Início/Blog/NIS2 para desenvolvedores
Engenharia de Compliance de Cybersecurity

NIS2 para desenvolvedores: transformando regulação em requisitos de backend

A NIS2 exige que entidades essenciais e importantes gerenciem risco cibernético, reportem incidentes significativos, protejam fornecedores, mantenham continuidade, tratem vulnerabilidades e deem à direção responsabilidade real de aprovação e supervisão. Engenharia converte isso em controles diários.

Determine o escopo antes dos controles

A NIS2 cobre 18 setores críticos e distingue entidades essenciais e importantes. Setor, tipo, porte, criticidade, registro, autoridade, supervisão e reporting dependem da transposição nacional. Mantenha um registry por jurisdição validado com assessoria jurídica.

Entidade e jurisdiçãoPessoa jurídica, países, estabelecimento, setor, porte, lei nacional, autoridade, CSIRT e registro.
Serviços críticosProdutos, clientes, dependências, SLA, outage tolerável, fluxo de dados e impacto.
Redes e sistemasApps, APIs, identidades, cloud, endpoints, OT, repositórios, pipelines, dados, ativos e owners.
Supply chainMSP/MSSP, cloud/SaaS, software, open source, contratados, conectividade, concentração e fourth parties.

Accountability da direção muda o delivery

O Artigo 20 exige que órgãos de gestão aprovem medidas, supervisionem implementação e recebam treinamento; a lei nacional pode responsabilizá-los. Riscos, exceções, atrasos, readiness, concentração, exercícios e efetividade precisam chegar à direção em formato compreensível e aprovável.

Pipeline da obrigação NIS2 ao controle
01 EscopoMapeie entidades e serviçosJurisdição, status, impacto, autoridade, sistemas, owners, fornecedores e deadlines.
02 AvaliarModele riscos all-hazardsAmeaça, vulnerabilidade, impacto, eventos físicos, dependências, residual e aceitação.
03 EspecificarConverta o Artigo 21Incidente, continuidade, supply chain, secure development, vulnerabilidade, acesso, crypto, MFA e treinamento.
04 ImplementarColoque controles nas plataformasIAM, CI/CD, cloud policy, inventário, endpoint/rede, backups, observabilidade, secrets e vendors.
05 EvidenciarColete prova automáticaConfig, scans, aprovações, testes, access review, restore, SBOM, tickets, logs e exceções.
06 DetectarEncontre incidentes cedoImpacto, comprometimento, movimento lateral, perda, supplier, near miss e confiança.
07 ReportarExecute o relógio legalEarly warning, 72 horas, updates, relatório final, fatos, incerteza e impacto transfronteiriço.
08 MelhorarFeche o feedbackCausa, correção, fornecedor, lições, políticas, testes e revisão da direção.

Transforme o Artigo 21 em critérios de aceite

Medida NIS2Requisito de backend/plataformaEvidênciaSinal operacionalGate
Análise de risco e políticasCatálogo, grafo de dependência, threat model, owner, classificação, controles, risco residual e revisão.Risco aprovado, arquitetura e exceções.Ativo sem owner, exposição nova, review vencido.Serviço crítico exige owner e risco aceito.
Gestão de incidentesDetecção, case schema, severidade, evidência, comunicação, escalonamento, relógio e contatos.Exercícios, traces e templates.MTTD, triagem, logs ausentes, deadline em risco.Launch exige resposta testada.
Continuidade, backup e criseRTO/RPO, backups isolados, restore, failover, comunicação, fallback manual e papéis.Testes e gaps.Falha de backup, lag, capacidade ou dependência.Objetivos críticos precisam passar.
Supply chainRegistry, criticidade, due diligence, contratos, acesso, SBOM/model BOM, proveniência, concentração e exit plan.Avaliações, contratos e inventário.Subprocessor, package comprometido, outage ou EOL.Bloquear fornecedor crítico não aprovado.
Secure development e vulnerabilidadesSDLC, review, SAST/DAST/SCA, secrets, patch SLA, disclosure, triagem, assinatura e emergency change.Pipeline, tickets, assinaturas e exceções.Exploitability, idade, exposição e active exploitation.Gate de risco com exceção responsável.
Avaliação de efetividadeControl tests, purple team, validação de detecção, restore, acesso e exercícios de fornecedor.Resultados, falhas, correção e retest.Cobertura ou controle ineficaz.Freshness e threshold mínimo.
Cyber hygiene e treinamentoTreinamento por papel para dev, ops, incidente e direção; defaults e checklists.Conclusão, competência e exercícios.Ação arriscada repetida ou cobertura ausente.Privilégio exige treinamento atual.
CriptografiaClassificação, algoritmos, KMS/HSM, chaves, rotação, certificados, revogação e migração.Política, inventário e logs.Expiração, protocolo fraco ou chave sem owner.Rejeitar configuração não conforme.
RH, acesso e ativosJoiner/mover/leaver, least privilege, PAM, reviews, service identities, ownership e lifecycle.Aprovações, reviews, revogações e reconciliação.Conta órfã, privilégio excessivo ou ativo desconhecido.Acesso crítico exige owner, MFA e expiração.
MFA e comunicações segurasMFA resistente a phishing, conditional access, admin path, canal emergencial e break-glass.Cobertura, políticas e exercícios.Bypass, login arriscado ou canal indisponível.Bloquear acesso fora da assurance aprovada.

