Como atender aos requisitos da NIS2 com soluções modernas de rede e segurança
15/07/2025 por News Team
A necessidade de fortalecer a cibersegurança é inegável. Segundo especialistas globais da Statista, o cibercrime ocupa cada vez mais espaço entre os delitos mais recorrentes e prejudiciais da atualidade. Em resposta a essa crescente ameaça, a União Europeia (UE) atualizou a Diretiva NIS2 para lidar melhor com o complexo cenário de segurança digital de hoje e garantir uma proteção mais ampla para empresas e organizações.
1. O que é a Diretiva NIS2?
A NIS2 é uma emenda à Diretiva de Segurança de Redes e Informações (NIS), criada para elevar o nível de cibersegurança entre os Estados-membros da União Europeia e tornar o bloco mais resiliente ao cibercrime.
Com os novos requisitos da NIS2 para empresas, mais setores precisarão analisar suas medidas de segurança e se adaptar a padrões mais rígidos. Será necessário melhorar a resposta a incidentes e intensificar o compartilhamento de informações entre os países-membros. O objetivo é criar um nível de cibersegurança mais unificado e fortalecido. No entanto, a Diretiva NIS2 não exige, necessariamente, uma reformulação completa das práticas já existentes. Em muitos casos, trata-se de refinar pontos específicos e aprimorar processos em uso. Além disso, muitas empresas podem estar subutilizando ferramentas que já possuem — principalmente em nuvem. Antes de investir em novos sistemas, é importante considerar como as soluções atuais podem ser fortalecidas.
Em comparação com a diretiva original, a NIS2 é mais robusta que sua antecessora, impactando um número maior de setores, incluindo fabricantes de produtos críticos, administração pública e setor espacial. Ela introduz um sistema de dois níveis, classificando as organizações como “entidades essenciais” (Anexo I) ou “entidades importantes” (Anexo II), com diferentes obrigações, níveis de supervisão e penalidades baseadas nessa classificação. Além disso, a NIS2 impõe medidas de segurança mais rígidas e penalidades significativamente mais altas para garantir a conformidade. Outro ponto relevante é a mudança de responsabilidade: a diretiva transfere a prestação de contas do departamento de TI para a alta liderança, com executivos podendo enfrentar sanções públicas ou até proibições de assumir funções futuras em caso de não conformidade.
Embora a NIS2 estabeleça uma base comum de requisitos de cibersegurança, é importante destacar que os legisladores locais de cada Estado-membro da UE têm autoridade para reforçar a diretiva ou expandir seu escopo. Isso significa que podem impor responsabilidades adicionais ou ampliar os setores aos quais a diretiva se aplica. Os Estados-membros tiveram até 17 de outubro de 2024 para integrar a NIS2 em suas legislações nacionais, o que exigiu a elaboração e publicação de planos de conformidade. Agora, cada país está definindo cronogramas específicos para as organizações em seu território. Como resultado, não existe um prazo único de conformidade válido para toda a UE. Os prazos variam de acordo com cada país, com a maioria prevista para 2025, e alguns se estendendo até o início de 2026.
2. Aplicabilidade da NIS2: Quem é afetado?
Aproximadamente 160.000 organizações em toda a União Europeia são impactadas pela Diretiva NIS2. A definição de quais empresas estão sujeitas à NIS2 depende do setor em que atuam e do porte da organização.
Classificação por setor:
Entidades essenciais: Organizações fundamentais para a manutenção de infraestruturas e serviços críticos, cuja interrupção poderia gerar consequências graves para a sociedade e a economia.
