24 de março de 2026 • NIS2
A certificação ISO 27001 é um símbolo de prestígio que demonstra o quanto sua organização se preocupa com a gestão de informações confidenciais. Mas está longe de ser a única estrutura que exigirá atenção em 2026.
A Diretiva NIS2 (também conhecida como NIS-2 ou NIS 2.0) exige que as organizações de 18 setores implementem medidas robustas de segurança cibernética, incluindo treinamento de conscientização sobre segurança para todos os funcionários.
No entanto, compreender exatamente o que a NIS2 exige e como a Lei de Segurança Cibernética holandesa (Cwb) a transpõe para a legislação nacional pode ser uma tarefa complexa.
Neste guia, detalhamos tudo o que você precisa saber: o que é a NIS2, a quem se aplica, a lista de verificação completa da NIS2 para 2026 e como preparar sua organização para a auditoria.
O que é a Diretiva NIS2?
A Diretiva NIS2 (Diretiva (UE) 2022/2555) é o quadro atualizado da União Europeia para a segurança das redes e da informação. Ela substituiu a diretiva NIS original (NIS1) de 2016, que foi a primeira legislação da UE em matéria de segurança cibernética.
A NIS2 entrou em vigor em 16 de janeiro de 2023, e os Estados-Membros da UE tinham de a transpor para o direito nacional até 17 de outubro de 2024. No entanto, a maioria dos Estados-Membros, incluindo os Países Baixos, não cumpriu esse prazo.
A diretiva visa alcançar um elevado nível comum de segurança cibernética em toda a UE, exigindo que as organizações em setores críticos:
- Implementar medidas de segurança cibernética baseadas no risco
- Comunique incidentes significativos às autoridades dentro de prazos rigorosos
- Garantir que os órgãos de gestão recebam formação e prestem contas
- Oferecer treinamentos regulares de conscientização a todos os funcionários
- Gerenciar os riscos de segurança da cadeia de suprimentos
Estima-se que 160.000 entidades em toda a UE estejam abrangidas pelo âmbito de aplicação da NIS2. Isso representa um aumento de dez vezes em relação à NIS1.
NIS2 vs NIS1: o que mudou?
A diretiva NIS original foi um ponto de partida sólido, mas apresentava lacunas significativas. A NIS2 aborda essas lacunas de forma abrangente. Aqui está um breve resumo das principais mudanças:
| Aspecto | NIS1 | NIS2 |
|---|---|---|
| Setores abrangidos | 7 setores | 18 setores |
| Entidades abrangidas | ~15,000 | ~160,000 |
| Notificação de incidentes | Sem prazo definido | 24 horas / 72 horas / 1 mês |
| Penalidades | Determinado por Estado-Membro | Até €10 milhões ou 2% do faturamento |
| Responsabilidade civil dos administradores | Não abordado | Responsabilidade civil por negligência grave |
| Cadeia de suprimentos | Não é exigido explicitamente | Gestão de riscos obrigatória |
| Formação em gestão | Não é necessário | Obrigatório para o conselho e a alta administração |
Quer saber mais sobre as diferenças? Leia nossa comparação completa: Qual é a diferença entre o NIS1 e o NIS2?
Legislação NIS2 na Europa
A NIS2 é uma diretiva da UE, o que significa que não se aplica diretamente às organizações. Cada Estado-Membro deve transpô-la para a legislação nacional. Eis a situação atual em 2026.
Situação da implementação em toda a UE
O andamento da implementação varia significativamente. Países como a Bélgica, a Croácia e a Itália estiveram entre os primeiros a adotar legislação nacional. Outros, incluindo a Holanda e a Alemanha, demoraram mais tempo.
A Comissão Europeia instaurou processos por infração contra 23 Estados-Membros por não terem cumprido o prazo de transposição de outubro de 2024. Até maio de 2025, 19 Estados-Membros haviam recebido advertências formais (pareceres fundamentados). No início de 2026, cerca de 16 países já haviam transposto integralmente a NIS2 para a legislação nacional.
O pacote de cibersegurança da UE de janeiro de 2026
Em 20 de janeiro de 2026, a Comissão Europeia publicou uma proposta de alteração da diretiva NIS2 como parte de um pacote mais amplo de medidas de segurança cibernética. As principais alterações incluem:
- Regras jurisdicionais simplificadas para organizações que operam em vários países da UE
- Vias de conformidade baseadas em certificações, que permitem às organizações demonstrar sua conformidade por meio de certificações reconhecidas
- Relatórios aprimorados sobre ransomware com requisitos mais detalhados quanto aos dados de incidentes
- Ampliação do escopo para incluir provedores de carteiras digitais de identidade europeias e infraestrutura submarina de dados
- Reclassificação de cerca de 22.500 entidades para reduzir a carga de conformidade para organizações de menor porte
- Um papel reforçado para a ENISA na coordenação da supervisão transfronteiriça
Espera-se que essas alterações sejam negociadas ao longo de 2026, com um prazo de transposição de 12 meses após a adoção.
NIS2 na Holanda: a Lei de Segurança Cibernética (Cwb)
Na Holanda, a diretiva NIS2 está sendo transposta para a Lei de Segurança Cibernética (Cwb). Essa lei substitui a atual Wbni (Lei de Segurança de Sistemas de Rede e Informação).
Situação atual (março de 2026)
- O projeto de lei foi apresentado à Câmara dos Deputados em 4 de junho de 2025
- Foi agendado um debate em plenário para 23 de março de 2026
- Depois da Câmara dos Deputados, o projeto de lei ainda precisa ser aprovado pela Câmara Alta
- O governo pretende que a lei entre em vigor no segundo trimestre de 2026
Três componentes regulatórios
A implementação holandesa consiste em três camadas:
- A Lei de Segurança Cibernética, que é a principal lei de implementação da NIS2
- A Decisão sobre Segurança Cibernética (AMvB), uma Portaria Administrativa Geral que define obrigações específicas
- Regulamentos ministeriais específicos para cada setor, com requisitos adaptados a cada um deles
Principais obrigações dos Países Baixos
As organizações sujeitas à Lei de Segurança Cibernética devem cumprir quatro obrigações fundamentais:
- Dever de diligência: implementar medidas técnicas e organizacionais adequadas para gerenciar os riscos de segurança cibernética
- Obrigação de registro: registre-se junto à autoridade supervisora designada para o seu setor
- Obrigação de formação para os membros do conselho de administração e da diretoria: os membros do conselho de administração e da diretoria devem realizar uma formação em segurança cibernética
- Obrigação de notificação de incidentes: notificar incidentes significativos ao NCSC dentro dos prazos estabelecidos
Autoridades de supervisão
O NCSC (Centro Nacional de Segurança Cibernética) atua como principal órgão de coordenação. As autoridades de supervisão específicas de cada setor são designadas por meio de regulamentos ministeriais.
Para as organizações do setor de saúde, o panorama regulatório é particularmente complexo, combinando os requisitos da NIS2 com as regulamentações específicas do setor de saúde já existentes em matéria de proteção de dados de pacientes.
A quem se aplica a NIS2?
A NIS2 se aplica às organizações com base em dois critérios: setor e tamanho.
Entidades essenciais (setores altamente críticos)
- Energia (eletricidade, petróleo, gás, hidrogênio, aquecimento urbano)
- Transporte (aéreo, ferroviário, marítimo, rodoviário)
- Infraestruturas bancárias e dos mercados financeiros
- Setor de saúde (hospitais, laboratórios, fabricantes de dispositivos médicos, farmácias)
- Água potável e águas residuais
- Infraestrutura digital (DNS, registros de TLD, provedores de nuvem, data centers, CDNs)
- Gestão de serviços de TIC (prestadores de serviços gerenciados, prestadores de serviços de segurança gerenciados)
- Administração pública
- Espaço
Entidades importantes (outros setores críticos)
- Serviços postais e de correio eletrônico
- Gerenciamento de resíduos
- Indústria (dispositivos médicos, eletrônicos, maquinário, veículos motorizados)
- Produção, processamento e distribuição de alimentos
- Produção e distribuição de produtos químicos
- Provedores digitais (marketplaces online, mecanismos de busca, plataformas de redes sociais)
- Instituições de pesquisa
Limites de tamanho
As organizações desses setores estão incluídas no escopo se atenderem aos seguintes critérios de tamanho:
- Empresas de médio porte: mais de 50 funcionários ou faturamento anual superior a 10 milhões de euros
- Grandes empresas: mais de 250 funcionários ou faturamento anual superior a 50 milhões de euros
Algumas entidades estão abrangidas pelo âmbito de aplicação, independentemente do seu tamanho, incluindo provedores de DNS, registros de TLD e (nos termos das alterações propostas para 2026) provedores de Carteiras de Identidade Digital Europeias.
A diferença na supervisão
As entidades essenciais estão sujeitas a supervisão proativa, o que significa auditorias e inspeções regulares, combinadas com penalidades mais severas. As entidades importantes estão sujeitas a supervisão reativa: as investigações só ocorrem após incidentes ou denúncias de não conformidade, e as penalidades são mais brandas.
Lista de verificação da NIS2 (2026)
Utilize esta lista de verificação abrangente para verificar se sua organização cumpre todos os requisitos da NIS2. Ela vai além de meros treinamentos de conscientização e abrange todo o leque de obrigações da NIS2, a fim de ajudá-lo a se preparar para a conformidade e as auditorias.
1. Governança e responsabilidade administrativa
- O órgão de gestão aprovou formalmente as medidas de gestão de riscos de segurança cibernética da organização
- Os membros do conselho e a alta direção concluíram o treinamento em segurança cibernética
- Uma pessoa ou equipe designada é responsável pela conformidade com a NIS2 (por exemplo, CISO, responsável pela conformidade)
- A segurança cibernética é um ponto permanente da pauta nas reuniões do conselho e da diretoria
- A administração está ciente de sua responsabilidade pessoal pelo incumprimento
- Foi destinado um orçamento para medidas de segurança cibernética e treinamento
- A estrutura de governança da segurança cibernética está documentada e é divulgada
2. Gestão de riscos e medidas de segurança
O artigo 21.º da NIS2 exige que as organizações implementem medidas adequadas e proporcionadas. Sua lista de verificação deve incluir:
- Foi realizada uma avaliação formal de riscos, que é revisada regularmente
- As políticas de gestão de riscos são documentadas, aprovadas e comunicadas
- Estão em vigor medidas técnicas: firewalls, detecção de intrusões, criptografia e controles de acesso
- Estão em vigor medidas organizacionais: políticas, procedimentos, funções e responsabilidades
- Existem planos de continuidade de negócios e de recuperação de desastres, e estes são testados
- Os procedimentos de backup e restauração são documentados e testados regularmente
- A segmentação da rede é implementada quando necessário
- A autenticação multifatorial (MFA) é implementada em sistemas críticos e no acesso remoto
- Está em vigor um programa de gerenciamento de vulnerabilidades (verificação regular, aplicação de patches)
- São seguidas práticas de desenvolvimento seguro para o software desenvolvido internamente
3. Notificação e resposta a incidentes
- Um plano de resposta a incidentes está documentado e testado
- São definidos os critérios de classificação de incidentes (o que constitui um “incidente significativo”)
- O processo de alerta antecipado de 24 horas está estabelecido e os funcionários sabem como acioná-lo
- O procedimento de notificação de incidentes em 72 horas está documentado
- O modelo e o processo do relatório final mensal já estão em vigor
