Descobrindo a Diretiva NIS2: Segurança e Resiliência dos Sistemas Digitais na União Europeia

A Apple apresenta a Imposição de Integridade de Memória. Será este o fim do hacking? - Against Invaders - Notícias de CyberSecurity para humanos.

Descobrindo a Diretiva NIS2: Segurança e Resiliência dos Sistemas Digitais na União Europeia

Riccardo Nuti:15 de novembro de 2025 15:22

Em 10 de novembro de 2022, o Parlamento Europeu, por ampla maioria, aprovou a Diretiva NIS2 (Segurança de Sistemas de Redes e Informação) com sua publicação no Jornal Oficial da União Europeia ( Diretiva da UE 2022/2555 ) em 27 de dezembro de 2022. A Diretiva NIS2 altera o Regulamento (UE) nº 910/2014 e a Diretiva (UE) 2018/1972, e indica sua implementação pelos Estados-Membros da UE até 17 de outubro de 2024.

Indo Além do NIS1 (2016)

Como todos os documentos relacionados à tecnologia, mas especialmente à segurança digital, eles não devem ser monolíticos e definitivos, mas devem levar em conta os contextos tecnológicos, sociológicos (por exemplo, pandemia de COVID), geopolíticos (por exemplo, guerra na Ucrânia) e quaisquer melhorias potenciais relacionadas à “aplicabilidade” e “aplicação” da legislação específica em questão.

O cenário geral, do ponto de vista dos equipamentos e da infraestrutura tecnológica relacionada, apresenta um risco crescente no geral, diferente de tudo que havia sido visto em anos anteriores. Os Estados-membros, e portanto a União Europeia, sentiram a necessidade de aumentar sua capacidade de resiliência, resposta e compartilhamento de riscos. Isso significa aumentar as interações entre os Estados para responder às ameaças de forma unificada, compartilhando informações e tomando ações rápidas para reduzir o risco para os stakeholders individuais de ataques cibernéticos ou, de forma mais geral, de situações não intencionais de degradação ou interrupção da funcionalidade operacional de equipamentos e sistemas, como empresas e Administrações públicas, que são as primeiras a serem expostas a ameaças cibernéticas.

Por que NIS2

Os principais elementos que levaram à reemissão do NIS2 foram:

  • Uma nova classificação de entidades operando dentro de Estados Membros individuais, conhecidos como Entidades Essenciais (EE) e Entidades Importantes (IE), substituindo a classificação anterior de OSEs (Operadores de Serviços Essenciais) e FSDs (Provedores de Serviços Digitais). Essa exigência surge da falta de diferenciação entre OSEs e FSDs ” que se mostrou obsoleto, pois não reflete a real importância dos setores ou serviços para atividades sociais e econômicas no mercado interno ” (recital 7). Essa distinção, além de eliminar incertezas e proporcionar uniformidade na identificação do tipo de serviços (Essenciais ou Importantes), afeta principalmente os mecanismos de supervisão aplicados e não está vinculada a obrigações de notificação ou à aplicação de medidas de segurança específicas.

A distinção entre Entidades Essenciais e Importantes depende do serviço oferecido, do tamanho em termos de funcionários e receita, e de sua criticidade. Quanto ao tamanho, sua identificação fica a cargo dos Estados-Membros, mas, ao mesmo tempo, para evitar incerteza por parte dos Estados individuais e inconsistências na aplicação da Diretiva em questão, a Diretiva se refere à Recomendação da Comissão 2003/361/CE (Artigo 2, parágrafo 1) para a identificação objetiva e uniforme de um critério de limiar pelo qual as empresas são prontamente identificadas como “empresas de médio porte” ou aquelas que excedem os limites para empresas de médio porte. Nesse sentido, a UE também prevê que Estados Membros individuais possam incluir, independentemente de seu tamanho, pequenas e microempresas na aplicação da referida Diretiva se, devido à sua criticidade, desempenharem papéis-chave ” para a sociedade, a economia ou para setores ou tipos específicos de serviço ” (recital 7);

  • Introdução de entidades adicionais desempenhando funções importantes , além da Diretiva anterior, para garantir a continuidade operacional e a resiliência dos serviços considerados essenciais para o bom funcionamento de uma nação. Especificamente, o Anexo 1 lista os recém-introduzidos “Setores Altamente Críticos” como: “Águas residuais”, “Gestão dos Serviços de TIC (Tecnologias da Informação e Comunicação)” e “Administração Pública e Espaço”. O Anexo 2 lista os recém-introduzidos “Outros Setores Críticos” como: “Serviços Postais e de Courier”, “Gestão de Resíduos, Pesquisa, Manufatura, Produção e Distribuição de Produtos Químicos”, e “Produção, Processamento e Distribuição de Alimentos.”

Para maior completude, serviços adicionais já presentes na Diretiva anterior são listados, novamente divididos em “Setores Altamente Críticos” e “Outros Críticos Setores.” O primeiro grupo inclui os seguintes serviços: “Energia”, “Transporte”, “Bancos”, “Infraestrutura de Mercado Financeiro”, “Saúde”, “Água Potável” e “Infraestrutura Digital.” O segundo grupo inclui os serviços “Manufatura” (de sistemas de saúde, computadores, equipamentos eletrônicos, meios de transporte, veículos motorizados, etc.), “Provedores de Serviços Digitais” e “Pesquisa.”

A Diretiva NIS2 não se aplica a órgãos de administração pública cujas entidades operam predominantemente ” nas áreas de segurança nacional, segurança pública, defesa ou realização de atividades de aplicação da lei, incluindo prevenção, investigação, detecção e acusação de crimes ”;

  • A Diretiva especifica ainda o regime de supervisão para Pessoas Essenciais e Pessoas Importantes . Em particular, os primeiros têm direito a um ” regime abrangente, ex-ante e ex-post de supervisão ” (Artigo 32); enquanto “Pessoas Importantes” devem estar sujeitas a um ” Regime de supervisão leve, ex-posto, apenas ” (Artigo 33), que intervém em caso de constatações ou relatos de incumprimento. Estas deveriam, na prática, ter um regime de supervisão “reativo”, cuja ação pode ser desencadeada por provas, indicações ou informações apresentadas às autoridades, que possam identificar possíveis violações da Diretiva em questão.

Os Estados-Membros individuais devem garantir que as medidas de supervisão ou fiscalização impostas às Pessoas Essenciais e Importantes, em relação às obrigações estabelecidas na Diretiva NIS2 (com especial referência aos Artigos 21 e 23), ” são eficazes, proporcionais e dissuasorias, levando em conta as circunstâncias de cada caso individual ” (Artigo 32, parágrafo 1). Especificamente, os Estados-Membros, por meio de suas autoridades nacionais competentes (para a Itália, a Agência Nacional de Cibersegurança), podem decidir submeter Pessoas Essenciais a: inspeções no local, auditorias de segurança, auditorias ad hoc, varreduras de segurança e solicitações de informações necessárias para avaliar as medidas de gestão de riscos de cibersegurança adotadas.

Se, após as investigações, as medidas adotadas se mostrarem ineficazes, o Estado-Membro garantirá que sua autoridade competente (ou seja, a ACN) tenha o poder de estabelecer um prazo para que uma Pessoa Essencial seja obrigada a implementar ações vinculativas e relatar sobre sua implementação. Mesmo para Pessoas Importantes, caso não cumpram a Diretiva NIS2, as autoridades competentes devem agir prontamente por meio de medidas de supervisão ex post, levando em conta, como já mencionado, a aplicação de controles que sejam “eficazes, proporcionais e dissuasorios.”

  • O “Obrigações de Notificação” são por prazo definido (Artigo 23). Em particular, Pessoas Essenciais e Importantes devem notificar prontamente o CSIRT (Equipe de Resposta a Incidentes de Segurança Informática) ou a autoridade competente sobre qualquer incidente que impacte significativamente a prestação de seus serviços. Especificamente:
    • dentro de 24 horas após tomar conhecimento do incidente significativo, com uma avaliação de alerta precoce que pode indicar se é resultado de um ato ilegítimo ou malicioso e se os passos iniciais podem determinar um possível impacto transfronteiriço;
    • em até 72 horas, a fim de atualizar e adicionar informações já enviadas ao serem detectadas pelo incidente significativo, incluindo sua gravidade e impacto no momento detectado, bem como, igualmente importante para a comunidade IoC (Indicador de Comprometimento);
    • Dentro de um mês após a transmissão da notificação do incidente, a submissão de um relatório final contendo: i) uma descrição detalhada do incidente; ii) a gravidade e o impacto; iii) o tipo de ameaça ou causa que provavelmente desencadeou o incidente; iv) qualquer impacto transfronteiriço.

