A iminente NIS2UmsuCG da Alemanha (Lei sobre a Implementação da Diretiva NIS-2 e sobre a Regulação dos Princípios Essenciais de Gestão de Segurança da Informação na Administração Federal) marca um grande endurecimento das regras de cibersegurança para empresas e instituições públicas. Com base na Diretiva NIS-2 da UE, a lei substituirá a atual Lei BSI e ampliará as obrigações muito além do regime KRITIS anterior. Em vez de afetar pouco mais de 800 operadores de infraestrutura crítica, espera-se que se aplique a até 30.000 organizações em 18 setores, incluindo energia, transporte, saúde, infraestrutura digital, telecomunicações, bancos, administração pública, alimentação, produtos químicos, gestão de resíduos, manufatura e serviços digitais chave.

Sob o novo quadro, as entidades são classificadas como "particularmente importantes" ou "importantes" com base no setor e no tamanho. Grandes empresas nos setores do Anexo 1 e operadores de instalações críticas são geralmente consideradas particularmente importantes, enquanto empresas de médio porte e empresas nos setores do Anexo 2 podem ser classificadas como importantes. Alguns provedores de serviços digitais e operadores de infraestrutura são cobertos independentemente do tamanho, onde seus serviços são críticos para o sistema. Mesmo fornecedores menores, especialmente provedores de serviços de TI e gerenciados na cadeia de suprimentos, podem ser afetados quando acessam sistemas críticos ou áreas sensíveis. Todas as organizações cobertas serão obrigadas a se registrar no Escritório Federal para Segurança da Informação (BSI) e demonstrar conformidade, se solicitado.

A lei introduz extensas obrigações: as empresas devem estabelecer e manter um sistema de gestão de segurança da informação baseado em risco; realizar avaliações de risco regulares; implementar medidas técnicas e organizacionais, como gerenciamento de vulnerabilidades e patches, backup e recuperação, controle de acesso, autenticação multifator, comunicações seguras e segurança da cadeia de suprimentos; e garantir a detecção, notificação e resposta a incidentes. Obrigações de relatório em tempo crítico se aplicam, incluindo a notificação inicial de incidentes graves dentro de 24 horas, um relatório de acompanhamento dentro de 72 horas e um relatório final após um mês. Revisões regulares da eficácia da gestão de risco serão obrigatórias, e os operadores de instalações críticas enfrentarão auditorias lideradas pelo BSI a cada três anos.

Crucialmente, o NIS2UmsuCG não é uma diretriz "suave". Ele prevê uma aplicação e sanções significativamente mais rigorosas, incluindo multas de até 10 milhões de euros ou 2% do faturamento anual global. Os conselhos de administração e diretores são pessoalmente responsáveis pela conformidade e podem enfrentar consequências individuais, incluindo proibições de cargos de gestão, por violações graves. Com a expectativa de que a lei entre em vigor por volta do final de 2025 ou início de 2026 e sem períodos de transição longos planejados, as empresas são aconselhadas a agir agora: avaliar se se enquadram nas categorias críticas, começar a construir ou atualizar um SGSI orientado para a ISO 27001, envolver funcionários em todos os níveis e envolver fornecedores desde cedo.

Para muitas organizações, especialmente aquelas recentemente incluídas no escopo, esperar até que a lei seja aprovada será tarde demais. A mensagem dos especialistas é clara: a NIS-2 não é apenas mais um exercício de conformidade, mas uma mudança estrutural em direção a uma cibersegurança mais robusta em toda a economia europeia. As empresas que agirem cedo não apenas evitarão sanções, mas também fortalecerão a resiliência, protegerão suas operações e construirão confiança com clientes e parceiros em um ambiente cibernético cada vez mais hostil.