A lei de transposição da NIS2 da Alemanha entrou em vigor em 5 de dezembro de 2025. Os prazos de registro no BSI chegam em março de 2026. Este guia cobre tudo que CISOs, Diretores de TI e responsáveis por compliance precisam saber: quem deve cumprir, quais são as obrigações, como são as penalidades e como construir um roteiro prático de conformidade.
A Diretiva NIS2 (Diretiva (UE) 2022/2555) substitui a Diretiva NIS original de 2016, que foi amplamente considerada insuficiente em escopo e aplicação. Ela expande dramaticamente a cobertura de ~10.000 entidades sob a NIS1 para estimadas 160.000+ entidades em toda a UE.
A NIS2 foi projetada para abordar três fraquezas fundamentais: transposição inconsistente entre Estados-Membros, escopo limitado cobrindo apenas setores estreitos, e aplicação fraca com penalidades muito baixas para gerar mudanças.
Na Alemanha, a NIS2UmsuCG (Lei de Implementação da NIS2 e Fortalecimento da Cibersegurança) entrou em vigor em 5 de dezembro de 2025. O BSI é a autoridade supervisora designada, e os prazos de registro começam em 6 de março de 2026.
A NIS2 mudou de uma abordagem baseada em designação para um mecanismo de limite de tamanho. As organizações estão automaticamente no escopo se atenderem aos critérios de setor e tamanho.
| Setor | Exemplos |
|---|---|
| Energia | Eletricidade, petróleo, gás, hidrogênio, aquecimento urbano |
| Transporte | Aéreo, ferroviário, aquático, rodoviário |
| Bancos | Instituições de crédito |
| Infraestrutura de mercado financeiro | Locais de negociação, contrapartes centrais |
| Saúde | Hospitais, laboratórios, farmacêuticas, dispositivos médicos |
| Água potável | Fornecimento e distribuição |
| Águas residuais | Coleta, descarte, tratamento |
| Infraestrutura digital | IXPs, DNS, registros TLD, nuvem, data centers, CDNs |
| Gestão de serviços TIC (B2B) | MSPs, MSSPs |
| Administração pública | Entidades do governo central |
| Espaço | Operadores de infraestrutura terrestre |
| Setor | Exemplos |
|---|---|
| Serviços postais e de courier | Prestadores de serviços postais |
| Gestão de resíduos | Coleta, transporte, tratamento |
| Fabricação química | Produção, distribuição |
| Produção de alimentos | Processamento, distribuição (grande escala) |
| Manufatura | Dispositivos médicos, eletrônicos, máquinas, veículos |
| Provedores digitais | Marketplaces, motores de busca, redes sociais |
| Pesquisa | Organizações de pesquisa com impacto significativo |
Certas entidades estão no escopo independentemente do tamanho: provedores de serviços de confiança qualificados, registros TLD, provedores DNS, provedores de telecomunicações, administração pública e únicos provedores de serviços essenciais.
| Aspecto | Entidades Essenciais | Entidades Importantes |
|---|---|---|
| Supervisão | Proativa (ex-ante) | Reativa (ex-post) |
| Multa máxima | €10M ou 2% do faturamento global | €7M ou 1,4% do faturamento global |
| Auditorias | Regulares, obrigatórias | Mediante evidência de não conformidade |
| Requisitos de segurança | Idênticos | Idênticos |
As obrigações de segurança são as mesmas para ambos os níveis. A diferença está apenas na intensidade da supervisão e nos limites de penalidades.
| Prazo | Requisito | Propósito |
|---|---|---|
| 24 horas | Alerta precoce ao CSIRT | Sinalizar que um incidente significativo ocorreu |
| 72 horas | Notificação de incidente com avaliação | Gravidade, impacto, indicadores de comprometimento |
| 1 mês | Relatório final | Análise de causa raiz, impacto, medidas de mitigação |
O Artigo 20 exige que os órgãos de gestão aprovem as medidas de cibersegurança, passem por treinamento e assumam responsabilidade pessoal. Sob a NIS2UmsuCG da Alemanha, executivos enfrentam multas pessoais e potencial suspensão temporária de funções gerenciais. Esta responsabilidade não pode ser totalmente delegada.
Além de multas, as autoridades podem emitir instruções vinculativas, ordenar cessação de atividades, exigir divulgação pública de não conformidade, suspender certificações e — para entidades essenciais — proibir temporariamente funções gerenciais para indivíduos responsáveis.
