Por que a NIS2 importa para uma empresa brasileira?
A Diretiva (UE) 2022/2555 (NIS2) é um marco europeu de cibersegurança que aplica diretamente em três cenários relevantes para empresas brasileiras: (1) se você tem subsidiária europeia que opera em sectores listados, a subsidiária é obrigada direta; (2) se você é fornecedor TIC para entidades essenciais ou importantes europeias, seus clientes vão exigir cláusulas alinhadas com o artigo 21.2.d sobre segurança da cadeia de fornecedores; (3) se você atua em sector regulado pelo Banco Central brasileiro (Resolução CMN 4.893/2021, Circular Bacen 3.909/2018), as expectativas de cibersegurança são funcionalmente equivalentes às de NIS2 e o framework europeu serve de referência. Em qualquer destes cenários, demonstrar conformidade com NIS2 é vantagem comercial concreta na Europa.
Como aplicamos as 10 medidas do artigo 21 à infraestrutura de e-mail?
O artigo 21.2 do NIS2 lista 10 medidas técnicas, operacionais e organizacionais mínimas: políticas de análise de risco e segurança da informação, gestão de incidentes, continuidade de negócio e gestão de crise, segurança da cadeia de fornecedores, segurança na aquisição e desenvolvimento de sistemas, políticas e procedimentos para avaliar a eficácia, práticas básicas de higiene cibernética e treinamento em cibersegurança, criptografia e quando aplicável cifragem, segurança de recursos humanos, controle de acesso e gestão de ativos, e autenticação multifator ou contínua. Como provedor de infraestrutura de email UE, todas estas medidas afetam o serviço que prestamos: cifragem SMTP STARTTLS e TLS 1.3 obrigatória, controle de acesso ao painel com MFA padrão, segmentação de rede entre clientes, pentests anuais, plano de continuidade ativo entre PoPs europeus.
Regime sancionatório e responsabilidade pessoal de dirigentes.
NIS2 introduz dois níveis de multa segundo a categoria de entidade: até 10 milhões de euros ou 2% do faturamento mundial (o maior valor) para entidades essenciais, e até 7 milhões de euros ou 1,4% para entidades importantes. A novidade relevante é a responsabilidade pessoal dos órgãos de direção: os administradores devem aprovar e supervisionar as medidas de gestão de riscos, e podem ser objeto de inibição temporária em casos de infrações graves e reiteradas. Para entidades essenciais, o regime de supervisão é proativo (inspeções in loco programadas, auditorias obrigatórias); para entidades importantes é reativo (somente após infração notificada). Para empresas brasileiras com subsidiária UE, a multa é calculada sobre o faturamento global da entidade europeia, não do grupo brasileiro, mas a inibição de dirigentes pode atingir executivos brasileiros que sirvam no conselho europeu.
Onde está a aplicação da NIS2 em 2026?
O prazo de transposição da NIS2 venceu em 17 de outubro de 2024, e a meados de 2026 a aplicação é desigual entre Estados-membros, o que cria um mapa irregular em vez de um regime único. A Comissão Europeia abriu procedimentos de infração contra os países que não transpuseram a tempo, e ao longo de 2025 e 2026 vários Estados foram aprovando as suas leis nacionais com ritmos e detalhes distintos; a Espanha aprovou o Real Decreto-ley 7/2025 com transposição parcial e mantém o Anteprojeto de Lei de Coordenação e Governança da Cibersegurança em tramitação parlamentar. A consequência prática para um remetente é que a entidade competente, os limiares exatos e os formulários de notificação dependem do país onde você está estabelecido ou presta serviço, e um fornecedor com presença em vários Estados precisa conhecer essas diferenças em vez de assumir uma regra europeia homogênea. A nossa posição é operar contra o texto da diretiva e contra a lei nacional mais estrita aplicável a cada conta, porque alinhar-se ao mínimo comum deixa exposto o cliente sujeito à transposição mais exigente. Para uma empresa brasileira que presta serviço a entidades essenciais ou importantes na UE, o atraso da transposição não exonera as obrigações quando aplicáveis por outras vias, e a due diligence do seu cliente europeu vai perguntar pela sua postura de cadeia de suprimentos sob a lei nacional dele.
