A Diretiva NIS2 e os Seus Documentos: O que as Empresas da UE Precisam de Saber
A NIS2 é a maior expansão da regulamentação de cibersegurança da UE numa década. Abrange mais de 160 000 entidades em 18 setores — e a maior parte do que exige é documentação. Registos de risco, registos de incidentes, aprovações de políticas, avaliações de fornecedores, registos de formação. Eis o que realmente precisa de fazer.
Última atualização: abril de 2026
A Resposta Rápida
- → A NIS2 é essencialmente um desafio de documentação e governação, não de tecnologia. Sete das dez medidas de segurança obrigatórias ao abrigo do Artigo 21.º dizem respeito fundamentalmente a processos documentados, políticas aprovadas e provas auditáveis.
- → Se a sua organização opera num dos 18 setores abrangidos e tem 50 ou mais funcionários (ou excede 10 M€ de faturação anual), é muito provável que esteja no âmbito de aplicação — seja como entidade essencial ou importante.
- Conclusão: Um sistema de gestão documental não o torna conforme com a NIS2 por si só. Mas uma má gestão documental — falta de políticas, sem histórico de versões, sem registos de aprovação — garante que irá chumbar numa auditoria.
O que é a NIS2 e porque é importante?
A Diretiva de Segurança das Redes e da Informação 2 (NIS2) é a Diretiva (UE) 2022/2555, adotada em dezembro de 2022 e em vigor desde janeiro de 2023. Substitui a Diretiva NIS original de 2016. O salto no âmbito de aplicação é enorme: a NIS1 abrangia cerca de 15 000 entidades em 7 setores. A NIS2 abrange mais de 160 000 entidades em 18 setores. Trata-se de uma expansão de dez vezes.
Os Estados-Membros tinham a obrigação de transpor a NIS2 para o direito nacional até 17 de outubro de 2024. Em abril de 2026, 21 dos 27 Estados-Membros já o fizeram. A Comissão Europeia enviou pareceres fundamentados a 19 Estados-Membros em maio de 2025 por não terem notificado a transposição total. A Alemanha concluiu a sua transposição em dezembro de 2025. A França deverá finalizar a sua Loi Résilience em meados de 2026. A aplicação prática já começou.
| Aspeto | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Entidades abrangidas | ~15 000 | ~160 000+ |
| Setores abrangidos | 7 | 18 |
| Coima máxima | Variável por Estado-Membro | 10 M€ ou 2% da faturação global |
| Responsabilidade da administração | Nenhuma | Responsabilidade pessoal (Art. 20) |
| Notificação de incidentes | "Sem atrasos indevidos" | 24h / 72h / 1 mês (Art. 23) |
| Requisitos para a cadeia de abastecimento | Nenhum | Obrigatório (Art. 21(2)(d)) |
Ainda assim, de acordo com um inquérito da CyberSmart realizado a 670 líderes empresariais em oito países da UE publicado em abril de 2026, apenas 16% das empresas abrangidas estão totalmente em conformidade com a NIS2. As principais barreiras são as restrições orçamentais e a falta de orientação sobre como implementar as medidas. Este guia aborda o segundo problema.
A sua empresa está abrangida?
A diretiva NIS2 aplica-se a entidades que operam num dos 18 setores designados E que cumprem os critérios de dimensão. Existem duas classificações de entidades: essenciais (obrigações mais estritas, supervisão proativa) e importantes (supervisão reativa, embora se apliquem as mesmas medidas de segurança fundamentais).
O critério geral de dimensão aplica-se a médias empresas ou superiores: 50 ou mais colaboradores, OU faturação anual superior a 10 milhões de euros, OU balanço anual superior a 10 milhões de euros. Algumas entidades são abrangidas independentemente da sua dimensão — incluindo fornecedores de DNS, registos de TLD, prestadores de serviços de confiança e fornecedores de redes públicas de comunicações eletrónicas.
Os 18 setores estão divididos em dois anexos. Ambos exigem o cumprimento das mesmas medidas de segurança do Artigo 21. A diferença reside na forma como as autoridades de supervisão interagem com a sua organização:
| Classificação | Setores (Anexo) | Supervisão |
|---|---|---|
| Essencial (Anexo I) | Energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços de TIC (B2B), administração pública, espaço | Proativo — as autoridades podem realizar auditorias, inspeções e solicitar provas a qualquer momento |
| Importante (Anexo II) | Serviços postais, gestão de resíduos, produtos químicos, produção e distribuição de alimentos, fabrico (dispositivos médicos, eletrónica, maquinaria, veículos), fornecedores digitais (marketplaces, motores de pesquisa, redes sociais), investigação | Reativo — as autoridades investigam após um incidente ou quando surgem indícios de incumprimento |
Nota: a proposta de alteração da Comissão de janeiro de 2026 introduz uma nova categoria de "pequenas empresas de média capitalização" (small mid-caps) para entidades com menos de 750 colaboradores e faturação inferior a 150 milhões de euros. Sob esta proposta, estas seriam classificadas como importantes em vez de essenciais, mesmo que operem nos setores do Anexo I. Esta proposta ainda se encontra em negociações legislativas e não está em vigor.
As 10 medidas de segurança obrigatórias (Artigo 21)
O Artigo 21(2) enumera dez medidas mínimas de segurança que todas as entidades abrangidas devem implementar. Não se trata de sugestões — são requisitos legais, detalhados no Regulamento de Execução (UE) 2024/2690 da Comissão.
O detalhe crucial: observe a coluna "Documento necessário". Sete das dez medidas baseiam-se fundamentalmente na existência de políticas ou procedimentos documentados, aprovados e auditáveis. É aqui que a gestão documental se torna diretamente relevante.
| # | Requisito | O que significa | Documento necessário |
|---|---|---|---|
| (a) | Análise de riscos e políticas de segurança da informação | Identificar os seus riscos, avaliá-los e documentar como os mitiga | Registo de riscos, metodologia de avaliação de riscos, política de segurança |
| (b) | Tratamento de incidentes | Detetar, responder e aprender com incidentes de segurança | Plano de resposta a incidentes, matriz de escalonamento, modelo de análise pós-incidente |
| (c) | Continuidade do negócio e gestão de crises | Gestão de cópias de segurança (backups), recuperação de desastres e resposta a crises | Plano de continuidade do negócio, plano de recuperação de desastres, política de backups |
| (d) | Segurança da cadeia de abastecimento | Avaliar e gerir os riscos de cibersegurança dos seus fornecedores | Política de segurança de fornecedores, registos de avaliação de fornecedores |
| (e) | Segurança na aquisição, desenvolvimento e manutenção | Gestão de vulnerabilidades e práticas de desenvolvimento seguro | Procedimento de gestão de patches, política de divulgação de vulnerabilidades |
| (f) | Testes de eficácia | Avaliar se as suas medidas de segurança funcionam realmente na prática | Calendário de auditorias internas, relatórios de testes, dashboard de KPIs |
| (g) | Higiene cibernética básica e formação | Formar a equipa e estabelecer práticas de segurança como rotina diária | Plano de formação, registos de presença, materiais de sensibilização |
| (h) | Criptografia e cifragem | Políticas para a cifragem de dados em repouso e em trânsito | Política de criptografia, procedimento de gestão de chaves |
| (i) | Segurança dos recursos humanos e controlo de acessos | Gerir quem tem acesso a quê, desde a contratação até à saída da empresa | Política de controlo de acessos, procedimento de admissão, transferência e saída de colaboradores |
| (j) | Autenticação multifator e comunicações seguras | MFA em sistemas críticos, comunicações seguras de voz, vídeo e texto | Política de obrigatoriedade de MFA, normas de comunicações seguras |
A NIS2 é um desafio de documentação
É aqui que a maioria dos guias sobre a NIS2 falha. Explicam as 10 medidas, listam os setores e dão o assunto por terminado. No entanto, o verdadeiro desafio de conformidade não é instalar uma firewall ou ativar o MFA — a maioria das PME já o faz. O desafio é conseguir prová-lo.
Os auditores não vão analisar as regras da sua firewall. Eles analisam a sua documentação. Querem ver se as políticas existem, se estão atualizadas (reistas nos últimos 12 meses), se têm aprovação formal da gerência e se possuem histórico de versões. Sob a NIS2, a evidência documental é a própria conformidade.
O Regulamento de Execução da Comissão (UE 2024/2690) traduz o Artigo 21 em cerca de 30 documentos específicos que as entidades devem produzir e manter. Estes não são opcionais — são exatamente o que as autoridades de supervisão solicitarão durante uma auditoria ou após um incidente.
| Tipo de evidência | O que os auditores verificam | Como um DMS ajuda |
|---|---|---|
| Documentos de política | Versão atual, aprovação da gerência, data de revisão, histórico de alterações | Controlo de versões, fluxos de aprovação, registo de auditoria para cada alteração |
| Registo de riscos | Mapeamento de ativos-riscos-controlos, responsáveis atribuídos, estado de mitigação, registos de revisão | Armazenamento estruturado com metadados, pesquisa por responsável ou estado |
| Registos de incidentes | Linha temporal, classificação, ações de resposta, análise pós-incidente, retenção mínima de 5 anos | Registos de auditoria imutáveis, políticas de retenção, pesquisa em texto integral |
| Avaliações de fornecedores | Questionários de fornecedores preenchidos, cláusulas de segurança em contratos, revisões periódicas | Armazenamento de contratos, etiquetagem por fornecedor, lembretes de renovação |
| Registos de formação | Registos de presença, datas de conclusão, comprovativos de formação da gerência | Arquivo de documentos, pesquisa por datas, organização por categorias |
| Decisões de gestão | Atas de reuniões que demonstrem discussões sobre cibersegurança, aprovação de aceitação de riscos | Fluxos de aprovação com carimbos de data/hora e aprovadores identificados |
O tema recorrente é a rastreabilidade. Cada documento deve responder a: quem o criou, quando, quem o aprovou, quando foi revisto pela última vez e o que mudou em relação à versão anterior. Uma pasta partilhada em rede não oferece isto. Um DMS com histórico de versões e fluxos de aprovação sim.
Notificação de incidentes: a regra 24-72-1
O Artigo 23 estabelece um processo de notificação de incidentes em três fases para incidentes significativos. O incumprimento destes prazos constitui, por si só, uma infração. Cada fase exige provas documentadas — o que significa que a qualidade dos seus registos de incidentes está diretamente ligada à sua exposição regulatória.
Aviso prévio
Notificar o CSIRT nacional no prazo de 24 horas após tomar conhecimento de um incidente significativo. Trata-se de um alerta preliminar — não de uma análise detalhada.
Notificação do incidente
Submeter uma avaliação inicial do incidente: gravidade, impacto, indicadores de comprometimento e efeitos transfronteiriços.
Relatório final
Apresentar um relatório detalhado: análise da causa raiz, medidas de mitigação adotadas e impacto transfronteiriço. Se o incidente ainda estiver ativo, submeter um relatório de progresso.
Na prática, as organizações que não possuem uma gestão documental estruturada têm imensa dificuldade em reunir provas de incidentes sob pressão de tempo. Aquelas que mantêm registos organizados — com carimbos de data/hora, histórico de versões e arquivos pesquisáveis — conseguem apresentar o que os reguladores exigem em poucas horas, e não semanas.
Qual é a situação no seu país?
A NIS2 deveria ter sido transposta para a legislação nacional até 17 de outubro de 2024. Na realidade, a implementação tem sido lenta. Até abril de 2026, 21 dos 27 Estados-Membros concluíram a transposição de acordo com o ECSO tracker. A Comissão Europeia enviou pareceres fundamentados a 19 Estados em maio de 2025, dando-lhes dois meses para concluir a transposição sob pena de processos no Tribunal de Justiça.
Eis o ponto de situação nas seis maiores economias da UE:
| País | Estado | Detalhes |
|---|---|---|
| Alemanha | Transposta | Lei BSI adotada a 6 de dezembro de 2025. Em vigor sem período de transição. Primeira coima aplicada: 850.000 € a um fornecedor de cloud (fevereiro de 2026). |
| França | Em curso | Loi Résilience aprovada na primeira leitura da Assembleia Nacional. Adoção final prevista para o Q1/Q2 de 2026. A ANSSI abriu investigações a 14 entidades. |
| Itália | Transposta | Decreto Legislativo 138/2024 em vigor desde outubro de 2024. A ACN reporta mais de 4.800 entidades registadas; cerca de 2.000 ainda por registar. |
| Espanha | Pendente | Sem progressos legislativos previstos a curto prazo. |
| Países Baixos | Em curso | Lei de Cibersegurança (Cbw) em preparação. Prazo de autoavaliação para entidades definido para junho de 2026. |
| Polónia | Em curso | Alteração à Lei do Sistema Nacional de Cibersegurança em fase de conclusão. |
Mesmo que o seu país ainda não tenha transposto a NIS2, a diretiva aplica-se.
A NIS2 está em vigor como lei da UE desde 18 de outubro de 2024. As autoridades nacionais aplicarão os requisitos retroativamente assim que a transposição estiver concluída. Iniciar a conformidade agora — em vez de esperar pela legislação nacional — é a única postura segura.
As coimas são reais
A NIS2 introduz dois níveis de coimas administrativas, inspirados na estrutura de sanções do RGPD. Os Estados-Membros podem definir limites máximos superiores a estes mínimos, mas nunca inferiores.
| Tipo de entidade | Coima máxima | Alternativa por faturação | Poderes adicionais |
|---|---|---|---|
| Essencial | 10.000.000 € | ou 2% da faturação anual global (o que for mais elevado) | Instruções vinculativas, auditorias de segurança a expensas da entidade, suspensão temporária de funções de gestão |
| Importante | 7.000.000 € | ou 1,4% da faturação anual global (o que for mais elevado) | Instruções vinculativas, auditorias de segurança a expensas da entidade |
O Artigo 20 acrescenta a responsabilidade pessoal: os órgãos de gestão devem aprovar as medidas de gestão de riscos de cibersegurança e supervisionar a sua implementação. Os membros da gerência podem ser responsabilizados pessoalmente pelo incumprimento. Em alguns Estados-Membros, incluindo a Alemanha, isto estende-se à proibição temporária de exercer cargos de gestão.
A aplicação da lei está a seguir o padrão inicial do RGPD. O BSI da Alemanha emitiu 47 avisos formais no Q4 de 2025 e a sua primeira coima (850.000 € a um prestador de serviços cloud) em fevereiro de 2026. A ANSSI de França abriu 14 investigações. A ACN de Itália tem-se focado na obrigatoriedade do registo. Espera-se que as coimas financeiras significativas aumentem ao longo de 2026–2027 à medida que a fiscalização nacional amadurece.
A proposta de simplificação de janeiro de 2026
A 20 de janeiro de 2026, a Comissão Europeia publicou uma proposta de alterações direcionadas à NIS2 como parte de um pacote de cibersegurança mais amplo. O objetivo declarado é simplificar a conformidade, aumentar a segurança jurídica e harmonizar a implementação. A proposta seguirá o processo legislativo ordinário, prevendo-se um acordo político para o início de 2027.
Eis o que poderá mudar — e o que se manterá igual:
NÃO vai mudar
- ×As 10 medidas de segurança obrigatórias (Artigo 21)
- ×Requisitos de documentação e evidências
- ×Prazos de notificação de incidentes (24h/72h/1 mês)
- ×Estrutura de coimas e responsabilidade da gerência
Poderá mudar (fase de proposta)
- ✓Nova categoria de "pequenas empresas de média capitalização" (<750 colaboradores, <150M€ de faturação) — reclassificadas como importantes em vez de essenciais
- ✓Via de conformidade baseada em certificação através do Quadro de Certificação de Cibersegurança da UE
- ✓Micro e pequenos fornecedores de DNS excluídos do âmbito
- ✓Harmonização máxima para atos de execução — menor divergência nacional
A direção é clara: a NIS2 está a tornar-se mais simples de cumprir, mas não mais fraca. As obrigações fundamentais mantêm-se. Se adiar a conformidade à espera que as alterações o isentem, estará a correr um risco jurídico. A proposta reduz o âmbito nas margens, mas não diminui os requisitos para as entidades que continuam abrangidas.
Lista de verificação prática para PME
Se está a ler isto porque o seu responsável de conformidade disse "podemos estar abrangidos" — eis o caminho mínimo viável a seguir. Este não é um plano completo de implementação da NIS2, mas sim o conjunto de ações que o levará do zero ao estado de "pronto para auditoria" no que toca aos requisitos documentais.
Determine se está abrangido
Verifique o seu setor nos Anexos I e II. Aplique o critério de dimensão (mais de 50 colaboradores ou mais de 10M€ de faturação). Em caso de dúvida, consulte o registo da sua autoridade nacional — vários Estados-Membros publicaram listas de entidades ou ferramentas de autoavaliação.
Classifique-se como essencial ou importante
Os setores do Anexo I são geralmente essenciais; os do Anexo II são geralmente importantes. A distinção afeta a intensidade da supervisão, mas não os requisitos fundamentais do Artigo 21. Documente a justificação da sua classificação.
Faça uma análise de lacunas (gap assessment) face às 10 medidas
Para cada uma das 10 medidas do Artigo 21, responda: temos uma política documentada? Está aprovada pela gerência? Foi revista nos últimos 12 meses? Temos provas da sua implementação? Registe as lacunas encontradas.
Construa o seu dossiê de evidências
Comece com os três registos fundamentais: riscos, incidentes e fornecedores. Adicione uma política de segurança da informação, um plano de continuidade do negócio e um registo de formações. Cada documento precisa de um responsável, data de revisão, controlo de versões e aprovação da gerência.
Implemente a gestão do ciclo de vida dos documentos
Cada documento de política da NIS2 precisa de uma data de criação, registo de aprovação, calendário de revisão e histórico de versões. Se gerir isto numa pasta partilhada comum, perderá o controlo em poucos meses. Um DMS com fluxos de aprovação e registos de auditoria torna este processo sustentável.
Agende revisões da gerência e formações
O Artigo 20 exige que os órgãos de gestão aprovem as medidas de cibersegurança e realizem formações. Agende revisões trimestrais, documente as presenças e guarde registo das decisões. Estas são as primeiras evidências que os auditores verificam.
Como o Veluvanto ajuda com a documentação da NIS2
O Veluvanto não é uma plataforma de GRC (Governação, Risco e Conformidade). Não substitui a sua metodologia de avaliação de riscos nem os seus procedimentos de resposta a incidentes. O que faz é fornecer a camada de gestão documental que torna as evidências da NIS2 sustentáveis a longo prazo — a parte com que a maioria das empresas se debate após o esforço inicial de conformidade.
- ✓Armazenamento de documentos com controlo de versões: cada edição é registada com carimbo de data/hora, utilizador e versão anterior. Pode reconstruir o estado de qualquer documento em qualquer momento — exatamente o que os auditores exigem.
- ✓Fluxos de aprovação: encaminhe documentos de política para aprovação da gerência com acompanhamento do estado. A cadeia de aprovação cria a pista de evidências exigida pelo Artigo 20.
- ✓Registo de auditoria completo: cada ação num documento (carregamento, visualização, edição, aprovação, arquivo) é registada. Sem necessidade de controlo manual — as evidências de conformidade são geradas automaticamente.
- ✓Pesquisa e organização com IA: encontre qualquer documento em segundos utilizando linguagem natural. Quando um auditor solicitar as avaliações de segurança de fornecedores do Q3, poderá recuperá-las imediatamente em vez de andar a pesquisar em pastas.
- ✓Residência de dados na UE e encriptação: os documentos são armazenados na UE com encriptação AES-256 em repouso e em trânsito. Nenhum dado sai da fronteira de dados da UE — ao contrário de certas ferramentas com IA que desviam o processamento para centros de dados nos EUA durante picos de procura.
- ✓Conformidade com o RGPD por conceção: isolamento por cliente (tenant), encriptação SSE-C e gestão do ciclo de vida dos dados. A diretiva NIS2 e o RGPD sobrepõem-se significativamente nos seus requisitos de documentação — um sistema que satisfaça um deles deixa-o muito perto de cumprir o outro.
A parte mais difícil da conformidade com a NIS2 não é a configuração inicial — é manter as evidências ao longo do tempo. As políticas ficam desatualizadas, as revisões são esquecidas, os registos de formação desaparecem. Um DMS que impõe o controlo de versões, monitoriza aprovações e regista todas as ações transforma a conformidade de um sobressalto trimestral num processo contínuo em segundo plano.
Fontes e leituras adicionais
Este guia baseia-se nas seguintes fontes primárias. As datas entre parênteses indicam a data de publicação ou da última atualização de cada fonte.
- Diretiva (UE) 2022/2555 (Diretiva NIS2) — Texto integral no EUR-Lex (dezembro de 2022)
- Regulamento de Execução (UE) 2024/2690 da Comissão — Medidas técnicas para a conformidade com a NIS2 (outubro de 2024)
- COM(2026) 13 — Proposta de alterações direcionadas à NIS2 e alinhamento com o Regulamento da Cibersegurança (janeiro de 2026)
- ECSO NIS2 Transposition Tracker — 21/27 Estados-Membros transpuseram a diretiva até abril de 2026
- Comissão Europeia, Parecer fundamentado enviado a 19 Estados-Membros sobre a transposição da NIS2 (maio de 2025)
- CyberSmart, "Apenas 16% das empresas estão em total conformidade com a NIS2" — Inquérito a 670 líderes empresariais (abril de 2026)
- ENISA, Orientações Técnicas de Implementação da NIS2 (2025)
- BSI Alemanha — Primeira coima NIS2: 850.000 € contra fornecedor de serviços cloud (fevereiro de 2026)
- Avaliação de Impacto da Comissão Europeia — Âmbito da NIS2: ~160.000 entidades em 18 setores
Guias Relacionados
Gestão de Documentos e o GDPR
Como armazenar, organizar e proteger dados pessoais no seu DMS — a NIS2 e o GDPR partilham uma sobreposição significativa de documentação
Regulamento da UE para a IA e Gestão Documental
O outro grande prazo de conformidade da UE em 2026 — obrigações de transparência para funcionalidades de IA no seu DMS
Fluxos de Trabalho de Aprovação de Documentos
Como configurar cadeias de aprovação para documentos de políticas — a base das evidências de governança da NIS2