- Os dados de contato do CSIRT nacional (por exemplo, o NCSC na Holanda) estão facilmente disponíveis
- As funções de resposta a incidentes são atribuídas e os membros da equipe recebem treinamento
- São realizadas análises pós-incidente e as lições aprendidas são documentadas
- A resposta a incidentes é testada por meio de exercícios simulados pelo menos uma vez por ano
4. Segurança da cadeia de suprimentos
- Existe um inventário de fornecedores e prestadores de serviços essenciais
- Os requisitos de segurança cibernética estão incluídos nos contratos com fornecedores
- Os fornecedores são avaliados quanto à sua postura em matéria de segurança cibernética (due diligence)
- Os riscos decorrentes de dependências de terceiros são identificados e mitigados
- Existe um processo para monitorar e avaliar a segurança dos fornecedores ao longo do tempo
- As cláusulas de notificação de incidentes estão incluídas nos contratos com fornecedores
- O acesso de fornecedores essenciais aos seus sistemas é monitorado e controlado
5. Treinamento em conscientização sobre segurança
- Todos os funcionários recebem treinamento regular sobre conscientização em segurança
- A diretoria e os membros do conselho recebem treinamento específico em segurança cibernética
- O treinamento é contínuo, não se trata apenas de uma atividade pontual (recomenda-se que seja mensal ou semanal)
- O conteúdo do treinamento abrange phishing, engenharia social, segurança de senhas, tratamento de dados e notificação de incidentes
- O treinamento aborda ameaças específicas do setor relevantes para a sua indústria
- Os novos funcionários recebem treinamento de conscientização durante a integração
- Os prestadores de serviços e o pessoal de terceiros com acesso recebem treinamento adequado
- São realizadas regularmente simulações de phishing para testar a preparação dos funcionários
- As taxas de conclusão dos treinamentos e as notas das avaliações são monitoradas
- O conteúdo do treinamento é atualizado com base nas informações mais recentes sobre ameaças
- Os comprovantes de conclusão do treinamento são arquivados para fins de auditorias de conformidade
6. Registro e notificação
- Sua organização já determinou se se qualifica como entidade essencial ou importante
- O registro junto à autoridade supervisora designada já foi concluído (ou está previsto para quando a lei entrar em vigor)
- Os dados de contato para notificação de incidentes (CSIRT/autoridade supervisora) estão atualizados
- Os procedimentos de notificação estão documentados e atribuídos a funções específicas
- A documentação relativa ao âmbito da NIS2 da sua organização está atualizada (quais sistemas, serviços e processos estão abrangidos)
7. Políticas e documentação de segurança da informação
- A política de segurança da informação está documentada e foi aprovada pela direção
- Existe uma política de uso aceitável, que foi comunicada a todos os funcionários
- A política de controle de acesso define quem tem acesso a quais sistemas e dados
- Os procedimentos de classificação e tratamento de dados estão documentados
- A política de senhas está em conformidade com as melhores práticas atuais (complexidade, autenticação multifatorial, proibição de reutilização)
- Já existem políticas de trabalho remoto e BYOD
- As medidas de segurança física das instalações que abrigam sistemas críticos estão documentadas
- Os controles criptográficos e as políticas de criptografia estão documentados
- Todas as políticas são revisadas e atualizadas pelo menos uma vez por ano
8. Monitoramento, auditoria e melhoria contínua
- O monitoramento de segurança está em vigor (gerenciamento de logs, SIEM, alertas)
- São realizadas auditorias ou avaliações de segurança regulares (internas ou externas)
- Os testes de penetração são realizados pelo menos uma vez por ano
- Os KPIs de segurança cibernética são definidos e comunicados à administração
- As conclusões das auditorias e dos incidentes levam à adoção de medidas corretivas documentadas
- O programa de segurança cibernética é revisado e aprimorado anualmente
- As informações sobre ameaças são monitoradas e incorporadas às medidas de segurança
- A conformidade com os requisitos da NIS2 é verificada antes de cada ciclo de auditoria
O único requisito do NIS2 que você pode marcar como cumprido esta semana
É na capacitação em conscientização que a maioria dos planos fica estagnada. O Guardey transforma isso em desafios curtos e lúdicos, com relatórios integrados. Experimente gratuitamente por 14 dias, sem necessidade de fornecer dados de pagamento.