Se o incidente não for concluído até o momento do relatório final, as partes interessadas devem apresentar um relatório sobre a situação e o progresso alcançado até esse ponto, apresentando ” o relatório final dentro de um mês após o gerenciamento do incidente .” Por fim, entre a notificação “dentro de 72 horas” e o “relatório final”, o CSIRT ou, alternativamente, a autoridade competente, pode solicitar relatórios intermediários sobre o status da gestão de incidentes.

  • Com o NIS2, a UE pretendia estabelecer um Forma mínima e objetiva de sanções administrativas no caso de Essential e ImporAs pessoas estão sujeitas a violações da Diretiva, com especial referência aos Artigos 21 e 23 (respectivamente, “Medidas de gestão de riscos de cibersegurança” e “Obrigações de reporte de incidentes”). Essa forma de sanção deve garantir que ” Eles são eficazes, proporcionais e dissuasorios, levando em conta as circunstâncias de cada caso individual ” (Artigo 34, parágrafo 1). As Pessoas Essenciais, se infringirem os requisitos da referida Diretiva, podem estar sujeitas a sanções administrativas pecuniárias” até um máximo de pelo menos 10.000.000 de euros ou até um máximo de pelo menos 2% do faturamento anual mundial total do ano financeiro anterior da empresa à qual a pessoa essencial pertence, o que for maior ” (Artigo 34, parágrafo 4). Da mesma forma, Pessoas Importantes podem estar sujeitas a sanções administrativas e pecuniárias” até um máximo de pelo menos 7.000.000 de euros ou até um máximo de pelo menos 1,4% do faturamento anual mundial total da empresa à qual a pessoa importante pertence para o ano fiscal anterior, o que for maior ” (Artigo 34, parágrafo 5). Os Estados-Membros deverão estabelecer o ” regras sobre penalidades aplicáveis às infrações das medidas nacionais adotadas nos termos desta Diretiva e devem tomar todas as medidas necessárias para garantir sua implementação “. Essas regras e medidas devem ser comunicadas à Comissão até 17 de janeiro de 2025 (Artigo 36);
  • Enfatize e incentive fortemente compartilhamento de informações dentro de cada Estado-Membro. Esse compartilhamento também deve ser implementado entre os 27 Estados-Membros da UE e com quaisquer potenciais terceiros países cujos objetivos e capacidades possam ser refletidos nesta Diretiva. Por exemplo, o relato de incidentes sem atraso excessivo ao CSIRT ou para um “ponto de acesso comum reconhecido ” é enfatizado. Como um passo adicional, e de forma semelhante em nível nacional, a Diretiva pede, também com o apoio da ENISA (Agência da União Europeia para a Cibersegurança), a criação de um mecanismo automático e direto de comunicação entre os Estados-Membros para o compartilhamento transversal e oportuno de informações sobre riscos, ameaças e incidentes, com o objetivo de combater de forma eficaz e rápida qualquer evento indesejado de segurança. Em relação a este último aspecto, para facilitar uma maior discussão transversal e networking entre os Estados-Membros, o ” Rede Europeia de Organizações de Ligação para Crises Cibernéticas (EU-CyCLONe )” foi criada. A rede foi lançada em 2020 e formalizada em 16 de janeiro de 2023, com a entrada em vigor do NIS2 (Artigo 16). Por fim, a Diretiva, enquanto incentiva a divulgação de informações para combater ameaças cibernéticas de forma eficaz e rápida em nível europeu, também considera a oportunidade de Estados individuais proibirem, ou potencialmente limitarem, a divulgação de informações que sejam prejudiciais aos interesses nacionais do Estado-Membro individual (por exemplo, ” Informações Classificadas, Acordos de Confidencialidade “).

Os pilares fundamentais do NIS2

Além das considerações que levaram a uma maior redefinição e direção da Diretiva NIS2 para evitar incerteza e inconsistência, bem como para fornecer uma base mínima para o tratamento comum entre os Estados-Membros em questões de cibersegurança, também é necessário, e acima de tudo, destacar e reconhecer a presença de seis pilares fundamentais que caracterizam significativamente a essência da Diretiva em questão.

