← Voltar ao Blog
PESQUISA
22-02-2026
10 min de leitura
Checklist de Conformidade NIS2: 10 Passos para se Preparar Antes do Prazo
Um checklist prático de 10 passos para preparar sua organização para a conformidade NIS2 — desde determinação de escopo e avaliação de risco até relatório de incidentes e melhoria contínua.
Checklist de Conformidade NIS2: 10 Passos para se Preparar Antes do Prazo
A Diretiva NIS2 está reformulando as obrigações de cibersegurança em toda a Europa, e o relógio está correndo. Com os estados-membros transpondo a diretiva para a legislação nacional e a aplicação se aproximando, as organizações precisam de um roteiro claro e acionável para alcançar a conformidade.
Este checklist divide a preparação para a NIS2 em 10 passos concretos — cada um com ações específicas que você pode realizar hoje. Seja você iniciante ou construindo sobre um programa de segurança existente, este guia ajudará a identificar lacunas e priorizar seus esforços.
Passo 1: Determine se Você Está no Escopo
Por que importa: A NIS2 expandiu dramaticamente o número de organizações sujeitas a obrigações de cibersegurança. Se você assume que não está coberto, pode estar enganado.
Ações:
- Verifique seu setor: A NIS2 cobre 18 setores em dois anexos. Anexo I (entidades essenciais) inclui energia, transporte, bancos, saúde, infraestrutura digital e serviços TIC. Anexo II (entidades importantes) inclui serviços postais, gestão de resíduos, produtos químicos, alimentos, manufatura e provedores digitais
- Verifique seu tamanho: A diretiva se aplica a organizações de médio porte (50+ funcionários OU €10M+ de faturamento) e grandes organizações (250+ funcionários OU €50M+ de faturamento) em setores cobertos
- Verifique exceções: Alguns tipos de entidade são cobertos independentemente do tamanho — provedores DNS, registros TLD, redes públicas de comunicação e provedores de serviços de confiança
- Avalie exposição da cadeia de suprimentos: Mesmo que você não esteja diretamente no escopo, seus clientes em setores cobertos podem exigir segurança alinhada à NIS2 de seus fornecedores
Como o KENSAI ajuda: A plataforma KENSAI é projetada para organizações no escopo da NIS2, fornecendo o gerenciamento contínuo de vulnerabilidades e relatórios que a diretiva exige. Começar com uma verificação gratuita fornece visibilidade imediata da sua postura de segurança atual.
Passo 2: Classifique Seu Tipo de Entidade
Por que importa: Entidades essenciais enfrentam supervisão mais rigorosa e multas mais altas do que entidades importantes. Sua classificação determina suas obrigações.
Ações:
- Entidades essenciais (setores Anexo I, grandes organizações): Sujeitas a supervisão regulatória proativa, incluindo inspeções no local e auditorias regulares. Multas máximas de €10 milhões ou 2% do faturamento global
- Entidades importantes (setores Anexo II, organizações médias): Sujeitas a supervisão reativa (após um incidente ou evidência de não conformidade). Multas máximas de €7 milhões ou 1,4% do faturamento global
- Documente sua classificação e o raciocínio por trás dela
- Revise a transposição nacional — alguns estados-membros podem aplicar critérios mais rigorosos. O NIS2UmsuCG da Alemanha, por exemplo, introduz categorias adicionais
Como o KENSAI ajuda: Os relatórios de conformidade do KENSAI mapeiam descobertas para os requisitos específicos aplicáveis à sua classificação de entidade, garantindo que sua evidência de segurança corresponda às suas obrigações.
Passo 3: Garanta o Apoio e Responsabilidade da Gestão
Por que importa: O Artigo 20 da NIS2 torna os órgãos de gestão pessoalmente responsáveis pela cibersegurança. Isso não é uma sugestão — é um requisito legal com implicações de responsabilidade pessoal.
Ações:
- Informe a diretoria e o C-level sobre os requisitos da NIS2 e sua responsabilidade pessoal
- Designe um executivo responsável pela supervisão de cibersegurança (CISO, CTO ou equivalente)
- Estabeleça uma estrutura de governança onde a gestão aprove formalmente políticas de cibersegurança e revise avaliações de risco
- Agende treinamento obrigatório de cibersegurança para todos os membros do órgão de gestão — a NIS2 exige isso explicitamente
- Documente o envolvimento da gestão em decisões de cibersegurança para fins de auditoria
- Inclua cibersegurança como item permanente da agenda em reuniões da diretoria
Como o KENSAI ajuda: O KENSAI fornece dashboards executivos e relatórios de tendências que dão à gestão a visibilidade necessária para cumprir suas responsabilidades de supervisão sem exigir expertise técnica profunda.
Passo 4: Realize uma Avaliação de Risco Abrangente
Por que importa: O Artigo 21 da NIS2 exige medidas técnicas e organizacionais "apropriadas e proporcionais" baseadas em uma avaliação de risco. Sem uma avaliação de risco documentada, você não pode demonstrar que suas medidas são proporcionais.
Ações:
- Identifique ativos críticos: Mapeie todos os sistemas de rede e informação que suportam seus serviços essenciais
- Avalie ameaças: Documente o cenário de ameaças relevante para seu setor e geografia (ransomware, ataques patrocinados por estados, comprometimento de cadeia de suprimentos, ameaças internas)
- Avalie vulnerabilidades: Realize avaliações técnicas de vulnerabilidade de sua infraestrutura, aplicações e processos
- Determine o impacto: Para cada risco identificado, avalie o impacto potencial na continuidade do serviço, integridade dos dados e partes afetadas
- Calcule níveis de risco: Use uma metodologia consistente (probabilidade × impacto) para priorizar riscos
- Documente tudo: A avaliação de risco deve ser escrita, revisada e atualizada regularmente
Como o KENSAI ajuda: A verificação automatizada de vulnerabilidades do KENSAI fornece os dados técnicos de vulnerabilidade que sua avaliação de risco precisa. Em vez de depender de avaliações manuais pontuais, o KENSAI entrega inteligência contínua de vulnerabilidades que mantém sua avaliação de risco atualizada.
Passo 5: Mapeie Sua Superfície de Ataque
Por que importa: A NIS2 exige medidas de segurança para seus sistemas de rede e informação. Você não pode proteger o que não sabe que existe.
Ações:
- Inventarie todos os ativos voltados para o exterior: Aplicações web, APIs, servidores de email, endpoints VPN, serviços em nuvem, subdomínios
- Identifique TI sombra: Descubra serviços em nuvem não autorizados, ambientes de teste esquecidos e sistemas legados
- Mapeie conexões de terceiros: Documente todas as integrações externas, conexões API e fluxos de dados com fornecedores e parceiros
- Avalie exposição na nuvem: Revise configurações de IaaS, PaaS e SaaS para más configurações e permissões excessivas
- Documente suas descobertas: Mantenha um inventário vivo de sua superfície de ataque
Como o KENSAI ajuda: A descoberta de superfície de ataque do KENSAI identifica automaticamente seus ativos voltados para o exterior, incluindo subdomínios esquecidos e serviços expostos que inventários internos perdem. Execute uma verificação gratuita para ver sua superfície de ataque da perspectiva de um invasor.
Passo 6: Implemente as 10 Medidas de Segurança Mínimas
Por que importa: O Artigo 21(2) da NIS2 lista dez categorias específicas de medidas de segurança que todas as entidades cobertas devem implementar. Elas não são opcionais.
Ações para cada medida:
- Desenvolver e documentar uma política de segurança da informação
- Estabelecer um framework de gestão de risco com ciclos regulares de revisão
b) Tratamento de incidentes
- Criar um plano de resposta a incidentes com papéis, responsabilidades e procedimentos de escalação claros
- Implementar capacidades de detecção e monitoramento de incidentes
- Realizar exercícios regulares de resposta a incidentes
c) Continuidade de negócios e gestão de crises
- Desenvolver planos de continuidade de negócios para serviços críticos
- Implementar e testar procedimentos de backup e recuperação de desastres
- Garantir existência de backups offline/imutáveis (crítico para resiliência a ransomware)
d) Segurança da cadeia de suprimentos
- Avaliar práticas de cibersegurança de fornecedores críticos
- Incluir requisitos de segurança em compras e contratos
- Monitorar segurança de fornecedores de forma contínua
e) Segurança na aquisição, desenvolvimento e manutenção
- Implementar práticas de desenvolvimento seguro (SDLC)
- Realizar tratamento de vulnerabilidades e testes de segurança regulares
- Estabelecer procedimentos de gestão de patches
f) Avaliação de eficácia
- Agendar auditorias e avaliações de segurança regulares
- Implementar métricas de segurança e KPIs
- Revisar e atualizar medidas com base nos resultados da avaliação
g) Higiene cibernética e treinamento
- Implementar treinamento de conscientização de segurança para todos os funcionários
- Implementar programas de simulação de phishing
- Estabelecer padrões básicos de higiene cibernética (políticas de senha, mesa limpa, etc.)
h) Criptografia e encriptação
- Criptografar dados em trânsito (TLS 1.2+ para todos os serviços)
- Criptografar dados em repouso para informações sensíveis
- Gerenciar chaves criptográficas de acordo com as melhores práticas
i) Segurança de recursos humanos e controle de acesso
- Implementar autenticação multifator para todos os sistemas críticos
- Aplicar o princípio do menor privilégio
- Estabelecer processos de revisão de acesso
j) Comunicações seguras
- Implementar canais de comunicação criptografados para discussões sensíveis
- Estabelecer procedimentos de comunicação de emergência que funcionem quando os sistemas primários estiverem comprometidos
Como o KENSAI ajuda: O KENSAI apoia diretamente as medidas (e), (f) e os aspectos de tratamento de vulnerabilidades de (a) e (d). A verificação automatizada contínua garante que você está cumprindo os requisitos de "testes regulares" e "tratamento de vulnerabilidades" com evidência verificável.
Passo 7: Estabeleça Capacidades de Relatório de Incidentes
Por que importa: A NIS2 introduz requisitos rigorosos de relatório de incidentes em múltiplos estágios. Perder o prazo de alerta antecipado de 24 horas pode resultar em penalidades independentes do próprio incidente.
Ações:
- Defina critérios de "incidente significativo" para sua organização, alinhados com a definição da NIS2 (interrupção operacional grave, perda financeira ou dano considerável a outros)
- Implemente monitoramento 24/7 capaz de detectar incidentes significativos em tempo real — você não pode relatar o que não detectou
- Identifique seu CSIRT nacional e autoridade competente — saiba exatamente onde relatar e como
- Prepare templates de relatório para cada estágio:
- Alerta antecipado de 24 horas: Fatos básicos do incidente, se é suspeito de ser ilegal ou malicioso, impacto transfronteiriço potencial
- Notificação de 72 horas: Avaliação inicial, gravidade, impacto, indicadores de comprometimento
- Relatório final de 1 mês: Descrição detalhada, análise de causa raiz, medidas de mitigação, impacto transfronteiriço
- Designe e treine relatores de incidentes — garanta que múltiplos membros da equipe possam enviar relatórios
- Pratique o processo de relatório — realize exercícios de mesa que incluam o cronograma de relatório
Como o KENSAI ajuda: O monitoramento contínuo do KENSAI significa que vulnerabilidades são detectadas e relatadas antes de se tornarem incidentes. Quando problemas são encontrados, os relatórios técnicos detalhados do KENSAI fornecem os indicadores de comprometimento e detalhes técnicos necessários para relatório rápido de incidentes.
Passo 8: Aborde a Segurança da Cadeia de Suprimentos
Por que importa: A NIS2 exige explicitamente que as organizações gerenciem riscos de cibersegurança em sua cadeia de suprimentos. A diretiva reconhece que muitas violações importantes se originam através de fornecedores confiáveis.
Ações:
- Identifique fornecedores críticos: Mapeie fornecedores com acesso aos seus sistemas, dados ou rede
- Avalie postura de segurança do fornecedor: Solicite certificações de segurança (ISO 27001, SOC 2), realize questionários ou exija avaliações de terceiros
- Inclua requisitos de segurança em contratos: Defina padrões mínimos de segurança, obrigações de notificação de incidentes, direitos de auditoria e cláusulas de rescisão por falhas de segurança
- Monitore segurança contínua do fornecedor: Não avalie apenas na integração — realize revisões regulares
- Desenvolva procedimentos de resposta a incidentes de fornecedores: Saiba o que acontece quando um fornecedor é comprometido
- Diversifique dependências críticas: Evite pontos únicos de falha em sua cadeia de suprimentos
Como o KENSAI ajuda: O KENSAI pode verificar a infraestrutura voltada para o exterior de seus fornecedores (com permissão deles) para fornecer uma visão objetiva de sua postura de segurança. Isso fornece dados verificáveis em vez de depender apenas de questionários autorrelatados.
Passo 9: Documente Tudo para Preparação para Auditoria
Por que importa: A supervisão da NIS2 inclui o poder de realizar auditorias, inspeções e solicitações de evidência. Se você não pode demonstrar conformidade através de documentação, você não está em conformidade.
