar práticas de cibersegurança, deslocando o tema para o nível de governança corporativa.

Reporte de incidentes: os prazos de 24h, 72h e 1 mês

O art. 23 estabelece um regime de notificação de incidentes significativos em fases, dirigido à autoridade competente ou ao CSIRT designado. Um incidente é considerado significativo quando causa, ou é suscetível de causar, perturbação operacional grave dos serviços ou perdas financeiras, ou quando afeta outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis.

O primeiro marco é o alerta precoce, que deve ser feito sem demora injustificada e, em qualquer caso, no prazo de 24 horas após a entidade ter tido conhecimento do incidente significativo. Em seguida, no prazo de 72 horas, deve ser apresentada uma notificação de incidente com avaliação inicial, incluindo gravidade, impacto e, quando disponíveis, indicadores de comprometimento.

A pedido do CSIRT ou da autoridade, podem ser exigidos relatórios intercalares. O relatório final deve ser entregue no prazo de um mês após a notificação do incidente, contendo descrição detalhada, tipo de ameaça ou causa raiz, medidas de mitigação aplicadas e, quando aplicável, o impacto transfronteiriço. Para uma empresa na cadeia de fornecimento, atender a esses prazos contratuais exige processos de detecção e resposta já estruturados, e não improvisados após o incidente.

Transposição pelos Estados-membros e como uma empresa brasileira se prepara

A diretiva fixou 17 de outubro de 2024 como prazo para os Estados-membros adotarem e publicarem as medidas de transposição, com aplicação a partir do dia seguinte. Na prática, o ritmo de transposição variou entre os países, de modo que as obrigações específicas, autoridades competentes, limiares de incidente significativo e regimes sancionatórios dependem da lei nacional aplicável a cada cliente europeu.

Para uma empresa brasileira, a preparação começa por mapear a exposição: identificar quais clientes europeus são entidades essenciais ou importantes, em quais Estados-membros operam e quais obrigações contratuais já decorrem ou decorrerão dessa condição. Em paralelo, convém alinhar os controles internos às medidas do art. 21, com ênfase em gestão de risco, segurança da cadeia, gestão de vulnerabilidades e capacidade de resposta a incidentes.

A NIS2 também prevê regimes sancionatórios robustos, com multas administrativas que, para entidades essenciais, podem alcançar valores significativos definidos em proporção ao volume de negócios, e medidas adicionais sobre a gestão. Embora as sanções recaiam sobre as entidades reguladas, o efeito se propaga aos fornecedores via contrato. Estruturar conformidade de forma documentável passa a ser um diferencial competitivo na disputa por contratos europeus, e não apenas uma defesa jurídica.

Como se adequar

  1. 1

    Mapear exposição à NIS2

    Liste clientes e prospects europeus, identifique quais se enquadram como entidades essenciais ou importantes e em quais Estados-membros operam, para entender a lei nacional de transposição aplicável.

  2. 2

    Revisar contratos e cláusulas de segurança

    Analise contratos vigentes e modelos de fornecimento em busca de obrigações de cibersegurança, prazos de notificação de incidentes, direitos de auditoria e requisitos de cadeia de suprimentos derivados do art. 21.

  3. 3

    Fazer o gap assessment contra o art. 21

    Compare seus controles atuais com as medidas mínimas do art. 21, incluindo gestão de risco, tratamento de incidentes, continuidade, criptografia, controle de acesso e MFA, e documente as lacunas.

  4. 4

    Estruturar a gestão de risco e da cadeia de suprimentos

    Implemente uma política de análise de riscos, avaliação dos próprios fornecedores e gestão de vulnerabilidades, garantindo rastreabilidade das decisões para fins de auditoria e governança.

  5. 5

    Montar capacidade de detecção e resposta

    Implante monitoramento contínuo e um plano de resposta a incidentes com papéis definidos, capaz de sustentar alerta em 24 horas, notificação em 72 horas e relatório final em 1 mês quando exigido contratualmente.

  6. 6

    Engajar a alta gestão

    Apresente os riscos e obrigações ao órgão de direção, formalize a aprovação das medidas e promova formação adequada, refletindo a responsabilização prevista no art. 20.

  7. 7

    Manter evidências e revisar periodicamente

    Documente políticas, testes e incidentes, e reavalie os controles em ciclos regulares e a cada mudança relevante de cliente, serviço ou ameaça.

Perguntas frequentes

A NIS2 se aplica diretamente à minha empresa brasileira?

Em regra, não diretamente, se a empresa não tem estabelecimento na UE. O alcance costuma ser indireto, via cadeia de suprimentos, quando você fornece software, serviços gerenciados ou infraestrutura a entidades europeias cobertas, que repassam exigências por contrato. Há regras específicas de jurisdição para certos prestadores digitais no art. 26.

Qual a diferença entre entidade essencial e entidade importante?

Ambas têm as mesmas obrigações de gestão de risco e notificação, mas diferem no regime de supervisão e sanção. Entidades essenciais estão sujeitas a supervisão proativa e regimes sancionatórios mais severos; entidades importantes ficam sob supervisão reativa, acionada quando há indícios de descumprimento.

Quais são os prazos de notificação de incidentes?

São três marcos principais: alerta precoce em até 24 horas após o conhecimento do incidente significativo, notificação com avaliação inicial em até 72 horas e relatório final em até um mês. Relatórios intercalares podem ser solicitados pela autoridade ou pelo CSIRT, conforme o art. 23.

O que muda para a alta gestão da empresa?

A NIS2 responsabiliza explicitamente os órgãos de direção. Eles devem aprovar e supervisionar as medidas de gestão de risco e podem ser responsabilizados por incumprimentos, além de receber formação adequada para avaliar práticas de cibersegurança, conforme o art. 20.

A NIS2 já está em vigor?

A diretiva está em vigor desde 2023, mas, por ser diretiva, depende de transposição nacional. O prazo para os Estados-membros transporem foi 17 de outubro de 2024. As obrigações concretas decorrem da lei nacional aplicável a cada cliente europeu, cujo ritmo de adoção variou entre os países.

Quais medidas mínimas o art. 21 exige?

Entre outras: políticas de análise de riscos e de segurança, tratamento de incidentes, continuidade e gestão de crises, segurança da cadeia de suprimentos, gestão de vulnerabilidades, avaliação de eficácia, ciberhigiene e formação, criptografia, controle de acesso, gestão de ativos e, quando adequado, autenticação multifatorial.

Que sanções a NIS2 prevê?

A diretiva define regimes sancionatórios com multas administrativas, proporcionais ao volume de negócios e mais severas para entidades essenciais, além de medidas sobre a gestão. As sanções recaem sobre as entidades reguladas, mas o impacto se propaga aos fornecedores por meio de exigências contratuais.

Como começo a me preparar de forma prática?

Comece mapeando a exposição com clientes europeus regulados, revise contratos, faça um gap assessment contra o art. 21, estruture gestão de risco e resposta a incidentes compatível com os prazos de 24h, 72h e 1 mês, e engaje a alta gestão. A Decripte apoia esse percurso com gestão de risco, monitoramento e SOC, resposta a incidentes e conformidade na vertente de Segurança Normativa.

Fontes

A Decripte implementa a conformidade — sem você montar um time interno.

Diagnóstico de aderência, controles técnicos auditáveis, pentest e documentação para o regulador/auditor. Ou comece de graça vendo o que já está exposto.