Governança Corporativa

Com a Diretiva NIS2, os Estados-Membros passam a ser promotores da busca por maior capacidade para prevenir e gerenciar incidentes cibernéticos entre Entidades Essenciais e Importantes individuais (Artigo 20). Órgãos de gestão corporativo não podem mais delegar aos gestores de sistemas de informação e/ou redes os objetivos, prioridades e medidas a serem implementados para garantir a segurança corporativa. Nesse sentido, a Diretiva exige que os mesmos gestores, que compõem e contribuem para a definição e direção da governança das Entidades Essenciais e Importantes, sejam especificamente treinados para apoiar sua consciência sobre a gestão de processos de cibersegurança, ou seja, a governança das atividades de aprovação de riscos, decisões de apoio a medidas e sua supervisão.

Da mesma forma, o treinamento deve ser fornecido periodicamente aos funcionários para desenvolver o conhecimento e as habilidades necessárias para reconhecer e identificar riscos. Eles devem estar cientes das práticas de gestão de riscos e dos impactos associados aos serviços prestados, caso ocorram. Na prática, é necEssary para promover o crescimento intersetorial e vertical na gestão de riscos cibernéticos entre todas as partes interessadas envolvidas nesse serviço, começando pelos órgãos de gestão e incluindo aqueles responsáveis pela implementação e monitoramento das medidas aprovadas e aplicadas.

Gestão multi-risco

Os riscos que afetam empresas ou administrações públicas que se qualificam como Pessoas Essenciais ou Importantes podem ser endógenos ou exógenos. Por exemplo, o primeiro pode incluir erro humano de um operador ou de um funcionário insatisfeito, bem como problemas técnicos (falhas e atualizações de software, imperfeita/falta de manutenção). Estes últimos podem incluir fenômenos naturais (por exemplo, terremotos, enchentes), eventos maliciosos (hackers ou ativistas) e situações geopolíticas (por exemplo, guerra híbrida). Exemplos foram fornecidos, e esta não é uma lista exaustiva dos riscos que afetam Pessoas Essenciais ou Importantes. No entanto, é importante destacar os múltiplos riscos que precisam ser identificados, analisados e avaliados. Para isso, a Diretiva NIS2, que vai além de uma avaliação puramente técnica de risco, aborda a gestão do serviço oferecido como um ecossistema que pode ser sujeito a uma abordagem de análise “multi-risco” (Artigo 21).

Os requisitos de segurança

Os requisitos de segurança são de particular importância, já que a Diretiva busca fornecer duas diretrizes importantes. A primeira é que os Estados-Membros garantam que as medidas de segurança técnicas, operacionais e organizacionais adotadas pelas Entidades Essenciais e Importantes sejam adequadas e proporcionais à gestão dos riscos relacionados à segurança dos sistemas de informação e redes que apoiam efetivamente os serviços prestados por essas entidades. Essas medidas devem não apenas prevenir atividades e eventos que possam resultar em interrupções parciais ou totais do serviço, mas também minimizar o impacto na eficiência e desempenho de seus serviços e de quaisquer outros serviços relacionados.

A Diretiva não aborda as medidas técnicas de segurança em termos absolutos, mas foca em sua implementação e aplicação em relação a ” Grau de exposição da entidade ao risco , o tamanho da entidade que os implementa, a probabilidade de um evento anormal ocorrer, e também identifica sua gravidade em termos de impacto social e econômico. A segunda indicação é que a Diretiva exige que os Estados-Membros adotem, como parte da chamada gestão de múltiplos riscos, um conjunto de medidas mínimas sobre aspectos específicos a serem analisados e aplicados, a fim de combater de forma eficaz e rápida potenciais eventos indesejados; Em particular, os aspectos específicos indicados pela diretiva em questão são: ” a) análise de riscos e políticas de segurança dos sistemas de informação; b) gestão de incidentes; c) continuidade de negócios, como gerenciamento de backup e recuperação de desastres, e gestão de crises; d) segurança da cadeia de suprimentos, incluindo aspectos de segurança do relacionamento entre cada entidade e seus fornecedores diretos ou prestadores de serviços; e) segurança da aquisição, desenvolvimento e manutenção de sistemas de tecnologia da informação e de rede, incluindo gerenciamento e divulgação de vulnerabilidades; f) estratégias e procedimentos para avaliar a eficácia das medidas de gestão de riscos em cibersegurança; g) práticas básicas de higiene cibernética e treinamento em cibersegurança; h) políticas e procedimentos relativos ao uso da criptografia e, quando apropriado, criptografia; i) segurança de recursos humanos, estratégias de controle de acesso e gestão de ativos; j) uso de soluções de autenticação multifatoral ou contínua, comunicações seguras por voz, vídeo e texto, e sistemas de comunicação emergencial seguros internamente pela entidade, quando aplicável.”