Como funciona a sua notificação de incidente do artigo 23?
O artigo 23 da NIS2 impõe um processo de notificação em fases que corre sobre um relógio curto. Diante de um incidente significativo, a entidade tem que enviar um aviso prévio à sua CSIRT ou autoridade competente nas 24 horas seguintes a tomar conhecimento, uma notificação de incidente mais completa em 72 horas e um relatório final em um mês. Um incidente é significativo quando causa, ou é capaz de causar, uma interrupção operacional grave ou perdas financeiras, ou quando afeta outras pessoas com dano material ou imaterial considerável. Para um provedor de e-mail que faz parte da sua cadeia, a relevância é direta: se a entrega de comunicações operacionais cai e você não consegue determinar rápido se a causa está do seu lado ou do nosso, o seu próprio relógio de 24 horas já está correndo sem que você possa classificar. O nosso tratamento de incidentes alimenta a sua janela em vez de competir com ela: notificação a um contato nomeado em 30 minutos a partir da detecção, uma avaliação inicial escrita em duas horas e um relatório de incidente em 24 horas com a cronologia, a causa raiz preliminar e o alcance, que é o material que você anexa ao seu próprio aviso à autoridade. Você notifica com a sua própria identidade à sua autoridade nacional; nós fornecemos os fatos técnicos na ordem em que o formulário os pede.
A obrigação de cadeia de suprimentos é por que a postura do seu fornecedor é problema seu.
A medida do artigo 21(2)(d) obriga as entidades essenciais e importantes a gerir os riscos de segurança da sua cadeia de suprimentos, o que significa que a postura de segurança dos seus fornecedores diretos e provedores de serviço passa a ser parte da sua própria conformidade. Um provedor de e-mail que transporta comunicações operacionais é um desses fornecedores, e por isso a sua due diligence sobre nós é uma obrigação legal sua e não uma cortesia. O que isso exige na prática é que possamos responder com evidência, e não com afirmações de marketing: como autenticamos o correio, onde residem os dados, quem são os nossos suboperadores, como tratamos um incidente e em quanto tempo, e que controles auditáveis sustentam tudo isso. Mantemos um pacote de due diligence para clientes sujeitos à NIS2 com essas respostas por escrito, mais a atestação anual de resiliência, para que a sua avaliação de fornecedor se preencha a partir de documentos em vez de uma chamada de vendas. Onde o seu próprio regulador exige cláusulas de segurança da cadeia de suprimentos no contrato, as incorporamos no addendum em vez de remeter a uma página web que muda sem aviso. O ponto é que a NIS2 transformou a escolha de fornecedor num ato de conformidade, e um fornecedor que não consegue documentar a sua postura transfere esse buraco para a sua avaliação.
O relógio de 24 horas é uma restrição de design operacional?
O aviso prévio de 24 horas do artigo 23 não é uma linha de política que se cumpre redigindo um procedimento; é uma restrição que molda como a operação tem que estar construída de antemão. Vinte e quatro horas a partir do conhecimento é pouco tempo para detectar, avaliar, classificar e redigir uma notificação se as ferramentas e os contatos não estão prontos. Por isso tratamos a janela como um requisito de engenharia: monitoramento que detecta a degradação de entrega cedo, um canal de escalada com um contato nomeado que responde em 30 minutos, e modelos de relatório de incidente pré-estruturados de modo que a redação não comece de uma página em branco às três da manhã. Para o cliente, o valor é que a maior parte do material que a sua notificação à autoridade precisa chega da nossa parte dentro das primeiras horas, em vez de você ter que reconstruí-lo a partir de logs depois. A diferença entre um provedor que pensou nessa janela e um que não pensou se nota durante o incidente, que é o pior momento para descobrir que o seu fornecedor não tem um processo. Desenhamos para o relógio porque o relógio é o que o regulador vai medir.
