nis2 - RunkIntel

# NIS2 Directive > [!abstract] Síntese > A Diretiva NIS2 (Network and Information Security 2) é o principal regulamento de cibersegurança da União Europeia, que substituiu a NIS1 em outubro de 2024. Ampliou drasticamente o escopo - de setores críticos seletos para 18 setores, incluindo administração pública, gerenciamento de resíduos, produção de alimentos e espaço. Empresas brasileiras com operações, subsidiárias ou clientes na UE **podem estar sujeitas à NIS2** mesmo sem sede europeia. O regulamento compartilha DNA com a [[lgpd|LGPD]] - foco em gestão de risco, notificação de incidentes e responsabilização executiva - mas vai além em obrigações técnicas específicas e penalidades severas. --- ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Escopo - Quem Está Sujeito à NIS2 ```mermaid graph TB NIS2["🇪🇺 NIS2 Directive Entidades na UE ou com operações significativas na UE"] NIS2 --> ESS["🔴 Entidades Essenciais (Higher Risk)"] NIS2 --> IMP["🟧 Entidades Importantes (Standard Risk)"] ESS --> E1["Energia (eletricidade, petróleo, gás, hidrogênio)"] ESS --> E2["Transportes (aéreo, ferroviário, marítimo)"] ESS --> E3["Setor Bancário e Infraestrutura Financeira"] ESS --> E4["Saúde e Farmacêutico"] ESS --> E5["Infraestrutura Digital (IXPs, DNS, TLD, Cloud, DC)"] ESS --> E6["Água Potável e Águas Residuais"] ESS --> E7["Administração Pública Central"] ESS --> E8["Espaço"] IMP --> I1["Correios e Entregas"] IMP --> I2["Gestão de Resíduos"] IMP --> I3["Químicos e Alimentos"] IMP --> I4["Fabricação (medtech, veículos, eletroeletrônicos)"] IMP --> I5["Fornecedores Digitais (e-commerce, motores de busca)"] IMP --> I6["Pesquisa"] style NIS2 fill:#1a1a2e,stroke:#e94560,color:#fff style ESS fill:#16213e,stroke:#e74c3c,color:#fff style IMP fill:#16213e,stroke:#f39c12,color:#fff ``` --- ## Principais Obrigações ### 1. Gestão de Risco de Cibersegurança (Art. 21) Entidades devem implementar medidas técnicas e organizacionais proporcionais ao risco, incluindo: | Obrigação | Detalhe | | --------- | ------- | | Análise de risco | Avaliação formal de riscos de SI e políticas de segurança | | Gestão de incidentes | Procedimentos de detecção, análise e resposta | | Continuidade de negócios | BCP/DRP, recuperação de sistemas, gestão de crise | | Segurança da cadeia de suprimentos | Avaliação de riscos de fornecedores e parceiros | | Segurança em aquisições | Políticas de desenvolvimento e manutenção segura de sistemas | | Criptografia | Uso de criptografia e controles criptográficos | | Gestão de acesso | MFA, comúnicações seguras, sistemas de emergência | | Conscientização | Treinamento de funcionários e práticas de higiene cibernética | ### 2. Notificação de Incidentes (Art. 23) Prazos obrigatórios - mais rigorosos que a [[lgpd|LGPD]]: | Prazo | Ação Obrigatória | | ----- | ---------------- | | 24 horas | **Alerta inicial** à autoridade competente nacional | | 72 horas | **Notificação de incidente** com avaliação inicial de impacto | | 1 mês | **Relatório final** com análise completa, causa raiz e medidas tomadas | > [!warning] Comparação com LGPD > A [[lgpd|LGPD]] exige notificação à ANPD "em prazo razoável" - interpretado como 72 horas pela ANPD. A NIS2 é mais prescritiva: alerta em 24h + notificação completa em 72h + relatório final em 1 mês. ### 3. Responsabilidade da Liderança (Art. 20) Novidade importante: a NIS2 responsabiliza **diretamente os executivos** pelo cumprimento: - Conselhos de administração devem aprovar medidas de gestão de risco - Executivos podem ser **pessoalmente responsabilizados** por violações - Obrigação de treinamento periódico em cibersegurança para gestores --- ## Penalidades | Categoria | Penalidade Máxima | | --------- | ----------------- | | Entidades Essenciais | €10 milhões ou **2% do faturamento global** (o que for maior) | | Entidades Importantes | €7 milhões ou **1,4% do faturamento global** (o que for maior) | | Pessoa física responsável | Sanção pessoal + possível proibição de exercer cargo | As penalidades são comparáveis ao GDPR - e podem ser aplicadas por qualquer Estado-Membro da UE onde a entidade opere. --- ## NIS2 vs NIS1 - Principais Mudanças | Aspecto | NIS1 (2016) | NIS2 (2024) | | ------- | ----------- | ----------- | | Setores cobertos | 7 setores essenciais | 18 setores (essenciais + importantes) | | Tamanho mínimo | Discricionário por Estado | ≥50 funcionários ou €10M faturamento | | Cadeia de suprimentos | Menção básica | Obrigação explícita de gestão | | Responsabilidade executiva | Implícita | Explícita - pessoal | | Prazo de notificação | 72h (alguns países) | 24h (alerta) + 72h (notificação) | | Penalidades | Discricionárias por país | Harmonizadas (2% faturamento global) | | Registro e supervisão | Variado por país | ENISA + autoridades nacionais | --- ## Impacto em Empresas Brasileiras A NIS2 tem **alcance extraterritorial** relevante para o Brasil: ### Quem no Brasil pode estar sujeito à NIS2 | Cenário | Exposição | | ------- | --------- | | Subsidiária de empresa brasileira com sede na UE | Alta - a subsidiária europeia deve cumprir | | Empresa brasileira com clientes corporativos na UE | Média - via cláusulas contratuais de segurança de cadeia de suprimentos | | Fornecedor de TI/software para entidades europeias | Alta - NIS2 Art. 21 exige que clientes avaliem seus fornecedores | | Empresa brasileira listada em bolsas europeias | Baixa-média - depende do setor de atuação | ### Setores brasileiros mais expostos - **[[financial|Fintech e bancário]]**: Empresas que processam pagamentos para clientes europeus ou têm licenças bancárias na UE - **[[telecommunications|Telecomúnicações]]**: Provedores de serviços de comúnicação com presença europeia - **[[technology|Tecnologia]]**: SaaS e plataformas digitais com usuários corporativos na UE - **[[energy|Energia]]**: Empresas como Petrobras e subsidiárias com operações ou parceiros europeus --- ## Alinhamento NIS2 x LGPD As empresas brasileiras que precisam atender ambas as regulações podem se beneficiar da complementaridade: | Requisito | NIS2 | LGPD | | --------- | ---- | ---- | | Gestão de Risco | Art. 21 - medidas técnicas e organizacionais | Art. 46 - medidas de segurança técnicas | | Notificação de Incidente | Art. 23 - 24h+72h+1mês | Art. 48 - prazo razoável (≤72h) | | Responsabilidade executiva | Art. 20 - liderança responsável | Art. 41 - Encarregado (DPO) | | Cadeia de suprimento | Art. 21(d) - avaliação de fornecedores | Art. 39 - responsabilidade solidária | | Continuidade | Art. 21(c) - BCP/DRP formal | Art. 46 - integridade e disponibilidade | > [!tip] Estrategia Dupla Conformidade > Implementar [[iso-27001|ISO 27001:2022]] + controles específicos de notificação é a rota mais eficiente para atender NIS2 e LGPD simultaneamente. O SGSI serve como estrutura-mãe para ambos os regulamentos. --- > [!latam] Relevância para o Brasil > A NIS2 tem impacto crescente no Brasil por dois ângulos: (1) empresas brasileiras com operações ou fornecedores na UE estão sujeitas aos requisitos de segurança da cadeia de suprimentos (Art. 21), com grandes corporações europeias como **Volkswagen**, **Airbus** e **Siemens** exigindo adequação NIS2 de parceiros locais; (2) a NIS2 serve de referência direta para o projeto de lei de cibersegurança em tramitação no Congresso Nacional. Setores como fintechs com licenças europeias, telecomúnicações e energia (Petrobras) são os mais expostos. Empresas que já atendem **LGPD** e **ISO 27001** têm base sólida para adequação NIS2. ## Relevância para o Brasil Além do impacto direto em empresas com operações europeias, a NIS2 tem importância estratégica para o Brasil: - **Referência regulatória**: O Brasil discute uma lei específica de cibersegurança (projeto em tramitação no Congresso) - a NIS2 é referência para o que pode vir - **[[government|Governo Federal]]**: Empresas que prestam serviços para governos europeus via contratos com Brasil devem avaliar exposição - **Benchmarking**: A NIS2 eleva o padrão mínimo de segurança na UE - empresas brasileiras que quiserem expandir para o mercado europeu precisam adequar postura - **Cadeia de suprimentos global**: Grandes corporações europeias (Volkswagen, Airbus, Siemens) com operações no Brasil incluirão requisitos NIS2 em contratos com fornecedores locais --- ## Referências - [NIS2 Directive - Texto oficial EUR-Lex](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555) - [ENISA - NIS2 Implementation Guide](https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new) - [ENISA - NIS2 Sectoral Guides](https://www.enisa.europa.eu/) - [Comparativo NIS1 vs NIS2 - ENISA](https://www.enisa.europa.eu/news/the-nis-directive-is-now-nis-2) - [ANPD - Compatibilidade LGPD e regulações internacionais](https://www.gov.br/anpd/pt-br) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**