Outra área de preocupação introduzida pela Diretiva em análise diz respeito às potenciais vulnerabilidades que podem surgir na prestação de um serviço ou na produção de um produto por meio da cadeia de suprimentos. Nesse sentido, é necessário avaliar e identificar os riscos associados à relação entre as partes e os fornecedores de produtos e serviços, no que diz respeito à qualidade dos produtos produzidos pelos fornecedores, bem como às práticas metodológicas adotadas pelos fornecedores nos processos de desenvolvimento do código seguro (Artigo 21, parágrafo 3).

Gerenciando a divulgação de vulnerabilidades

Medidas eficazes e oportunas para prevenir e responder a eventos anômalos também dependem de práticas coordenadas implementadas em cada Estado-Membro para divulgar vulnerabilidades. Cada Estado-Membro designa um CSIRT que ” atua como um intermediário confiável “, facilitando a interação entre a pessoa (natural ou jurídica) que detecta a vulnerabilidade e o fabricante ou fornecedor dos serviços/produtos de TIC para os quais é vulnerávelAs entidades podem existir.

Nesse sentido, o NIS2 promove e facilita, por meio dos dados de contato dos CSIRTs nacionais de cada Estado-membro, a denúncia anônima de vulnerabilidades, ao mesmo tempo em que protege o anonimato do indivíduo (natural ou legal) que reportou o problema. É totalmente desnecessário que, se a vulnerabilidade for confirmada e seu impacto afetar outras entidades em outros Estados-membros, o CSIRT envolvido coopere primeiro, se necessário, com os CSIRTs dos Estados-membros cujas entidades possam ser afetadas pela mesma vulnerabilidade (Artigo 12).

Continuidade do serviço

Na gestão de múltiplos riscos, Pessoas Essenciais e Importantes absolutamente não podem ignorar a continuidade operacional. Isso significa que empresas ou administrações públicas têm obrigações regulatórias após um incidente de cibersegurança para mitigar seus efeitos, garantindo níveis adequados de serviços oferecidos e a aquisição de produtos e serviços de TIC (Tecnologia da Informação e Comunicação).

Nas operações empresariais, embora não explicitamente declarado na Diretiva em análise, não podemos ignorar ferramentas OT (Tecnologia Operacional), que suportam monitoramento industrial e automação, além das ferramentas tradicionais de TI (Tecnologia da Informação). Esses sistemas já foram caracterizados por confiabilidade e continuidade porque desfrutavam de isolamento físico (redes isoladas ao ar livre). Hoje, porém, os sistemas de TO estão se tornando cada vez mais avançados em computação, convergindo e integrando-se a sistemas de TI com claras vantagens de processamento e computação. Por um lado, esses facilitam a gestão e as operações, mas por outro, por serem mais tecnologicamente avançados e, acima de tudo, cada vez mais conectados a redes públicas, podem ser sujeitos a ataques cibernéticos.

O conceito de continuidade de negócios no NIS2 é expresso em poucas linhas e de forma relativamente genérica, em termos de ” Gerenciamento de backup, recuperação de desastres e gestão de crises ” (Artigo 21, parágrafo 2). Para melhor contextualizar o aspecto da continuidade dos negócios, as partes interessadas devem considerar e aplicar a metodologia de Análise de Impacto no Negócio (BIA). Essa metodologia de análise permite, com base no negócio da empresa, determinar os impactos potenciais e influências não intencionais sobre o próprio negócio causados por eventos anômalos ou indesejados (como a prestação de serviços ou a interrupção de produtos e recursos de TIC).

