Pular para o conteúdo
OS Domains
Regulation

NIS2 conforme com notificação interna em 12 horas.

A NIS2 (Diretiva (UE) 2022/2555) eleva a barra de cibersegurança para entidades essenciais e importantes na UE, e através da obrigação de segurança da cadeia de suprimentos do artigo 21 alcança o seu provedor de e-mail como parte da sua superfície de conformidade. A OS Domains atende clientes sujeitos à NIS2 com as dez medidas do artigo 21 aplicadas à infraestrutura de e-mail, um processo de notificação de incidentes alinhado ao relógio de 24 horas do artigo 23, e um pacote de due diligence de fornecedor com evidência auditável em vez de afirmações de marketing. A operação corre sob entidade austríaca residente na UE, e para clientes financeiros a conta se estrutura sob a DORA como marco primário, que satisfaz as expectativas equivalentes da NIS2 onde se sobrepõem. Para a empresa brasileira que presta serviço a entidades essenciais ou importantes na UE, a due diligence do cliente europeu sobre a sua cadeia de suprimentos é uma obrigação legal dele, e a resposta tem que estar pronta antes da pergunta.

A Diretiva (UE) 2022/2555 (NIS2) eleva o nível de cibersegurança para 18 setores europeus e endurece o regime sancionatório com multas de até 10 milhões de euros e responsabilidade pessoal de dirigentes. Para empresas brasileiras, NIS2 aplica diretamente em três cenários: subsidiárias europeias em setores listados, fornecedores TIC de entidades essenciais europeias, e empresas brasileiras reguladas pelo Bacen com expectativas funcionalmente equivalentes via Resolução CMN 4.893/2021 e Circular Bacen 3.909/2018.

A OS Domains opera como entidade importante sob o Anexo II, com critérios de entidade essencial aplicados a toda a infraestrutura. Nosso compromisso contratual é notificar você sobre um incidente em 12 horas para que sobre margem para sua notificação inicial de 24 horas à autoridade competente.

Em resumo

  • As dez medidas de gestão de risco do artigo 21 aplicadas ao e-mail: MFA no painel, acesso por scope, criptografia em trânsito e em repouso, e registros de auditoria que o cliente pode rever.
  • Notificação de incidentes alinhada ao artigo 23: aviso prévio em 24 h, notificação em 72 h e relatório final em 1 mês, com um contato nomeado que responde em 30 minutos a partir da detecção.
  • A obrigação de cadeia de suprimentos do artigo 21(2)(d) torna a nossa postura parte da sua conformidade; entregamos um pacote de due diligence com evidência auditável e cláusulas no addendum.
  • Para clientes financeiros, a DORA prevalece como lex specialis sobre gestão de risco de TIC, reporte de incidentes e vigilância de terceiros; um único conjunto de artefatos serve às duas apresentações.
  • Aplicação desigual em 2026 entre Estados-membros (prazo de transposição vencido em 17 de outubro de 2024); operamos contra o texto da diretiva e a lei nacional mais estrita aplicável a cada conta.
Números-chave
Diretiva (UE)
2022/2555
Multa máx. entidade essencial
€10M ou 2% faturamento
Notificação inicial
24 horas
Prazo total
24h / 72h / 1 mês

Por que a NIS2 importa para uma empresa brasileira?

A Diretiva (UE) 2022/2555 (NIS2) é um marco europeu de cibersegurança que aplica diretamente em três cenários relevantes para empresas brasileiras: (1) se você tem subsidiária europeia que opera em sectores listados, a subsidiária é obrigada direta; (2) se você é fornecedor TIC para entidades essenciais ou importantes europeias, seus clientes vão exigir cláusulas alinhadas com o artigo 21.2.d sobre segurança da cadeia de fornecedores; (3) se você atua em sector regulado pelo Banco Central brasileiro (Resolução CMN 4.893/2021, Circular Bacen 3.909/2018), as expectativas de cibersegurança são funcionalmente equivalentes às de NIS2 e o framework europeu serve de referência. Em qualquer destes cenários, demonstrar conformidade com NIS2 é vantagem comercial concreta na Europa.

Como aplicamos as 10 medidas do artigo 21 à infraestrutura de e-mail?