Inicie sua avaliação gratuitaCertificação NIS2
Uma pergunta comum: existe uma certificação oficial NIS2? A resposta curta é não, ainda não.
Ao contrário da ISO 27001, que possui um processo de certificação bem estabelecido, a NIS2 é uma exigência legal aplicada pelas autoridades nacionais de supervisão. Não existe um único selo de “certificação NIS2” que se possa obter.
No entanto, há desenvolvimentos importantes.
Conformidade baseada em certificação (proposta para 2026)
O pacote de medidas de cibersegurança da Comissão Europeia, de janeiro de 2026, propõe vias de conformidade baseadas em certificações. Isso significa que as organizações detentoras de determinadas certificações reconhecidas poderão demonstrar a conformidade com a NIS2, ou pelo menos uma conformidade parcial, por meio dessas certificações.
A ISO 27001 como base
A ISO 27001 é amplamente reconhecida como a norma existente mais próxima dos requisitos da NIS2. As organizações com certificação ISO 27001 verificarão que muitos dos requisitos da NIS2 já estão atendidos. No entanto, a NIS2 apresenta requisitos adicionais que vão além da ISO 27001, incluindo:
- Prazos específicos para a comunicação de incidentes (24 horas, 72 horas, 1 mês)
- Responsabilidade civil dos administradores e treinamento obrigatório para membros do conselho de administração
- Avaliações de segurança da cadeia de suprimentos
- Requisitos específicos do setor
Marcas de qualidade NIS2 e avaliações de prontidão
Várias organizações independentes oferecem avaliações de preparação para a NIS2, análises de maturidade ou selos de qualidade. Embora não se trate de certificações oficiais, elas podem ajudar as organizações a comparar seu nível de conformidade e demonstrar seu compromisso às partes interessadas.
NIS2 e treinamento em conscientização sobre segurança
A formação em sensibilização para a segurança é um dos requisitos mais explícitos da Diretiva NIS2. O artigo 20.º estabelece que os órgãos de gestão devem receber formação e que as organizações devem oferecer formação semelhante aos seus funcionários de forma regular.
Por que a NIS2 dá ênfase à capacitação em conscientização
Os números deixam isso bem claro. De acordo com o relatório “ENISA Threat Landscape 2025”:
- O phishing é responsável por 60% de todos os pontos de acesso a invasões
- Mais de 80% dos ataques de engenharia social utilizam atualmente conteúdo gerado por IA
- 53,7% dos incidentes cibernéticos tiveram como alvo organizações classificadas como entidades essenciais nos termos da NIS2
- A administração pública, por si só, foi alvo de 38,2% dos ataques direcionados
O fator humano continua sendo a principal vulnerabilidade. Sem funcionários treinados, capazes de reconhecer e comunicar ameaças, até mesmo as defesas técnicas mais sofisticadas podem ser contornadas.
O que a NIS2 espera do seu programa de treinamento de conscientização
- Formação regular, não apenas uma vez por ano. Espera-se uma formação contínua e regular.
- Participação da administração. Os membros do conselho e a alta direção devem participar.
- Relevância. A formação deve abranger ameaças atuais e emergentes, incluindo ataques baseados em inteligência artificial.
- Comprovação. É necessário comprovar que a formação está sendo ministrada e que é eficaz.
- Âmbito de aplicação. Todos os funcionários com acesso a sistemas e dados, incluindo prestadores de serviços.
Como a Guardey ajuda você a cumprir os requisitos de conscientização da NIS2
Com o Guardey, seus funcionários enfrentam desafios semanais de segurança cibernética que levam no máximo três minutos para serem concluídos. Os tópicos incluem reconhecimento de phishing, segurança de senhas, tratamento de dados, engenharia social e muito mais, todos alinhados aos requisitos da NIS2.
A abordagem gamificada garante altos índices de engajamento e conclusão. E, por meio do painel de relatórios da Guardey, você pode comprovar a conformidade aos auditores com evidências de:
- Taxas de conclusão de treinamento por funcionário e departamento
- Notas das avaliações e tendências de conhecimento
- Resultados da simulação de phishing e evolução ao longo do tempo
- Cobertura dos temas em conformidade com os requisitos do NIS2
Erros comuns na conformidade com a NIS2
Muitas organizações subestimam o esforço necessário para cumprir a NIS2. Aqui estão as armadilhas que observamos com mais frequência.
1. Esperar que a lei seja aprovada antes de agir
A Diretiva NIS2 está em vigor desde janeiro de 2023. Embora a Lei de Segurança Cibernética holandesa ainda esteja em tramitação, os requisitos são claros. As organizações que esperarem até que a lei seja oficialmente promulgada terão dificuldades para se adequar. Comece agora.
2. Encarar o NIS2 como um problema exclusivamente de TI
A NIS2 exige explicitamente a responsabilização da administração. Isso não é algo que se possa delegar inteiramente ao departamento de TI. Os membros do conselho de administração devem receber treinamento, devem aprovar as medidas de segurança cibernética e podem ser responsabilizados pessoalmente.
3. Ignorar os requisitos da cadeia de suprimentos
Muitas organizações concentram-se na sua própria segurança, mas negligenciam os seus fornecedores. A NIS2 exige que você avalie e gerencie os riscos de cibersegurança em toda a sua cadeia de suprimentos.
4. Apenas treinamento anual de conscientização
Uma única sessão de treinamento anual não atende ao requisito de treinamento “regular”. Os auditores esperam ver um envolvimento contínuo: microaprendizados mensais, simulações regulares de phishing e avaliações contínuas.
5. Não saber se o NIS2 se aplica ao seu caso
Surpreendentemente, muitas organizações ainda nem sequer avaliaram se estão sujeitas ao âmbito de aplicação da NIS2. Não presuma que você está isento. Verifique cuidadosamente os critérios relativos ao setor e ao tamanho.
6. Ausência de testes de resposta a incidentes
Não basta ter um plano de resposta a incidentes no papel. A NIS2 exige que você o teste. Realize exercícios simulados, simule incidentes e garanta que sua equipe consiga cumprir o prazo de 24 horas para o alerta antecipado.
7. Não cumprimento da exigência de registro
De acordo com a Lei de Segurança Cibernética, as organizações devem se registrar junto à autoridade supervisora designada. É fácil ignorar essa exigência, mas ela é obrigatória.
NIS2 x ISO 27001 x DORA: como se comparam?
Muitas organizações precisam estar em conformidade com várias normas. Veja a seguir uma comparação entre a NIS2, a ISO 27001 e a DORA (Lei de Resiliência Operacional Digital).
| Requisito | NIS2 | ISO 27001 | DORA |
|---|---|---|---|
| Tipo | Diretiva da UE (exigência legal) | Norma internacional (voluntária) | Regulamento da UE (exigência legal) |
| Âmbito | 18 setores, entidades essenciais e importantes | Qualquer organização (por opção) | Apenas o setor financeiro |
| A formação em sensibilização é obrigatória? | Sim (Artigo 20) | Sim (Cláusula 7.3, A.6.3) | Sim (Artigo 13) |
| É necessário treinamento em gestão? | Sim (obrigatório, nível do conselho) | Obrigatório (cláusula 5.1) | Sim (obrigatório, nível do conselho) |
| Cronograma para notificação de incidentes | 24 horas / 72 horas / 1 mês | Não especificado (defina o seu próprio) | 4 horas / 72 horas (incidentes graves de TIC) |
| Segurança da cadeia de suprimentos | Obrigatório | A.5.19-A.5.22 (controles de fornecedores) | Obrigatório (risco de terceiros em TIC) |
| Penalidades | Até €10 milhões ou 2% do faturamento | Perda da certificação | Até €10 milhões ou 2% do faturamento |
| Há certificação disponível? | Ainda não (proposto para 2026) | Sim (organismos de certificação acreditados) | Ainda não |
| Responsabilidade pessoal da administração? | Sim | Não | Sim |
A boa notícia: as organizações com certificação ISO 27001 têm uma vantagem significativa no que diz respeito à conformidade com a NIS2. A abordagem de gestão de riscos, os requisitos de documentação e as obrigações de treinamento de conscientização apresentam muitas semelhanças.