Entidades importantes: Organizações que oferecem serviços relevantes, mas menos críticos do que os prestados pelas “entidades essenciais”. Sua interrupção, no entanto, ainda poderia causar impactos consideráveis.
| Entidades Essenciais | Entidades Importantes |
|---|---|
| Energia, Transporte, Bancos, Infraestruturas de mercado financeiro, Saúde, Água potável, Esgotamento sanitário, Infraestrutura digital, Gestão de serviços de TIC (B2B), Administração pública, Espaço | |
| Químicos, Provedores digitais, Serviços postais e de encomendas, Gestão de resíduos, Alimentação (produção, processamento, distribuição), Indústria, Pesquisa | |
| Energia, Transporte, Bancos, Infraestruturas de mercado financeiro, Saúde, Água potável, Esgotamento sanitário, Infraestrutura digital, Gestão de serviços de TIC (B2B), Administração pública, Espaço | Químicos, Provedores digitais, Serviços postais e de encomendas, Gestão de resíduos, Alimentação (produção, processamento, distribuição), Indústria, Pesquisa |
Critérios de Tamanho:
Micro: >10 empregados e >€2 milhões em faturamento ou balanço patrimonial
Médio: >50 empregados e >€10 milhões em faturamento ou balanço patrimonial
Grande: >250 empregados e >€50 milhões em faturamento ou >€43 milhões em balanço patrimonial
Para estar sujeito à NIS2, uma entidade deve atender tanto aos critérios baseados no setor quanto aos critérios baseados no tamanho.
3. Objetivos e Obrigações Principais
Os novos requisitos da NIS2 têm como objetivo fortalecer a resiliência dos Estados-membros da UE contra ameaças cibernéticas. Os objetivos são projetados para garantir que os serviços essenciais prestados por empresas e autoridades públicas estejam melhor protegidos contra interferências maliciosas, perda de dados e interrupções operacionais.
A diretiva define obrigações e supervisão com base na categorização da organização:
- Entidades essenciais: Devem cumprir todo o escopo da NIS2, passar por supervisão proativa (ex ante), reportar incidentes ao CSIRT dentro do prazo especificado e realizar auditorias independentes.
- Entidades importantes: Devem implementar medidas de segurança baseadas em risco de forma independente e verificar através de autoavaliação. Estão sujeitas à supervisão reativa (ex post), com ações tomadas em caso de incidentes ou não conformidade.
As empresas podem garantir a conformidade com a NIS2 implementando medidas rigorosas de cibersegurança, incluindo:
- Gestão de Riscos & Políticas de Segurança
- Relato de Incidentes (dentro de 24 horas, relatório completo em 72 horas)
- Continuidade de Negócios & Gestão de Crises
- Segurança da Cadeia de Suprimentos=
- Responsabilidade da Gestão
Com a NIS2, a cibersegurança torna-se uma prioridade no nível da diretoria. A liderança deve supervisionar ativamente a conformidade e a gestão de riscos, garantindo que seus próprios serviços e os de seus fornecedores atendam a padrões rigorosos.
Mais do que apenas se adaptar a novas regulamentações, as empresas devem buscar fomentar e promover uma cultura de segurança, onde colaboradores de todos os níveis estejam engajados ativamente na proteção tanto das operações quanto dos dados.
4. Responsabilidade & Penalidades
A Diretiva NIS2 define diversas penalidades para uma organização que não cumpre seus requisitos. A responsabilidade abrange desde profissionais de TI até executivos seniores. Isso significa que os gestores devem garantir uma gestão de risco e supervisão eficazes.
O não cumprimento pode impactar severamente as empresas, incluindo:
- Interrupção financeira: Multas, obrigação de investimentos em segurança
- Interrupção dos negócios: Foco desviado para conformidade, monitoramento regulatório, suspensão de licenças
- Danos à reputação: Obrigação de divulgação pública
- Consequências para executivos: Multas, responsabilidade criminal e proibição de assumir funções
As sanções financeiras que podem ser impostas por não conformidade são:
- Até €10 milhões ou 2% da receita anual global da empresa para entidades essenciais
- Até €7 milhões ou 1,4% da receita anual global da empresa para entidades importantes
5. Passos para Alcançar a Conformidade com a NIS2
Entender se sua organização é classificada como uma entidade essencial ou importante sob a Diretiva NIS2 é crucial. Para tornar o processo mais gerenciável e cumprir os requisitos da NIS2, concentre-se em três áreas principais:
- Consultoria e serviços de processos: Atender às necessidades técnicas de segurança, estabelecer políticas e procedimentos abrangentes e implementar mudanças operacionais para conformidade.
- Tecnologia e soluções/serviços gerenciados: Implantar ferramentas avançadas de segurança, fornecer monitoramento contínuo e atualizações, e apoiar a conformidade com aplicação automatizada.
- Monitoramento e validação de segurança: Monitorar continuamente os sistemas, validar medidas de segurança por meio de testes e auditorias, e garantir relatórios de incidentes em tempo hábil.
Concentrando-se nesses três elementos, você pode simplificar sua abordagem à conformidade com a NIS2 e fortalecer a resiliência da sua organização.
6. Como a Deutsche Telekom Ajuda Empresas a Atender aos Requisitos da NIS2
Agora é o momento para as empresas avaliarem suas estratégias de cibersegurança e agirem. Existem alguns primeiros passos simples que as empresas podem tomar, como nomear um gerente de cibersegurança, estabelecer políticas e responsabilidades claras, e realizar uma auditoria de cibersegurança dentro da empresa.
Independentemente da abordagem adotada, é importante ter em mente que a Diretiva NIS2 não se trata apenas de impor mais regulamentações às empresas. Em vez disso, trata-se de ajudar as organizações a proteger seus dados e negócios - o que deveria ser uma prioridade para praticamente qualquer empresa.
As soluções da Deutsche Telekom estão alinhadas a todos os requisitos relevantes da NIS2, oferecendo uma base sólida para a conformidade por padrão. Entre elas, SD-WAN (Software-Defined Wide Area Networking) e SASE (Secure Access Service Edge) se destacam como ferramentas poderosas para organizações que buscam atender às exigências de cibersegurança da diretiva.
Uma base sólida em redes seguras, escaláveis e gerenciadas de forma centralizada - como a oferecida por essas tecnologias - é crucial para cumprir os requisitos da NIS2 em gestão de riscos, acesso seguro e visibilidade da rede.
- SD-WAN garante conectividade resiliente e criptografada e controle centralizado em ambientes distribuídos.
- SASE oferece funções de segurança nativas em nuvem, como Zero Trust Network Access (ZTNA), Secure Web Gateways e Cloud Access Security Brokers, todas essenciais para proteger dados e usuários em um ambiente de trabalho híbrido.
Mas a conformidade não se limita à arquitetura − ela requer excelência operacional. É aí que a expertise em cibersegurança da Deutsche Telekom completa o quadro. Com o maior Centro de Operações de Segurança e Defesa Cibernética (SOC) da Europa monitorando mais de um bilhão de pontos de dados diariamente, a Deutsche Telekom fornece detecção de ameaças, resposta a incidentes e gestão de vulnerabilidades 24/7.
Os serviços de cibersegurança incluem testes de penetração automatizados, auditorias de conformidade e treinamento em conscientização de segurança, todos suportando diretamente os mandatos da NIS2 para medidas técnicas e organizacionais.
Juntos, SD-WAN e SSE − as partes de rede e segurança do SASE − convergem em uma arquitetura completa, nativa em nuvem, que não apenas ajuda as organizações a cumprir as obrigações da NIS2, mas também as capacita a construir um futuro digital mais seguro e resiliente.
A tabela a seguir descreve como os principais componentes do SASE suportam diretamente requisitos específicos de conformidade da NIS2, especialmente em áreas como controle de acesso, prevenção de ameaças e segurança em nuvem.
| Recurso do SASE | Requisito NIS2 Atendido | Artigo Relevante da NIS2 |
|---|---|---|
| Acesso à Rede de Confiança Zero (ZTNA)Firewall em Nuvem como Serviço (FWaaS)Gateway Web Seguro (SWG)Corretor de Segurança de Acesso à Nuvem (CASB)Integração de Inteligência contra AmeaçasMonitoramento e Registro Contínuos | ||
| Controle de acesso baseado em identidade, segmentaçãoDefesa de perímetro, prevenção de ameaçasFiltragem de conteúdo, bloqueio de malwareVisibilidade em nuvem, aplicação de conformidadeMitigação proativa de riscosDetecção e resposta a incidentes | ||
| Artigo 21(2)(a) – Análise de riscos e políticas de segurançaArtigo 21(2)(d) – Gestão da cadeia de suprimentos e de ativosArtigo 21(2)(e) – Tratamento de incidentes de segurançaArtigo 21(2)(g) – Segurança em redes e sistemas de informaçãoCompartilhamento de inteligência sobre ameaças cibernéticasArtigo 23 – Tratamento e reporte de incidentes | ||
| Acesso à Rede de Confiança Zero (ZTNA) | Controle de acesso baseado em identidade, segmentação | Artigo 21(2)(a) – Análise de riscos e políticas de segurança |
| Firewall em Nuvem como Serviço (FWaaS) | Defesa de perímetro, prevenção de ameaças | Artigo 21(2)(d) – Gestão da cadeia de suprimentos e de ativos |
| Gateway Web Seguro (SWG) | Filtragem de conteúdo, bloqueio de malware | Artigo 21(2)(e) – Tratamento de incidentes de segurança |
| Corretor de Segurança de Acesso à Nuvem (CASB) | Visibilidade em nuvem, aplicação de conformidade | Artigo 21(2)(g) – Segurança em redes e sistemas de informação |
| Integração de Inteligência contra Ameaças | Mitigação proativa de riscos | Compartilhamento de inteligência sobre ameaças cibernéticas |
| Monitoramento e Registro Contínuos | Detecção e resposta a incidentes | Artigo 23 – Tratamento e reporte de incidentes |
Com relação ao SD-WAN, a tabela a seguir mostra como os recursos relacionados à rede contribuem para a conformidade com a NIS2, aprimorando a resiliência da rede, a visibilidade e o fluxo seguro de dados em ambientes distribu�ídos.
| Recurso de SD-WAN | Requisito NIS2 Atendido | Artigo Relevante |
|---|---|---|
| Gestão CentralizadaRoteamento Consciente de AplicaçõesCriptografia e SegmentaçãoConectividade ResilientAnálises em Tempo Real | ||
| Simplifica a conformidade, auditoriaGarante a continuidade do serviçoProteção e isolamento de dadosRedundância, disponibilidadeSuporte à resposta a incidentes | ||
| Artigo 21(2)(h) – Criptografia e configurações segurasArtigo 21(2)(f) – Continuidade de negócios e gestão de crisesArtigo 21(2)(h) – Criptografia e comunicação seguraArtigo 21(2)(f) – Continuidade de negóciosArtigo 23(1) – Detecção e reporte precoce | ||
| Gestão Centralizada | Simplifica a conformidade, auditoria | Artigo 21(2)(h) – Criptografia e configurações seguras |
| Roteamento Consciente de Aplicações | Garante a continuidade do serviço | Artigo 21(2)(f) – Continuidade de negócios e gestão de crises |
| Criptografia e Segmentação | Proteção e isolamento de dados | Artigo 21(2)(h) – Criptografia e comunicação segura |
| Conectividade Resilient | Redundância, disponibilidade | Artigo 21(2)(f) – Continuidade de negócios |
| Análises em Tempo Real | Suporte à resposta a incidentes | Artigo 23(1) – Detecção e reporte precoce |
Serviços de Segurança Mapeados para os Artigos da NIS2
Enquanto o SASE e o SD-WAN fornecem a arquitetura e a conectividade, os serviços de cibersegurança da Deutsche Telekom trazem a força operacional para atender aos requisitos mais exigentes da NIS2. Veja como:
| Serviços de Cibersegurança | O Que Faz | Requisito NIS2 Atendido | Artigo Relevante |
|---|---|---|---|
| Diretor de Segurança da Informação Virtual (vCISO)Backup como Serviço (BaaS)Recuperação de Desastres como Serviço (DRaaS)Detecção e Resposta a AmeaçasGestão de VulnerabilidadesTestes de Penetração e Auditorias de ConformidadeTreinamento de Conscientização em Segurança | |||
| Fornece liderança e estratégia de cibersegurança em nível executivoPermite rápida restauração de dados e proteção contra perda de dadosGarante recuperação rápida de incidentes ou desastres cibernéticosDetecta e mitiga ameaças em tempo realIdentifica e corrige vulnerabilidades do sistemaValida a postura e a prontidão de segurançaEduca os funcionários para reduzir erro humano e ameaças internas | |||