As medidas de ciber-higiene e de camada humana que a NIS2 exige.
Várias das dez medidas do artigo 21 tocam práticas básicas e o fator humano, e é onde uma conformidade de papel costuma divergir da operação real. A diretiva nomeia higiene cibernética básica e formação em segurança, políticas de controle de acesso e gestão de ativos, uso de criptografia, e o emprego de autenticação multifator ou de soluções de autenticação contínua onde seja apropriado. Para a parte que toca um provedor de e-mail, isso se traduz em coisas concretas: acesso ao painel protegido com MFA, papéis e permissões segmentados por scope para que uma chave de envio não toque a configuração, criptografia em trânsito e em repouso por padrão, e registros de auditoria das ações administrativas que o cliente pode rever. A camada humana importa porque a maioria dos incidentes começa numa credencial comprometida ou num erro de configuração, e não numa façanha técnica exótica. Aplicamos o princípio do menor privilégio às contas de operador, formamos a equipe que toca a infraestrutura do cliente, e expomos ao cliente os controles que ele precisa para cumprir a sua própria parte das medidas. A conformidade aqui não é um documento; é a soma de defaults que tornam o caminho seguro o caminho fácil.
Continuidade de negócio e os objetivos de recuperação que a NIS2 espera.
A medida do artigo 21(2)(c) exige continuidade de negócio, incluindo gestão de backups, recuperação ante desastres e gestão de crise, e para um serviço de e-mail isso se concretiza em objetivos de recuperação e em arquitetura que os sustente. Os dois números que importam são o RTO, o tempo máximo aceitável para restaurar o serviço, e o RPO, a quantidade máxima de dados que se aceita perder medida em tempo. A nossa arquitetura padrão distribui o envio entre vários pontos de presença na UE de modo que a queda de um não interrompa o serviço, com failover automático em segundos nos planos altos, e os dados de configuração e os logs se replicam para que a perda em caso de incidente fique dentro do RPO contratado. Onde uma regra de soberania fixa a conta a um só país, o plano de continuidade se escreve contra essa restrição, porque a redundância transfronteiriça que normalmente daria resiliência extra ali não está disponível, e omitir isso seria desenhar um plano que a regra proíbe. Documentamos o RTO, o RPO e o procedimento de recuperação no contrato, e a atestação anual de resiliência demonstra que o procedimento foi de fato testado e não permaneceu no papel. Um plano de continuidade que ninguém exercitou é uma hipótese, e a NIS2 espera evidência.
Onde NIS2 e DORA se dividem para um cliente financeiro?
Uma entidade financeira pode cair sob a NIS2 e sob a DORA ao mesmo tempo, e a regra de articulação entre as duas é o princípio de lex specialis: onde a DORA regula uma matéria com mais detalhe para o setor financeiro, a DORA prevalece sobre a NIS2 nessa matéria. Na prática, para a gestão de risco de TIC, o reporte de incidentes e a vigilância de terceiros, uma entidade financeira segue a DORA, enquanto a NIS2 mantém o seu papel de regime geral para o resto. Para um provedor de e-mail isso importa porque os relógios e os formulários diferem: o reporte de incidentes da DORA tem a sua própria cascata de prazos e o seu Registro de Informação, distintos do aviso de 24 horas do artigo 23 da NIS2. A nossa abordagem é estruturar a conta de um cliente financeiro contra a DORA como marco primário, sabendo que isso satisfaz as expectativas equivalentes da NIS2 onde se sobrepõem, e produzir um único conjunto de artefatos que serve a ambas as apresentações em vez de duplicar o trabalho. Para um cliente que está sob a NIS2 mas não sob a DORA, a postura se simplifica ao regime geral. Saber qual marco manda em cada matéria evita o erro de notificar no formato errado à autoridade errada, que é o tipo de detalhe que um regulador nota.