O artigo 21.2 do NIS2 lista 10 medidas técnicas, operacionais e organizacionais mínimas: políticas de análise de risco e segurança da informação, gestão de incidentes, continuidade de negócio e gestão de crise, segurança da cadeia de fornecedores, segurança na aquisição e desenvolvimento de sistemas, políticas e procedimentos para avaliar a eficácia, práticas básicas de higiene cibernética e treinamento em cibersegurança, criptografia e quando aplicável cifragem, segurança de recursos humanos, controle de acesso e gestão de ativos, e autenticação multifator ou contínua. Como provedor de infraestrutura de email UE, todas estas medidas afetam o serviço que prestamos: cifragem SMTP STARTTLS e TLS 1.3 obrigatória, controle de acesso ao painel com MFA padrão, segmentação de rede entre clientes, pentests anuais, plano de continuidade ativo entre PoPs europeus.

Regime sancionatório e responsabilidade pessoal de dirigentes.

NIS2 introduz dois níveis de multa segundo a categoria de entidade: até 10 milhões de euros ou 2% do faturamento mundial (o maior valor) para entidades essenciais, e até 7 milhões de euros ou 1,4% para entidades importantes. A novidade relevante é a responsabilidade pessoal dos órgãos de direção: os administradores devem aprovar e supervisionar as medidas de gestão de riscos, e podem ser objeto de inibição temporária em casos de infrações graves e reiteradas. Para entidades essenciais, o regime de supervisão é proativo (inspeções in loco programadas, auditorias obrigatórias); para entidades importantes é reativo (somente após infração notificada). Para empresas brasileiras com subsidiária UE, a multa é calculada sobre o faturamento global da entidade europeia, não do grupo brasileiro, mas a inibição de dirigentes pode atingir executivos brasileiros que sirvam no conselho europeu.

Onde está a aplicação da NIS2 em 2026?

O prazo de transposição da NIS2 venceu em 17 de outubro de 2024, e a meados de 2026 a aplicação é desigual entre Estados-membros, o que cria um mapa irregular em vez de um regime único. A Comissão Europeia abriu procedimentos de infração contra os países que não transpuseram a tempo, e ao longo de 2025 e 2026 vários Estados foram aprovando as suas leis nacionais com ritmos e detalhes distintos; a Espanha aprovou o Real Decreto-ley 7/2025 com transposição parcial e mantém o Anteprojeto de Lei de Coordenação e Governança da Cibersegurança em tramitação parlamentar. A consequência prática para um remetente é que a entidade competente, os limiares exatos e os formulários de notificação dependem do país onde você está estabelecido ou presta serviço, e um fornecedor com presença em vários Estados precisa conhecer essas diferenças em vez de assumir uma regra europeia homogênea. A nossa posição é operar contra o texto da diretiva e contra a lei nacional mais estrita aplicável a cada conta, porque alinhar-se ao mínimo comum deixa exposto o cliente sujeito à transposição mais exigente. Para uma empresa brasileira que presta serviço a entidades essenciais ou importantes na UE, o atraso da transposição não exonera as obrigações quando aplicáveis por outras vias, e a due diligence do seu cliente europeu vai perguntar pela sua postura de cadeia de suprimentos sob a lei nacional dele.

Como funciona a sua notificação de incidente do artigo 23?

O artigo 23 da NIS2 impõe um processo de notificação em fases que corre sobre um relógio curto. Diante de um incidente significativo, a entidade tem que enviar um aviso prévio à sua CSIRT ou autoridade competente nas 24 horas seguintes a tomar conhecimento, uma notificação de incidente mais completa em 72 horas e um relatório final em um mês. Um incidente é significativo quando causa, ou é capaz de causar, uma interrupção operacional grave ou perdas financeiras, ou quando afeta outras pessoas com dano material ou imaterial considerável. Para um provedor de e-mail que faz parte da sua cadeia, a relevância é direta: se a entrega de comunicações operacionais cai e você não consegue determinar rápido se a causa está do seu lado ou do nosso, o seu próprio relógio de 24 horas já está correndo sem que você possa classificar. O nosso tratamento de incidentes alimenta a sua janela em vez de competir com ela: notificação a um contato nomeado em 30 minutos a partir da detecção, uma avaliação inicial escrita em duas horas e um relatório de incidente em 24 horas com a cronologia, a causa raiz preliminar e o alcance, que é o material que você anexa ao seu próprio aviso à autoridade. Você notifica com a sua própria identidade à sua autoridade nacional; nós fornecemos os fatos técnicos na ordem em que o formulário os pede.

A obrigação de cadeia de suprimentos é por que a postura do seu fornecedor é problema seu.