Perguntas frequentes sobre a Diretiva NIS2
O que significa NIS2?
NIS2 significa Diretiva de Segurança de Redes e da Informação 2. Também é comumente escrita como NIS-2 ou NIS 2.0. Trata-se da segunda versão da diretiva de segurança cibernética da UE, que substitui a diretiva NIS original de 2016.
Quando a NIS2 entra em vigor na Holanda?
A implementação holandesa da NIS2, a Lei de Segurança Cibernética, deverá entrar em vigor no segundo trimestre de 2026. O projeto de lei foi apresentado à Câmara dos Deputados em 4 de junho de 2025 e está atualmente em tramitação no Parlamento.
A formação em sensibilização para a segurança é obrigatória ao abrigo da NIS2?
Sim. O artigo 20 da Diretiva NIS2 exige explicitamente que os órgãos de gestão recebam treinamento em segurança cibernética e ofereçam treinamento semelhante aos funcionários regularmente. Isso torna o treinamento de conscientização uma obrigação legal, e não algo opcional.
A NIS2 se aplica às PMEs?
Sim, é possível. Estão abrangidas as organizações com 50 ou mais funcionários ou com faturamento anual igual ou superior a 10 milhões de euros que operem em um dos 18 setores abrangidos. Algumas entidades estão incluídas independentemente do tamanho (por exemplo, provedores de DNS, registros de TLD).
Quais são as sanções por descumprimento da NIS2?
As entidades essenciais estão sujeitas a multas de até 10 milhões de euros ou 2% do faturamento anual global. As entidades importantes estão sujeitas a multas de até 7 milhões de euros ou 1,4% do faturamento global. Além disso, os administradores podem ser responsabilizados pessoalmente.
Posso obter a certificação NIS2?
Atualmente, não. Não existe uma certificação oficial da NIS2. No entanto, o pacote de cibersegurança de 2026 da Comissão Europeia propõe vias de conformidade baseadas em certificação. A certificação ISO 27001 abrange muitos dos requisitos da NIS2 e é reconhecida pelos auditores como uma base sólida.
Em que o NIS2 difere do RGPD?
O RGPD concentra-se na proteção de dados pessoais. A NIS2 concentra-se na segurança das redes e dos sistemas de informação de forma mais ampla. São complementares: as medidas da NIS2 ajudam a proteger os sistemas que processam dados pessoais, contribuindo também para o cumprimento do RGPD.
Qual é a relação entre a NIS2 e a Lei de Segurança Cibernética?
A Lei de Segurança Cibernética é a lei nacional holandesa que transpõe a diretiva NIS2 da UE. Ela traduz os requisitos da diretiva em legislação holandesa aplicável, substituindo a anterior Wbni (Lei de Segurança de Sistemas de Rede e de Informação).
Comece hoje mesmo a se preparar para a conformidade com a NIS2
A NIS2 não é uma preocupação para o futuro. A diretiva já está em vigor, os requisitos são claros e a fiscalização está a caminho. As organizações que começarem agora estarão em posição mais sólida quando os auditores vierem bater à porta.
Com o Treinamento de Conscientização em Segurança da Guardey, seus funcionários recebem microaulas semanais de 3 minutos sobre phishing, tratamento de dados, notificação de incidentes e muito mais. Tudo em conformidade com os requisitos da NIS2, com relatórios completos para auditorias de conformidade.
Cumpra os requisitos de treinamento da NIS2 e comprove isso
O Guardey treina cada funcionário em poucos minutos por semana e documenta tudo automaticamente, para que você tenha sempre as evidências à mão. Veja como funciona ao vivo em uma demonstração.
Agende uma demonstração