| Governança, gestão de riscos e supervisão de conformidadeContinuidade de negócios e disponibilidade de dadosResiliência do sistema e planejamento de recuperaçãoResposta e contenção de incidentesMitigação de riscos técnicosVerificação e aplicação da conformidadeMitigação de riscos relacionados ao fator humano | |||
| Artigo 21(1)Artigo 21(2)(f)Artigo 21(2)(f)Artigo 23(1)Artigo 21(2)(d)Artigo 29Artigo 21(2)(c) | |||
| Diretor de Segurança da Informação Virtual (vCISO) | Fornece liderança e estratégia de cibersegurança em nível executivo | Governança, gestão de riscos e supervisão de conformidade | Artigo 21(1) |
| Backup como Serviço (BaaS) | Permite rápida restauração de dados e proteção contra perda de dados | Continuidade de negócios e disponibilidade de dados | Artigo 21(2)(f) |
| Recuperação de Desastres como Serviço (DRaaS) | Garante recuperação rápida de incidentes ou desastres cibernéticos | Resiliência do sistema e planejamento de recuperação | Artigo 21(2)(f) |
| Detecção e Resposta a Ameaças | Detecta e mitiga ameaças em tempo real | Resposta e contenção de incidentes | Artigo 23(1) |
| Gestão de Vulnerabilidades | Identifica e corrige vulnerabilidades do sistema | Mitigação de riscos técnicos | Artigo 21(2)(d) |
| Testes de Penetração e Auditorias de Conformidade | Valida a postura e a prontidão de segurança | Verificação e aplicação da conformidade | Artigo 29 |
| Treinamento de Conscientização em Segurança | Educa os funcionários para reduzir erro humano e ameaças internas | Mitigação de riscos relacionados ao fator humano | Artigo 21(2)(c) |
Alcançar a conformidade com a NIS2 exige mais do que ferramentas fragmentadas – requer uma abordagem integrada e estratégica. Ao combinar SD-WAN, SASE e capacidades robustas de segurança operacional, as organizações podem construir uma arquitetura abrangente de cibersegurança que não apenas atende às exigências regulatórias, mas também fortalece a resiliência e a agilidade operacional.
7. Por que escolher a Deutsche Telekom?
A Deutsche Telekom está comprometida em ajudar as empresas a enfrentar esses novos desafios e atender aos requisitos da Diretiva NIS2. Nossa missão é manter suas operações seguras no cenário digital em constante mudança – porque sua cibersegurança é o nosso negócio!
Existem muitas boas razões para escolher a Deutsche Telekom para tornar seu negócio mais seguro:
- DNA de Segurança:Seja na proteção de dispositivos móveis, varredura de vulnerabilidades, gerenciamento de identidade e acesso, detecção e monitoramento inteligente de intrusões, nossa abrangente biblioteca de ameaças ou nossa rede global de centros de operações de segurança – a segurança está profundamente enraizada em tudo o que fazemos.
- Experiência: De conectividade a serviços em nuvem e suporte 24/7 – sabemos como operar e proteger de forma segura a infraestrutura de TIC crítica para os negócios de ponta a ponta em vários setores e no setor público há décadas.
- Ecossistema líder: Nosso ecossistema de parceiros inclui os principais fornecedores de tecnologia nas áreas de segurança, redes definidas por software e serviços em nuvem.
- Alcance global − presença local: Com entidades legais em vinte e oito países, atendemos clientes em escala global combinando conhecimento e experiência locais.
- Sustentável por princípio: Há mais de duas décadas, a responsabilidade ambiental e social é um aspecto essencial de nossas operações diárias e parte integrante de nossa governança corporativa.
A Diretiva NIS2 não é apenas um requisito regulatório – é uma oportunidade estratégica. Ao alinhar as práticas de cibersegurança com a NIS2, as organizações podem reduzir riscos, evitar penalidades e construir confiança e resiliência em suas operações.
Assuma a liderança − aproveite a oportunidade para avaliar a prontidão NIS2
Entre em contato com nossos especialistas em rede e cibersegurança hoje mesmo pelo formulário de contato para agendar uma consulta gratuita e iniciar sua jornada de conformidade com confiança.