A medida do artigo 21(2)(d) obriga as entidades essenciais e importantes a gerir os riscos de segurança da sua cadeia de suprimentos, o que significa que a postura de segurança dos seus fornecedores diretos e provedores de serviço passa a ser parte da sua própria conformidade. Um provedor de e-mail que transporta comunicações operacionais é um desses fornecedores, e por isso a sua due diligence sobre nós é uma obrigação legal sua e não uma cortesia. O que isso exige na prática é que possamos responder com evidência, e não com afirmações de marketing: como autenticamos o correio, onde residem os dados, quem são os nossos suboperadores, como tratamos um incidente e em quanto tempo, e que controles auditáveis sustentam tudo isso. Mantemos um pacote de due diligence para clientes sujeitos à NIS2 com essas respostas por escrito, mais a atestação anual de resiliência, para que a sua avaliação de fornecedor se preencha a partir de documentos em vez de uma chamada de vendas. Onde o seu próprio regulador exige cláusulas de segurança da cadeia de suprimentos no contrato, as incorporamos no addendum em vez de remeter a uma página web que muda sem aviso. O ponto é que a NIS2 transformou a escolha de fornecedor num ato de conformidade, e um fornecedor que não consegue documentar a sua postura transfere esse buraco para a sua avaliação.

O relógio de 24 horas é uma restrição de design operacional?

O aviso prévio de 24 horas do artigo 23 não é uma linha de política que se cumpre redigindo um procedimento; é uma restrição que molda como a operação tem que estar construída de antemão. Vinte e quatro horas a partir do conhecimento é pouco tempo para detectar, avaliar, classificar e redigir uma notificação se as ferramentas e os contatos não estão prontos. Por isso tratamos a janela como um requisito de engenharia: monitoramento que detecta a degradação de entrega cedo, um canal de escalada com um contato nomeado que responde em 30 minutos, e modelos de relatório de incidente pré-estruturados de modo que a redação não comece de uma página em branco às três da manhã. Para o cliente, o valor é que a maior parte do material que a sua notificação à autoridade precisa chega da nossa parte dentro das primeiras horas, em vez de você ter que reconstruí-lo a partir de logs depois. A diferença entre um provedor que pensou nessa janela e um que não pensou se nota durante o incidente, que é o pior momento para descobrir que o seu fornecedor não tem um processo. Desenhamos para o relógio porque o relógio é o que o regulador vai medir.

As medidas de ciber-higiene e de camada humana que a NIS2 exige.

Várias das dez medidas do artigo 21 tocam práticas básicas e o fator humano, e é onde uma conformidade de papel costuma divergir da operação real. A diretiva nomeia higiene cibernética básica e formação em segurança, políticas de controle de acesso e gestão de ativos, uso de criptografia, e o emprego de autenticação multifator ou de soluções de autenticação contínua onde seja apropriado. Para a parte que toca um provedor de e-mail, isso se traduz em coisas concretas: acesso ao painel protegido com MFA, papéis e permissões segmentados por scope para que uma chave de envio não toque a configuração, criptografia em trânsito e em repouso por padrão, e registros de auditoria das ações administrativas que o cliente pode rever. A camada humana importa porque a maioria dos incidentes começa numa credencial comprometida ou num erro de configuração, e não numa façanha técnica exótica. Aplicamos o princípio do menor privilégio às contas de operador, formamos a equipe que toca a infraestrutura do cliente, e expomos ao cliente os controles que ele precisa para cumprir a sua própria parte das medidas. A conformidade aqui não é um documento; é a soma de defaults que tornam o caminho seguro o caminho fácil.

Continuidade de negócio e os objetivos de recuperação que a NIS2 espera.

A medida do artigo 21(2)(c) exige continuidade de negócio, incluindo gestão de backups, recuperação ante desastres e gestão de crise, e para um serviço de e-mail isso se concretiza em objetivos de recuperação e em arquitetura que os sustente. Os dois números que importam são o RTO, o tempo máximo aceitável para restaurar o serviço, e o RPO, a quantidade máxima de dados que se aceita perder medida em tempo. A nossa arquitetura padrão distribui o envio entre vários pontos de presença na UE de modo que a queda de um não interrompa o serviço, com failover automático em segundos nos planos altos, e os dados de configuração e os logs se replicam para que a perda em caso de incidente fique dentro do RPO contratado. Onde uma regra de soberania fixa a conta a um só país, o plano de continuidade se escreve contra essa restrição, porque a redundância transfronteiriça que normalmente daria resiliência extra ali não está disponível, e omitir isso seria desenhar um plano que a regra proíbe. Documentamos o RTO, o RPO e o procedimento de recuperação no contrato, e a atestação anual de resiliência demonstra que o procedimento foi de fato testado e não permaneceu no papel. Um plano de continuidade que ninguém exercitou é uma hipótese, e a NIS2 espera evidência.

Onde NIS2 e DORA se dividem para um cliente financeiro?

Uma entidade financeira pode cair sob a NIS2 e sob a DORA ao mesmo tempo, e a regra de articulação entre as duas é o princípio de lex specialis: onde a DORA regula uma matéria com mais detalhe para o setor financeiro, a DORA prevalece sobre a NIS2 nessa matéria. Na prática, para a gestão de risco de TIC, o reporte de incidentes e a vigilância de terceiros, uma entidade financeira segue a DORA, enquanto a NIS2 mantém o seu papel de regime geral para o resto. Para um provedor de e-mail isso importa porque os relógios e os formulários diferem: o reporte de incidentes da DORA tem a sua própria cascata de prazos e o seu Registro de Informação, distintos do aviso de 24 horas do artigo 23 da NIS2. A nossa abordagem é estruturar a conta de um cliente financeiro contra a DORA como marco primário, sabendo que isso satisfaz as expectativas equivalentes da NIS2 onde se sobrepõem, e produzir um único conjunto de artefatos que serve a ambas as apresentações em vez de duplicar o trabalho. Para um cliente que está sob a NIS2 mas não sob a DORA, a postura se simplifica ao regime geral. Saber qual marco manda em cada matéria evita o erro de notificar no formato errado à autoridade errada, que é o tipo de detalhe que um regulador nota.

Como resolvemos

As capacidades específicas que importam para este caso.

01

Notificação em prazos NIS2

Comprometidos contratualmente a notificar você sobre incidente que ative sua obrigação NIS2 em 12 horas desde nossa detecção, deixando 12 horas de margem para sua notificação inicial de 24 horas à autoridade competente.

02

Cláusulas de cadeia de fornecedores

O plano Enterprise inclui cláusulas alinhadas com o artigo 21.2.d (segurança da cadeia de fornecedores): inventário de suboperadores, mapeamento de dependências críticas, direito de auditoria sobre nossos fornecedores, plano de saída documentado.

03

Cifragem obrigatória ponta a ponta

TLS 1.3 obrigatório em API e SMTP de entrada, TLS oportunístico para SMTP de saída com escalada a obrigatório onde o destinatário suporte. Armazenamento cifrado AES-256 com HSM gerenciado. Não há nível de serviço sem cifragem por desenho.

04

MFA padrão no painel

O portal de cliente exige MFA desde o primeiro acesso (TOTP, WebAuthn, ou chaves de segurança FIDO2). Não pode ser desabilitado. O acesso à API usa keys com escopo granular e rotação obrigatória a cada 90 dias para contas com privilégios administrativos.

05

Pentest anual com relatório executivo

Pentest externo anual por firma independente acreditada. Sumário executivo disponível sob NDA. Achados críticos remediados em 30 dias, altos em 90 dias, todos os demais no plano de gestão do ano seguinte.

06

Continuidade entre PoPs UE

Infraestrutura distribuída em 7 PoPs UE com failover automatizado entre datacenters. RPO objetivo de 1 minuto para a fila de envio, RTO de 5 minutos. Testes trimestrais documentados com simulações completas de perda de PoP completo.

Desafios comuns

O que costuma dar errado e como resolvemos.

Equivalência com a regulação Bacen brasileira

A Resolução CMN 4.893/2021 e a Circular Bacen 3.909/2018 estabelecem requisitos de cibersegurança para instituições financeiras brasileiras com proximidade funcional grande à NIS2. As diferenças relevantes: o regime Bacen exige PRSI (Política de Responsabilidade Social e Iniciativas) e DRP (Diretor Responsável pela Segurança da Informação) nomeado formalmente, NIS2 exige equivalente mas estrutura organizacional diferente; o Bacen tem foco em fraude e DBO (Datacenter de Backup Operacional) com latência específica, NIS2 enfatiza cadeia de fornecedores. Cumprir um simplifica cumprir o outro.