Definir e identificar os impactos econômicos, regulatórios e reputacionais certamente será crucial. Uma análise geral que certamente deve ser considerada é a de não ver um sistema, processo ou serviço como um elemento monolítico e independente. Dadas as fortes interconexões, tanto diretas quanto indiretas, entre infraestruturas/sistemas, é necessário avaliar interações que possam impactar negativamente o serviço ou produto que está sendo criado. Em particular, junto com a metodologia da BIA, é necessário introduzir práticas para “modelar estruturas múltiplas e complexas para identificar efeitos em cascata”, pois isso permitiria a adoção de soluções resilientes que garantiriam a eficácia e a resposta rápida a eventos não intencionais.

Como a Diretiva NIS2 se encaixa no contexto regulatório da UE?

Como mencionado anteriormente, a Diretiva NIS2 desempenha um papel importante no contexto europeu ao aumentar o combate e a resiliência contra ataques de cibersegurança. Esse papel não é isolado, mas se relaciona e cria uma massa crítica com outras regulamentações europeias existentes que fortalecem a luta contra, a percepção e o compromisso da Europa em elevar e consolidar o nível de combate a ataques cibernéticos. Os outros regulamentos mencionados são o GDPR (Regulamento da UE 2016/769), a Lei de Cibersegurança (Regulamento da UE 2019/881), o Regulamento DORA (Regulamento da UE 2022/2554) e a Diretiva da CER (Diretiva da UE 2022/2557). A seguir estão as características distintivas das diversas regulamentações e seus pontos de contato com a Diretiva NIS2:

Regulamento GDPR (Regulamento Geral de Proteção de Dados)

O GDPR aborda a proteção das pessoas físicas no que diz respeito ao tratamento de seus dados pessoais e à livre circulação desses dados. A Diretiva NIS2 não se sobrepõe nem substitui o GDPR, mas o integra. A Diretiva faz referência explícita ao GDPR em vários pontos (Artigos 2, 31 e 35), afirmando que, se sistemas de rede e TI foram afetados por ciberataques e a análise desses ataques revelou uma violação de dados, o NIS2 exige que as autoridades nacionais responsáveis pela aplicação da diretiva (a ACN para a Itália) informem e trabalhem em estreita colaboração com as autoridades nacionais supervisoras sobre a aplicação do GDPR (a Autoridade Italiana de Proteção de Dados).

Além desse foco compartilhado, a Diretiva NIS2 e o GDPR também compartilham outros elementos: i) notificação de incidentes; ii) cooperação e troca de informações entre os Estados-membros da UE; iii) avaliação de riscos e adoção de medidas de segurança apropriadas. Quanto a este último aspecto, o propósito das duas avaliações de risco é diferente: para o NIS2, é o risco associado à segurança de redes e sistemas de informação, enquanto para o GDPR, o risco é avaliado nos direitos e liberdades dos indivíduos.

Lei de Cibersegurança

O Lei de Cibersegurança (Regulamento da UE 2019/881), que entrou em vigor em 27 de junho de 2019, é parte integrante do projeto geral de cibersegurança da UE. O Regulamento é um elemento importante e complementar à Diretiva NIS2, que visa aumentar o nível de resiliência dos sistemas de informação contra ataques. O Regulamento da Lei de Cibersegurança compreende dois elementos-chave: i) a introdução de sistemas de certificação de segurança da informação válidos dentro da UE para dispositivos conectados à internet, produtos e serviços de TI e processos de TI; ii) maior esclarecimento do papel da ENISA por meio da definição de sua estrutura organizacional, objetivos e tarefas relacionadas (os detalhes deste órgão europeu e o fortalecimento de seu papel na Europa com a emissão da Diretiva NIS2 serão discutidos posteriormente).

Regulamentação DORA (Lei de Resiliência Operacional Digital)

O Regulamento DORA (Regulamento da UE 2022/2554), com efeito a partir de 17 de janeiro de 2023, tem como prazo até 17 de janeiro de 2025 para que as instituições financeiras cumpram seus requisitos. O Regulamento DORA se aplica a bancos, seguradoras, instituições financeiras, bolsas de valores, provedores de serviços de criptomoedas, agências de classificação de crédito, provedores de serviços de crowdfunding e prestadores de serviços de TIC. Instituições econômicas e financeiras que estão abrangidas pelo Regulamento DORA não são obrigadas a aplicar a Diretiva NIS2 “de acordo com os critérios de especialidade” (Artigo 4, parágrafos 1 e 2), pois as disposições do referido Regulamento são consideradas correspondentes e, portanto, satisfazem as da Diretiva NIS2.

