Saltar para o conteúdo principal Saltar para a navegação Saltar para o rodapé
Programa de Parceiros de Design: registe-se gratuitamente, plano BUSINESS vitalício

Descarga gratuita · 24 páginas · PDF A4

Diretiva NIS2: Resumo em Inglês para CISOs e Responsáveis de Conformidade

Um resumo de 24 páginas em inglês da Diretiva (UE) 2022/2555. Cobre o âmbito, as dez medidas do Artigo 21, o prazo de reporte do Artigo 23 (24h/72h/1 mês), os setores dos Anexos I e II, as coimas administrativas e um roteiro de conformidade prático em 10 passos. Elaborado pela Rediacc; não é uma tradução oficial.

Descarregar o PDF Abrir no navegador

Este documento é um resumo não oficial. Para interpretação vinculativa, consulte o texto oficial em JO L 333/80, 27.12.2022.

O que está no PDF

Dezanove secções, estruturadas para o CISO ou responsável de conformidade que pretende a essência da diretiva sem ter de percorrer 73 páginas de considerandos e artigos.

  1. Sumário Executivo
  2. Objetivo e Base Jurídica
  3. De NIS1 para NIS2: Porquê uma Nova Regulação?
  4. Âmbito e Áreas Excluídas
  5. Definições Fundamentais
  6. Categorias de Entidades: Entidades Essenciais e Importantes
  7. Setores em Âmbito (Anexo I e Anexo II)
  8. Obrigações dos Estados-Membros
  9. Medidas de Gestão de Risco de Cibersegurança (Artigo 21)
  10. Obrigações de Reporte de Incidentes (Artigo 23)
  11. Segurança da Cadeia de Abastecimento
  12. Responsabilidade do Órgão de Gestão
  13. Estruturas de Cooperação a Nível da UE
  14. Supervisão e Fiscalização
  15. Coimas Administrativas
  16. Calendário de Implementação e Transição
  17. Implicações para Empresas Fora da UE
  18. Roteiro Prático de Conformidade (10 Passos)
  19. Conclusão e Avaliação

Três guias complementares

O PDF mapeia a diretiva. Os guias complementares transformam as obrigações em decisões de aquisição e operacionais, uma audiência de cada vez.

O Artigo 21(2)(d) é uma questão de fornecedor

Por que o registo de TIC de terceiros diminui quando o plano de dados nunca sai da sua infraestrutura. Para CISOs e responsáveis de aquisição a renegociar DPAs em 2026.

Ler o guia →

Eficácia contínua sem teatro

O Artigo 21(2)(e), (f) e 23 lidos em conjunto. O fork de tempo constante que torna os exercícios semanais realistas e o prazo de reporte do Artigo 23 que não consegue cumprir sem artefactos de grau forense. Para responsáveis de SRE e operações.

Ler o guia →

O que os compradores nos disseram no primeiro ciclo de auditoria NIS2

O conjunto de cinco ferramentas de conformidade que as entidades essenciais do mercado intermédio estão a montar em silêncio, o que um plano de controlo self-hosted elimina e os itens de linha que ficam seus de qualquer forma. Para CFOs e compradores a entrar num ciclo de renovação.

Ler o guia →

Perguntas frequentes

É esta uma tradução oficial da diretiva?

Não. É um resumo não oficial em inglês destinado a tornar a estrutura e as obrigações da diretiva acessíveis. Para interpretação vinculativa, consulte o texto oficial em JO L 333/80 (27 de dezembro de 2022) ou via EUR-Lex (CELEX 32022L2555). Os atos nacionais de transposição no seu Estado-Membro podem impor obrigações mais rigorosas ou com âmbito diferente das previstas na própria diretiva.

Quem está abrangido pelo NIS2?

Entidades que operam nos setores do Anexo I (alta criticidade) ou do Anexo II (outros setores críticos) que cumpram o limiar de média empresa (50 ou mais trabalhadores ou volume de negócios igual ou superior a 10 milhões de euros, de acordo com a Recomendação 2003/361/CE). Algumas entidades estão abrangidas independentemente da dimensão, incluindo registos TLD, fornecedores de DNS, prestadores de serviços de confiança e administração pública central. As secções 4, 6 e 7 do PDF cobrem o âmbito em detalhe.

Quando entrou em vigor o NIS2 e qual é o prazo de transposição?

A diretiva entrou em vigor a 16 de janeiro de 2023. Os Estados-Membros tinham até 17 de outubro de 2024 para a transpor para o direito nacional; a aplicação começou a 18 de outubro de 2024 (a mesma data em que o NIS1 foi revogado). O calendário completo, incluindo o prazo de envio da lista de entidades à Comissão (17 de abril de 2025) e o calendário de revisão periódica, está na secção 16.

Quais são as coimas máximas?

Para entidades essenciais: 10.000.000 EUR ou 2% do volume de negócios anual global, consoante o valor mais elevado. Para entidades importantes: 7.000.000 EUR ou 1,4% do volume de negócios anual global, consoante o valor mais elevado. A diretiva permite ainda sanções não pecuniárias, incluindo proibições temporárias de gestão para a administração de topo de entidades essenciais (medida de último recurso). A secção 15 cobre os fatores de determinação da coima.

O NIS2 aplica-se a empresas fora da UE?

Sim, de duas formas. Diretamente: fornecedores de DNS, cloud, centros de dados, CDN, MSP/MSSP, mercados online, motores de busca e redes sociais fora da UE que prestam serviços na UE devem nomear um representante na UE e cumprir. Indiretamente: qualquer fornecedor fora da UE que preste produtos ou serviços a entidades essenciais ou importantes da UE estará sujeito a requisitos contratuais de segurança da cadeia de abastecimento impostos pelos seus clientes da UE ao abrigo do Artigo 21(2)(d). A secção 17 cobre ambos.

Como funciona o reporte de incidentes do Artigo 23?

Três prazos, todos desencadeados pela "tomada de conhecimento" de um incidente significativo: 24 horas para um aviso prévio, 72 horas para uma notificação completa do incidente e um mês para o relatório final. Os destinatários dos serviços devem também ser notificados sem atrasos indevidos se uma ameaça cibernética significativa for provável. A secção 10 contém a matriz de reporte completa.

Sobre este resumo

A Rediacc é uma plataforma de infraestrutura self-hosted registada na Estónia (OÜ 17363830, NIF EE102920091). Este resumo foi elaborado no âmbito do nosso programa de conteúdos NIS2. Os guias complementares acima descrevem como a Rediacc aborda artigos específicos da diretiva, incluindo as lacunas em que a Rediacc não é a resposta (sem certificações por agora; sem camada GRC; sem reporte gerido do Artigo 23; MFA apenas no portal). Para o mapeamento público de capacidades, consulte NIS2 and DORA na documentação.

Envie-nos o seu questionário de fornecedor ou os três maiores itens de segurança do orçamento do ano passado. Responderemos com base numa instância implementada, por escrito, incluindo as lacunas. Ou descarregue o PDF e encaminhe-o para um colega.

Descarregar o PDF