Cadeia de fornecedores: o que exigir

O artigo 21.2.d do NIS2 obriga a avaliar a segurança dos produtos e serviços adquiridos. Para infraestrutura de email isso se traduz em cláusulas contratuais sobre certificações (ISO 27001 mínimo), direito de auditoria, notificação de incidentes com seu prazo (não o prazo do fornecedor), continuidade documentada, plano de saída. Se seu provedor atual não assina estas cláusulas, NIS2 é razão legítima para migrar.

Coordenação com a ANPD em paralelo

Um incidente pode obrigar simultaneamente a notificar à ANPD sob LGPD (Art. 48), à autoridade competente NIS2 europeia se sua subsidiária europeia for afetada, ao Bacen sob 3.909/2018 se for fintech regulada, e a clientes/fornecedores contratualmente. Ter provedores que documentem sua parte da cadeia com timestamps precisos te poupa horas críticas nas primeiras 24-72 horas.

Perguntas frequentes

As perguntas que mais recebemos.

01

Vocês são entidade essencial sob NIS2?

A OS Domains GmbH é classificada como entidade importante sob o Anexo II de NIS2 na categoria de provedores de serviços digitais (subitem serviços de datacenter / serviços gerenciados). Alguns dos nossos serviços (registro de domínios e DNS) estão no Anexo I (sectores de alta criticidade), portanto parte da organização está sob regime de supervisão proativo. Operamos com critérios de entidade essencial em toda a infraestrutura ainda que formalmente apenas uma parte o seja.

02

Como encaixam seus prazos com os meus se tenho subsidiária UE?

NIS2 obriga o cliente afetado a notificar à autoridade competente em 24 horas (notificação inicial), 72 horas (notificação intermediária) e 1 mês (relatório final). Nos comprometemos a notificar você em 12 horas desde nossa detecção se o incidente puder ativar sua obrigação, deixando 12 horas de margem para a notificação inicial. As notificações de 72h e 1 mês incluem aportes técnicos do nosso lado em menos de 48 horas após pedido.

03

Há equivalência com a Política de Segurança Cibernética do Bacen?

Sim, em 80-85% das obrigações. As medidas técnicas do artigo 21.2 do NIS2 mapeiam para os requisitos da Resolução CMN 4.893/2021 e da Circular 3.909/2018. Diferenças relevantes: prazos de notificação (Bacen exige notificação ao próprio Bacen em prazo "razoável" definido caso a caso, NIS2 tem 24h/72h/1 mês), figura do DRP (Diretor Responsável pela Segurança da Informação) que NIS2 não exige formalmente. Para fintechs reguladas que também operam na UE, o plano Enterprise pode documentar dual-compliance.

04

Vocês cobrem o treinamento de funcionários exigido pelo artigo 21?

Fazemos treinamento interno anual obrigatório para todo o pessoal: 8 horas para funções não técnicas, 16 horas para engenharia e operações, 24 horas para pessoal com acesso privilegiado. O treinamento inclui phishing simulado mensal, melhores práticas, protocolos de resposta a incidentes e GDPR/LGPD. Os registros de presença e resultados estão disponíveis para auditoria.

05

Aceitariam auditoria in loco pelo meu lado?

Sim em plano Enterprise, uma vez ao ano, com aviso prévio de 30 dias, escopo acordado por escrito e sujeito a NDA mútuo. A auditoria pode cobrir a implementação das 10 medidas do artigo 21.2, os registros de incidentes, os testes de continuidade, os logs de acesso ao sistema. É o que esperamos de qualquer cliente que seja entidade essencial NIS2 e precise demonstrar evidências à sua autoridade competente.

06

E se sua autoridade competente os multa? Vocês me notificam?

Sim, contratualmente. Qualquer sanção material da autoridade competente NIS2 austríaca ou de qualquer outra autoridade europeia que afete nossos serviços é comunicada ao cliente em prazo de 30 dias. Não fomos objeto de nenhuma sanção NIS2 nem NIS1. A transparência sobre este ponto é habitual em nossos DPA Enterprise.

Vamos conversar

Agende uma ligação técnica de 45 minutos com um engenheiro.

Sem SDR, sem comissão, sem rondas de qualificação. Conta o que precisa, dizemos se faz sentido, e você sai com uma recomendação de qualquer jeito.

Telefone +43 1 205 11 80 Seg–Sex · 9–18 CET
Email [email protected] Resposta média 4h em horário comercial
Escritório Fleischmarkt 1, 1010 Wien Com agendamento