Ações:
- Mantenha um repositório de evidências de conformidade com todas as políticas, procedimentos, avaliações de risco e resultados de testes
- Mantenha registros de todos os incidentes de segurança e suas ações de resposta, independentemente de terem atingido o limiar "significativo"
- Documente aprovações da gestão — cada aprovação de política, aceitação de risco e decisão de orçamento
- Archive resultados de testes de segurança com timestamps — verificação contínua fornece evidência mais forte do que relatórios anuais
- Rastreie conclusão de treinamento para todos os funcionários, com atenção especial ao treinamento da gestão
- Registre avaliações de cadeia de suprimentos e cláusulas de segurança em contratos
- Mantenha logs de mudanças para todas as políticas e procedimentos relacionados à segurança
Como o KENSAI ajuda: O KENSAI gera automaticamente relatórios de verificação com timestamp, históricos de rastreamento de vulnerabilidades e cronogramas de remediação. Isso cria uma trilha de auditoria contínua que demonstra testes de segurança em andamento — muito mais convincente para reguladores do que um único relatório de pentest anual.
Passo 10: Implemente Melhoria Contínua
Por que importa: A NIS2 não é um exercício único de checkbox. A diretiva exige gestão de risco contínua e avaliação regular da eficácia das medidas. Reguladores procurarão evidência de melhoria contínua, não conformidade estática.
Ações:
- Agende revisões de segurança trimestrais para avaliar a eficácia das medidas implementadas
- Rastreie métricas de segurança ao longo do tempo: Contagens de vulnerabilidades, tempo médio para remediação, frequência de incidentes, taxas de conclusão de treinamento
- Atualize avaliações de risco quando o cenário de ameaças mudar, após incidentes significativos ou pelo menos anualmente
- Compare com frameworks: Use ISO 27001, NIST CSF ou CIS Controls como benchmarks de maturidade
- Participe do compartilhamento de informações: Junte-se a ISACs específicos do setor (Information Sharing and Analysis Centers) e engaje-se com seu CSIRT nacional
- Revise e atualize este checklist — revisite seu status de conformidade NIS2 a cada trimestre
- Planeje para evolução regulatória: A NIS2 será revisada e potencialmente atualizada; construa flexibilidade em seu programa de segurança
Como o KENSAI ajuda: O modelo de verificação contínua do KENSAI está inerentemente alinhado com a melhoria contínua. Cada verificação se baseia em resultados anteriores, rastreando quais vulnerabilidades foram corrigidas, quais são novas e como sua postura geral de segurança evolui ao longo do tempo. A plataforma fornece as métricas e dados de tendência que demonstram melhoria para auditores e reguladores.
Sua Linha do Tempo de Conformidade NIS2
Aqui está uma linha do tempo realista para implementar este checklist:
Mês 1-2: Fase de Avaliação
- Passos 1-2: Determinação de escopo e classificação
- Passo 3: Briefing e apoio da gestão
- Passo 4: Iniciar avaliação de risco
- Passo 5: Mapeamento de superfície de ataque (comece com verificação gratuita KENSAI)
Mês 3-4: Fase de Fundação
- Passo 4: Completar avaliação de risco
- Passo 6: Começar a implementar as 10 medidas mínimas (priorizar lacunas)
- Passo 7: Estabelecer capacidades de relatório de incidentes
Mês 5-6: Fase de Implementação
- Passo 6: Continuar implementação de medidas mínimas
- Passo 8: Abordar segurança da cadeia de suprimentos
- Passo 9: Configurar documentação e gestão de evidências
Mês 7+: Fase Contínua
- Passo 10: Melhoria, monitoramento e avaliação contínuos
- Revisões e atualizações regulares em todos os passos
Erros Comuns a Evitar
- Tratar a NIS2 como um projeto apenas de TI: Requer envolvimento da gestão e colaboração interfuncional
- Esperar pela transposição nacional: Os requisitos são claros; comece agora
- Confiar demais em certificações: ISO 27001 é uma base forte mas não equivale automaticamente à conformidade NIS2
- Negligenciar obrigações da cadeia de suprimentos: É aqui que muitas organizações serão pegas despreparadas
- Conformidade única: A NIS2 exige gestão de risco contínua, não exercícios anuais
- Ignorar o requisito de relatório de 24 horas: Isso requer capacidades de monitoramento, não apenas um documento de política
Comece com Visibilidade
Você não pode corrigir o que não pode ver. O primeiro passo para a conformidade NIS2 é entender sua postura de segurança atual.
👉 Obtenha sua verificação de segurança gratuita KENSAI em kensai.app/free-scan — mapeie sua superfície de ataque e identifique vulnerabilidades em minutos.
Experimente o KENSAI Gratuitamente
Verifique sua infraestrutura quanto a vulnerabilidades em minutos — sem cartão de crédito necessário.
Iniciar Verificação Gratuita →
Publicado por KENSAI Security Research — Plataforma de Cibersegurança com IA