O aspecto comum, embora complementar, entre os dois regulamentos é que as autoridades supervisoras responsáveis pela aplicação e supervisão da Diretiva em questão cooperam com as autoridades supervisoras correspondentes dos Estados-Membros individuais responsáveis por monitorar e supervisionar a adoção do Regulamento Dora. Na prática, ao aplicar a Diretiva NIS2 a uma entidade designada como Pessoa Essencial ou Importante e que, por sua vez, se enquadra no papel de fornecedor crítico de serviços de TIC, as diversas autoridades competentes comunicam entre si o status da implementação da NIS2 da parte interessada (Artigo 33, parágrafo 6). A inter-relação não é apenas nacional, mas também internacional, pois o Regulamento DORA permite que as Autoridades Supervisoras Europeias e as autoridades competentes participem das atividades dos diversos grupos de cooperação, incluindo os CSIRTs, para a troca de informações (por exemplo, detalhes de incidentes, ameaças cibernéticas) (Citando 28).

Diretiva CER (Diretiva de Infraestrutura Crítica)

A Diretiva CER (Diretiva da UE 2022/2557) é o regulamento europeu que determina a identificação de entidades críticas para implementar ações que garantam a resiliência das infraestruturas que apoiam e contribuem para a operação dos serviços contra eventos indesejados associados a riscos naturais, ataques terroristas e sabotagem. A Diretiva da CER exige que cada Estado-Membro da UE identifique entidades críticas dos seguintes setores até 17 de julho de 2026: energia, transporte, bancos, infraestrutura de mercado financeiro, saúde, água potável, esgoto, infraestrutura digital, administração pública, espaço e produção, processamento e distribuição de alimentos.

Um aspecto importante que destaca a forte interdependência entre as duas diretivas é o fato de que a Diretiva NIS2 se aplica a todas as entidades, independentemente de seu tamanho, identificadas como “Entidades Críticas” pela Diretiva CER (Artigo 2, parágrafo 3). Em resumo, os aspectos comuns das duas diretrizes são: i) identificação de entidades críticas; ii) adoção de medidas técnicas e organizacionais apropriadas para garantir e fortalecer a resiliência e a capacidade operacional; iii) identificação de uma autoridade competente com funções de supervisão para a correta aplicação da Diretiva da REC.

Papel da ENISA no NIS2

A ENISA (Agência Europeia de Redes e Segurança da Informação) da União Europeia tem como objetivo melhorar a segurança e a resiliência dos sistemas de informação e das redes de telecomunicações. A UE confia à ENISA o papel de centro para questões de cibersegurança, fornecendo a expertise à qual os Estados-membros e as próprias instituições europeias devem recorrer.

A Diretiva NIS2 fortalece e esclarece as tarefas e o papel da ENISA. Por exemplo, a ENISA garante:

  • o desenvolvimento e a gestão de um registro europeu de vulnerabilidades (Artigo 12(2)), incluindo a possibilidade de colaboração com operadores do sistema Common Vulnerabilities and Exposures (CVE) (Considerando 63);
  • a Secretaria UE-CyCLONe para apoiar a troca segura de informações e fornecer as ferramentas necessárias para apoiar a cooperação entre os Estados-Membros (Artigo 16, parágrafo 2);
  • a publicação de um relatório bienal sobre o estado da cibersegurança na União (Artigo 18, parágrafo 1);
  • a criação de um grupo de cooperação para definir um ” Metodologia e aspectos organizacionais das revisões por pares ” com o objetivo de extrair informações úteis, por meio de experiências compartilhadas, para elevar o nível comum de cibersegurança (a participação nas avaliações por pares é voluntária) (art. 19, parágrafo 1);
  • a criação e gestão de um registro para serviços e entidades transfronteiriças: em particular, “provedores de serviços DNS, registros de nomes de domínio de alto nível, entidades que fornecem serviços de registro de nomes de domínio, provedores de serviços de computação em nuvem, provedores de serviços de data center, provedores de redes de entrega de conteúdo, provedores de serviços gerenciados, provedores de serviços de segurança gerenciada, bem como provedores de mercados online” (Artigo 27, parágrafo 1);
  • apoiar os Estados-Membros, se solicitado, no desenvolvimento e definição de uma estratégia nacional de cibersegurança e de indicadores-chave para avaliação de seu desempenho de acordo com a Diretiva NIS2 (Artigo 7, parágrafo 4);
  • assistência no desenvolvimento das CSIRTs (Artigo 10, parágrafo 10);
  • a secretaria da rede CSIRT e fornece assistência ativa à cooperação entre CSIRTs (Art. 15, parágrafo 2);
  • o desenvolvimento e manutenção de uma metodologia, em colaboração com a Comissão, o Grupo de Cooperação e a rede CSIRT, bem como indicadores qualitativos e quantitativos para uma avaliação agregada do nível de maturidade em cibersegurança na União e nas estratégias nacionais individuais dos Estados-Membros (Artigo 18, parágrafo 3).

Conclusões

Dado o uso generalizado da tecnologia digital e das redes de telecomunicações, agora indispensáveis para o bem-estar e a qualidade de vida de uma comunidade, e também dado o aumento geral de situações indesejadas, devido às ações deliberadas de atores maliciosos (hackers, ativistas, guerra híbrida) ou ações não intencionais originadas por erro humano, a União Europeia emitiu a Diretiva NIS2.

Essa emissão faz parte de um quadro europeu coerente e contextualizado de outras regulamentações, com o objetivo de melhorar a resposta e a resiliência geral dos sistemas digitais, redes e sistemas de TIC. Essa melhoria não deve ser realizada de forma única e monolítica por cada Estado-membro; Deve ser coordenada com todos os outros Estados-membros, levando em conta as necessidades e capacidades nacionais individuais. Estes últimos são incentivados a compartilhar as medidas implementadas por meio dos centros nacionais de referência e a compartilhar prontamente os tipos de ataques, criando uma frente de defesa comum. Isso é um ponto de chegada?

De jeito nenhum. O conjunto de regulamentos emitidos até o momento pode representar um ecossistema onde cada regulamento, com suas próprias peculiaridades e especificidades, se baseia e complementa os demais. Sempre que uma nova regulamentação é adicionada ou uma existente é modificada, toda a estrutura deve ser avaliada para evitar a criação de lacunas operacionais, de governança e de responsabilidade gerencial que possam introduzir fraquezas e vulnerabilidades nos serviços e produtos fornecidos por Entidades Essenciais e Importantes. Nesse sentido, a Diretiva NIS2, embora forneça orientações muito específicas, deixa sua implementação para os Estados membros individuais.

Essa implementação, referindo-se à Itália, também deve levar em conta os diversos decretos emitidos dentro do “Perímetro Nacional de Cibersegurança” e, assim, criar a integração e coerência necessárias para garantir os diversos objetivos aos quais as diversas regulamentações se referem. Especificamente, o objetivo da Diretiva NIS2 é a manutenção das atividades sociais e/ou econômicas das quais cidadãos, empresas e mercados geralmente dependem. Enquanto isso, para o Perímetro Nacional de Cibersegurança, o objetivo principal é a segurança do Estado e dos serviços essenciais que contribuem para suas funções.

Em conclusão, passos importantes e fundamentais foram dados para garantir a tecnologiasistemas e infraestruturas AL. No entanto, a atenção às diversas dinâmicas técnicas e geopolíticas, a capacidade de compreender as diversas evoluções culturais e tecnológicas do mundo cibernético e, acima de tudo, o profissionalismo deve sempre estar um passo à frente de comportamentos maliciosos que podem causar sérios danos a sistemas e infraestruturas. Isso exige apoio e atualização oportunos e eficazes das regulamentações europeias e nacionais como elemento fundamental e fundamental.

Riccardo Nuti
Graduação em Engenharia Eletrônica. Ele realizou atividades importantes no setor de TI e no campo das telecomunicações (móveis e de rede fixa). Ele trabalha com segurança digital desde 2007.

Lista dos artigos

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.