Coloque o relógio de 24 horas na ferramenta

O Artigo 23 prevê early warning em 24 horas da awareness, notificação em 72 horas, updates quando solicitados e relatório final em até um mês. A lei nacional define autoridade, formato e requisitos adicionais. Preserve o timestamp exato de awareness e separe fatos, avaliação, incerteza e correções.

T+0 AwarenessEvento qualificado vira candidato; preserve evidência, owner, confiança, impacto e motivo do início.
Até 24 horasEarly warning: causa suspeita, impacto transfronteiriço, serviços, mitigação e contato.
Até 72 horasSeveridade, impacto, IOCs, hipótese de causa, resposta e mudanças materiais.
Até um mêsDescrição, causa provável, mitigação, impacto, correções, lições e updates intermediários.

Significância exige decisão executável

Crie rules service por jurisdição/setor usando interrupção, usuários, duração, geografia, dano, comprometimento, impacto transfronteiriço e critérios do regulamento de execução. A regra recomenda; incident lead e legal/compliance autorizados registram a decisão.

Preserve evidência enquanto restaura

Use clocks sincronizados, logs imutáveis, snapshots, coleta forense, chain of custody, timeline, decisões, versões de relatório e acesso. Fix, comunicação, report e RCA referenciam o mesmo incident ID.

Supply chain alcança o build graph

Saiba qual serviço usa package, container, cloud, MSP, CI action, firmware, modelo e data provider. Guarde versão, proveniência, suporte, privilégios, acesso, alcance, substituição e concentração. SBOM sem deployment, ownership e response não basta.

Vulnerabilidade é lifecycle

Combine disclosure, scanners, advisories, KEV, exploitability, exposição, criticidade, compensação e patch. Controle descoberta, aceite, triagem, owner, due date, exceção, rollout, retest e recorrência. CVSS isolado não é risco.

Continuidade inclui fornecedor e pessoas

Teste perda de IdP, DNS, região cloud, CI/CD comprometido, MSP indisponível, ransomware, escritório inacessível e falha simultânea. Mantenha contatos offline, comunicação emergencial, procedimentos manuais, clean-room, staffing e artefatos conhecidos.

Evidência vem dos sistemas

Colete via APIs/eventos: proteção de repo, reviews, assinaturas, config cloud, MFA/PAM, postura, vulnerabilidades, backup/restore, vendors, exercícios e treinamento. Cada item tem escopo, fonte, observation time, collector, owner, resultado, validade, exceção e remediation.

Risco
IR
BCP
Supply
Vuln
Teste
Treino
Crypto
Acesso
MFA

O regulamento de execução detalha entidades digitais selecionadas

O Regulamento (UE) 2024/2690 define requisitos e critérios para DNS, TLD, cloud, data centre, CDN, MSP/MSSP, marketplaces, search, social networks e trust services. O guidance ENISA 2025 fornece exemplos de implementação/evidência e mappings.

Transposição nacional faz parte da arquitetura

Os Estados tinham até 17 de outubro de 2024, mas o progresso foi desigual. Mantenha módulos por país para escopo, registro, autoridade, canais, idioma, formato, sanções, retenção, setor e deadlines. A Diretiva não é o playbook operacional completo.

O que eu construiria

Registry de entidade/jurisdição; grafo de serviços/dependências; catálogo risco-controle; policy gates; inventário de suppliers/software; vulnerability lifecycle; collectors; restore tests; incident case e legal clock; significance rules; contatos CSIRT; report generator versionado; comunicação de crise; dashboard/aprovação da direção; exercícios; e effectiveness analytics.

O princípio

NIS2 vira ação quando cada obrigação tem owner, controle, sinal, teste, evidência, prazo e decisão da direção. Documentos devem ser outputs de um programa resiliente, não substitutos.

Nota jurídica: interpretação de engenharia, não aconselhamento jurídico. Verifique transposição nacional, autoridade, setor e fatos do incidente.

Leituras relacionadas

Artigo sobre NIS2, governança, risco, incidentes, continuidade, supply chain, vulnerabilidades, acesso, evidência e responsabilidade da direção.