Para uma empresa com receita de €1 bilhão, a multa máxima para entidade essencial é de €20 milhões. As apólices de seguro D&O devem ser revisadas para lacunas de cobertura — a responsabilidade pessoal não pode ser totalmente segurada.
| Data | Marco |
|---|---|
| 27 dez 2022 | NIS2 publicada no Diário Oficial da UE |
| 16 jan 2023 | NIS2 entra em vigor |
| 17 out 2024 | Prazo de transposição para todos os Estados-Membros |
| 5 dez 2025 | Alemanha: NIS2UmsuCG entra em vigor |
| 6 mar 2026 | Alemanha: Prazo de registro no BSI |
| 17 out 2027 | Comissão Europeia revisa funcionamento da NIS2 |
O registro de março de 2026 está a semanas de distância. Identifique lacunas de conformidade antes de se registrar.
Iniciar Scan NIS2 Grátis →A ISO 27001 fornece uma base sólida, mas a NIS2 adiciona requisitos específicos: cronogramas obrigatórios de notificação de incidentes (24h/72h/1 mês), responsabilidade pessoal para gestão e obrigações detalhadas de segurança da cadeia de fornecimento. A certificação sozinha não garante conformidade.
A KENSAI escaneia continuamente sua superfície de ataque externa — domínios, subdomínios, IPs, serviços em nuvem, APIs expostas — e mapeia ativos em relação ao seu escopo NIS2. Inventário em tempo real do que você precisa proteger.
Com 332.000+ CVEs, a KENSAI identifica vulnerabilidades conhecidas e as correlaciona com requisitos NIS2. Cada descoberta é priorizada por pontuação CVSS, relevância NIS2 e urgência de remediação baseada em inteligência de ameaças.
IA mapeia sua postura de segurança em relação a todos os requisitos do Artigo 21: pontuação de conformidade, relatório de lacunas, remediação priorizada e documentação de evidências adequada para reguladores e auditores.
Escaneie a infraestrutura externa de fornecedores para identificar serviços expostos, vulnerabilidades, problemas de certificado, configurações incorretas de DNS e histórico de violação de dados — a visibilidade da cadeia de fornecimento que a NIS2 exige.
Starter: €990/mês — Empresas médias entrando no escopo NIS2. Professional: €1.490/mês — Infraestrutura e cadeias de fornecimento complexas. Enterprise: €2.490/mês — Automação de conformidade de escopo completo com suporte dedicado.
A regulamentação atualizada de cibersegurança da UE (Diretiva (UE) 2022/2555) substituindo a Diretiva NIS original. Ela estabelece medidas obrigatórias de gestão de riscos, notificação de incidentes e requisitos de segurança da cadeia de fornecimento em 18 setores críticos.
Organizações em 18 setores designados que atendem aos limites de empresa média (50+ funcionários ou faturamento de €10M+) ou grande empresa (250+ funcionários ou faturamento de €50M+). Certas entidades como provedores DNS e telecomunicações são cobertas independentemente do tamanho.
Entidades essenciais: até €10M ou 2% do faturamento global. Entidades importantes: até €7M ou 1,4% do faturamento global. Mais instruções vinculativas, divulgação pública, suspensão de certificações e responsabilidade pessoal de gestão.
Três estágios: alerta precoce em 24 horas, notificação de incidente em 72 horas, relatório final em 1 mês.
O Artigo 20 exige que os conselhos aprovem medidas de cibersegurança, passem por treinamento e assumam responsabilidade pessoal. Sob a lei alemã, executivos enfrentam multas pessoais e potencial suspensão temporária.
Geralmente não (abaixo de 50 funcionários / €10M de faturamento são excluídos). Exceções existem para provedores de serviços de confiança, registros TLD, provedores DNS e telecomunicações.
Sobreposição significativa, mas a NIS2 adiciona cronogramas obrigatórios de notificação de incidentes, responsabilidade pessoal de gestão e requisitos detalhados de cadeia de fornecimento. A certificação ISO 27001 sozinha não garante conformidade NIS2.
A NIS2 foca em segurança de rede/sistema; GDPR em proteção de dados pessoais — ambos podem se aplicar a um incidente cibernético. DORA tem precedência para entidades financeiras sob o princípio lex specialis.
Este guia é apenas para fins informativos e não constitui aconselhamento jurídico. Consulte profissionais jurídicos e de cibersegurança qualificados para suas obrigações específicas da NIS2.
Veja suas lacunas de conformidade em minutos. Scanning com IA com mapeamento NIS2, DSGVO e DORA integrado.
Iniciar Scan Grátis →Segurança não é opcional.
🗡️ Equipe KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →