Saltar para o conteúdo principal Saltar para a navegação Saltar para o rodapé
Por tempo limitado: Programa de Parceiro de Design. Plano BUSINESS grátis para sempre.

Download grátis · 24 páginas · PDF A4

Diretiva NIS2: Resumo em Inglês para CISOs e Líderes de Conformidade

Resumo de 24 páginas em inglês da Diretiva (UE) 2022/2555. Abrange o âmbito, as dez medidas do Artigo 21, o cronograma de reporte do Artigo 23 (24h/72h/1 mês), os setores dos Anexos I e II, as coimas administrativas e um roteiro de conformidade prático em 10 passos. Elaborado pela Rediacc; não é uma tradução oficial.

Descarregue o PDF Abrir no navegador

Este documento é um resumo não oficial. Para interpretação vinculante, consulte o texto oficial em JO L 333/80, 27.12.2022.

O que está no PDF

Dezanove secções. Feito para o CISO ou responsável de conformidade que quer entender a diretiva em linguagem clara, sem precisar de atravessar 73 páginas de considerandos e artigos.

  1. Sumário Executivo
  2. Objetivo e Base Jurídica
  3. De NIS1 para NIS2: Por que uma Nova Regulação?
  4. Âmbito e Áreas Excluídas
  5. Definições Fundamentais
  6. Categorias de Entidades: Entidades Essenciais e Importantes
  7. Setores Abrangidos (Anexo I e Anexo II)
  8. Obrigações dos Estados-Membros
  9. Medidas de Gestão de Risco de Cibersegurança (Artigo 21)
  10. Obrigações de Reporte de Incidentes (Artigo 23)
  11. Segurança da Cadeia de Abastecimento
  12. Responsabilidade do Órgão de Gestão
  13. Estruturas de Cooperação a Nível da UE
  14. Supervisão e Fiscalização
  15. Coimas Administrativas
  16. Calendário de Implementação e Transição
  17. Implicações para Empresas Fora da UE
  18. Roteiro Prático de Conformidade (10 Passos)
  19. Conclusão e Avaliação

Três guias complementares

O PDF mapeia a diretiva. Os guias complementares traduzem as obrigações em decisões de compra e operação, focando cada audiência em sequência.

O Artigo 21(2)(d): uma pergunta para fornecedores

Por que a sua lista de fornecedores de terceiros encolhe quando o software roda nos seus servidores e não nos do fornecedor. Para CISOs e responsáveis de aquisição que renovam contratos de fornecedores em 2026.

Ler o guia →

Eficácia contínua sem teatro

Os Artigos 21(2)(e), (f) e 23 lidos em conjunto. O fork de tempo constante que torna os exercícios semanais realistas, e o prazo de reporte do Artigo 23 que não consegue cumprir sem artefatos de nível forense. Para responsáveis de SRE e operações.

Ler o guia →

O que os compradores nos disseram no primeiro ciclo de auditoria NIS2

O stack de cinco ferramentas de conformidade que as entidades essenciais do mercado intermédio estão a montar discreetamente, quais delas uma solução self-hosted substitui, e quais permanecem suas de qualquer forma. Para CFOs e compradores prestes a renovar contratos.

Ler o guia →

Perguntas frequentes

É esta uma tradução oficial da diretiva?

Não. É um resumo não oficial em inglês destinado a tornar a estrutura e as obrigações da diretiva acessíveis. Para interpretação vinculante, consulte o texto oficial em JO L 333/80 (27 de dezembro de 2022) ou via EUR-Lex (CELEX 32022L2555). Os atos nacionais de transposição no seu Estado-Membro podem impor obrigações mais rigorosas ou com âmbito diferente da diretiva.

Quem está abrangido pelo NIS2?

Empresas nos setores do Anexo I ou Anexo II que atingem o limiar de média empresa (50+ trabalhadores ou volume de negócios > 10 M EUR, per Recomendação 2003/361/CE). Anexo I: energia, transportes, banca, mercados financeiros, saúde, água, infraestrutura digital, administração pública, espaço. Anexo II: postal, resíduos, químicos, alimentar, manufatura, prestadores digitais, investigação. Algumas entidades são sempre abrangidas: registos TLD, fornecedores DNS, prestadores de serviços de confiança, administração pública central. Veja as secções 4, 6 e 7 do PDF para detalhe.

Quando entrou em vigor o NIS2 e qual é o prazo de transposição?

A diretiva entrou em vigor a 16 de janeiro de 2023. Os Estados-Membros tinham até 17 de outubro de 2024 para a transpor para o direito nacional; a aplicação começou a 18 de outubro de 2024 (dia em que o NIS1 foi revogado). O calendário completo está na secção 16, incluindo o prazo de 17 de abril de 2025 para enviar a lista de entidades à Comissão e o calendário de revisões. Aviso: muitas equipas subestimam quanto dessa linha de tempo já passou.

Quais são as coimas máximas?

Para entidades essenciais: EUR 10.000.000 ou 2% do volume de negócios anual global, o que for maior. Para entidades importantes: EUR 7.000.000 ou 1,4% do volume de negócios anual global, o que for maior. A diretiva permite ainda sanções que vão além de multas, incluindo proibições temporárias de exercer cargos de gestão em entidades essenciais (medida de último recurso). A secção 15 cobre como as coimas são determinadas.

O NIS2 aplica-se a empresas fora da UE?

Sim, de duas formas. Diretamente: fornecedores de DNS, cloud, centros de dados, CDN, MSP/MSSP, mercados online, buscadores e redes sociais fora da UE que prestam serviços na UE devem nomear um representante na UE e cumprir. Indiretamente: qualquer fornecedor não-UE que preste produtos ou serviços a entidades essenciais ou importantes da UE ficará sujeito a requisitos contratuais de segurança da cadeia de abastecimento impostos pelos seus clientes da UE ao abrigo do Artigo 21(2)(d). A secção 17 cobre ambos.

Como funciona o reporte de incidentes do Artigo 23?

Três prazos, todos desencadeados ao ficar ciente de um incidente significativo: 24 horas para aviso prévio, 72 horas para notificação completa e um mês para o relatório final. Os destinatários dos serviços devem também ser notificados sem demora indevida se uma ameaça cibernética significativa for provável. A secção 10 tem a matriz de reporte completa.

Sobre este resumo

A Rediacc é uma plataforma de infraestrutura self-hosted registada na Estónia (OÜ 17363830, VAT EE102920091). Este resumo foi elaborado como parte do nosso programa de conteúdos NIS2. Os guias complementares acima descrevem como a Rediacc aborda artigos específicos da diretiva, incluindo as lacunas onde a Rediacc não é a solução (sem certificações ainda; sem camada GRC; sem reporte gerido do Artigo 23; MFA apenas no portal). Para o mapeamento público de capacidades, consulte NIS2 and DORA na documentação.

Envie-nos o seu questionário de fornecedor ou os três maiores itens de segurança do orçamento do ano passado. Responderemos com base numa instância em funcionamento nos nossos servidores, por escrito, incluindo as lacunas. Ou descarregue o PDF e partilhe com um colega.

Descarregue o PDF