Determine o escopo antes dos controles
A NIS2 cobre 18 setores críticos e distingue entidades essenciais e importantes. Setor, tipo, porte, criticidade, registro, autoridade, supervisão e reporting dependem da transposição nacional. Mantenha um registry por jurisdição validado com assessoria jurídica.
Entidade e jurisdiçãoPessoa jurídica, países, estabelecimento, setor, porte, lei nacional, autoridade, CSIRT e registro.
Serviços críticosProdutos, clientes, dependências, SLA, outage tolerável, fluxo de dados e impacto.
Redes e sistemasApps, APIs, identidades, cloud, endpoints, OT, repositórios, pipelines, dados, ativos e owners.
Supply chainMSP/MSSP, cloud/SaaS, software, open source, contratados, conectividade, concentração e fourth parties.
Accountability da direção muda o delivery
O Artigo 20 exige que órgãos de gestão aprovem medidas, supervisionem implementação e recebam treinamento; a lei nacional pode responsabilizá-los. Riscos, exceções, atrasos, readiness, concentração, exercícios e efetividade precisam chegar à direção em formato compreensível e aprovável.
Pipeline da obrigação NIS2 ao controle01 EscopoMapeie entidades e serviçosJurisdição, status, impacto, autoridade, sistemas, owners, fornecedores e deadlines.
02 AvaliarModele riscos all-hazardsAmeaça, vulnerabilidade, impacto, eventos físicos, dependências, residual e aceitação.
03 EspecificarConverta o Artigo 21Incidente, continuidade, supply chain, secure development, vulnerabilidade, acesso, crypto, MFA e treinamento.
04 ImplementarColoque controles nas plataformasIAM, CI/CD, cloud policy, inventário, endpoint/rede, backups, observabilidade, secrets e vendors.
05 EvidenciarColete prova automáticaConfig, scans, aprovações, testes, access review, restore, SBOM, tickets, logs e exceções.
06 DetectarEncontre incidentes cedoImpacto, comprometimento, movimento lateral, perda, supplier, near miss e confiança.
07 ReportarExecute o relógio legalEarly warning, 72 horas, updates, relatório final, fatos, incerteza e impacto transfronteiriço.
08 MelhorarFeche o feedbackCausa, correção, fornecedor, lições, políticas, testes e revisão da direção.
Transforme o Artigo 21 em critérios de aceite
| Medida NIS2 | Requisito de backend/plataforma | Evidência | Sinal operacional | Gate |
|---|
| Análise de risco e políticas | Catálogo, grafo de dependência, threat model, owner, classificação, controles, risco residual e revisão. | Risco aprovado, arquitetura e exceções. | Ativo sem owner, exposição nova, review vencido. | Serviço crítico exige owner e risco aceito. |
| Gestão de incidentes | Detecção, case schema, severidade, evidência, comunicação, escalonamento, relógio e contatos. | Exercícios, traces e templates. | MTTD, triagem, logs ausentes, deadline em risco. | Launch exige resposta testada. |
| Continuidade, backup e crise | RTO/RPO, backups isolados, restore, failover, comunicação, fallback manual e papéis. | Testes e gaps. | Falha de backup, lag, capacidade ou dependência. | Objetivos críticos precisam passar. |
| Supply chain | Registry, criticidade, due diligence, contratos, acesso, SBOM/model BOM, proveniência, concentração e exit plan. | Avaliações, contratos e inventário. | Subprocessor, package comprometido, outage ou EOL. | Bloquear fornecedor crítico não aprovado. |
| Secure development e vulnerabilidades | SDLC, review, SAST/DAST/SCA, secrets, patch SLA, disclosure, triagem, assinatura e emergency change. | Pipeline, tickets, assinaturas e exceções. | Exploitability, idade, exposição e active exploitation. | Gate de risco com exceção responsável. |
| Avaliação de efetividade | Control tests, purple team, validação de detecção, restore, acesso e exercícios de fornecedor. | Resultados, falhas, correção e retest. | Cobertura ou controle ineficaz. | Freshness e threshold mínimo. |
| Cyber hygiene e treinamento | Treinamento por papel para dev, ops, incidente e direção; defaults e checklists. | Conclusão, competência e exercícios. | Ação arriscada repetida ou cobertura ausente. | Privilégio exige treinamento atual. |
| Criptografia | Classificação, algoritmos, KMS/HSM, chaves, rotação, certificados, revogação e migração. | Política, inventário e logs. | Expiração, protocolo fraco ou chave sem owner. | Rejeitar configuração não conforme. |
| RH, acesso e ativos | Joiner/mover/leaver, least privilege, PAM, reviews, service identities, ownership e lifecycle. | Aprovações, reviews, revogações e reconciliação. | Conta órfã, privilégio excessivo ou ativo desconhecido. | Acesso crítico exige owner, MFA e expiração. |
| MFA e comunicações seguras | MFA resistente a phishing, conditional access, admin path, canal emergencial e break-glass. | Cobertura, políticas e exercícios. | Bypass, login arriscado ou canal indisponível. | Bloquear acesso fora da assurance aprovada. |
Coloque o relógio de 24 horas na ferramenta
O Artigo 23 prevê early warning em 24 horas da awareness, notificação em 72 horas, updates quando solicitados e relatório final em até um mês. A lei nacional define autoridade, formato e requisitos adicionais. Preserve o timestamp exato de awareness e separe fatos, avaliação, incerteza e correções.
T+0 AwarenessEvento qualificado vira candidato; preserve evidência, owner, confiança, impacto e motivo do início.
Até 24 horasEarly warning: causa suspeita, impacto transfronteiriço, serviços, mitigação e contato.
Até 72 horasSeveridade, impacto, IOCs, hipótese de causa, resposta e mudanças materiais.
Até um mêsDescrição, causa provável, mitigação, impacto, correções, lições e updates intermediários.
Significância exige decisão executável
Crie rules service por jurisdição/setor usando interrupção, usuários, duração, geografia, dano, comprometimento, impacto transfronteiriço e critérios do regulamento de execução. A regra recomenda; incident lead e legal/compliance autorizados registram a decisão.
Preserve evidência enquanto restaura
Use clocks sincronizados, logs imutáveis, snapshots, coleta forense, chain of custody, timeline, decisões, versões de relatório e acesso. Fix, comunicação, report e RCA referenciam o mesmo incident ID.
Supply chain alcança o build graph
Saiba qual serviço usa package, container, cloud, MSP, CI action, firmware, modelo e data provider. Guarde versão, proveniência, suporte, privilégios, acesso, alcance, substituição e concentração. SBOM sem deployment, ownership e response não basta.
Vulnerabilidade é lifecycle
Combine disclosure, scanners, advisories, KEV, exploitability, exposição, criticidade, compensação e patch. Controle descoberta, aceite, triagem, owner, due date, exceção, rollout, retest e recorrência. CVSS isolado não é risco.
Continuidade inclui fornecedor e pessoas
Teste perda de IdP, DNS, região cloud, CI/CD comprometido, MSP indisponível, ransomware, escritório inacessível e falha simultânea. Mantenha contatos offline, comunicação emergencial, procedimentos manuais, clean-room, staffing e artefatos conhecidos.
Evidência vem dos sistemas
Colete via APIs/eventos: proteção de repo, reviews, assinaturas, config cloud, MFA/PAM, postura, vulnerabilidades, backup/restore, vendors, exercícios e treinamento. Cada item tem escopo, fonte, observation time, collector, owner, resultado, validade, exceção e remediation.
Risco
IR
BCP
Supply
Vuln
Teste
Treino
Crypto
Acesso
MFA
O regulamento de execução detalha entidades digitais selecionadas
O Regulamento (UE) 2024/2690 define requisitos e critérios para DNS, TLD, cloud, data centre, CDN, MSP/MSSP, marketplaces, search, social networks e trust services. O guidance ENISA 2025 fornece exemplos de implementação/evidência e mappings.
Transposição nacional faz parte da arquitetura
Os Estados tinham até 17 de outubro de 2024, mas o progresso foi desigual. Mantenha módulos por país para escopo, registro, autoridade, canais, idioma, formato, sanções, retenção, setor e deadlines. A Diretiva não é o playbook operacional completo.
O que eu construiria
Registry de entidade/jurisdição; grafo de serviços/dependências; catálogo risco-controle; policy gates; inventário de suppliers/software; vulnerability lifecycle; collectors; restore tests; incident case e legal clock; significance rules; contatos CSIRT; report generator versionado; comunicação de crise; dashboard/aprovação da direção; exercícios; e effectiveness analytics.
O princípio
NIS2 vira ação quando cada obrigação tem owner, controle, sinal, teste, evidência, prazo e decisão da direção. Documentos devem ser outputs de um programa resiliente, não substitutos.
Nota jurídica: interpretação de engenharia, não aconselhamento jurídico. Verifique transposição nacional, autoridade, setor e fatos do incidente.