FRAMEWORK · NIS2

NIS2 — Diretiva UE 2022/2555.
Cumpre em semanas, não em meses.

Obrigatório desde outubro de 2024 para entidades essenciais e importantes. Coimas até 10 milhões € ou 2% do volume anual. Itamite cobre os requisitos técnicos do Art. 21 com evidência assinada para a tua autoridade competente (CNCS em Portugal).

Ver preços Demo NIS2

A quem se aplica NIS2?

Entidades essenciais e importantes de setores críticos UE: energia, transporte, banca, infraestruturas de mercados financeiros, saúde, água potável e residual, infraestrutura digital, gestão de serviços TIC B2B, espaço, AP digital, serviços postais, gestão de resíduos, produtos químicos, alimentação, fabricação crítica, fabricação digital, investigação.

Limiares típicos: 50+ trabalhadores ou > 10M€ de faturação anual. Em Portugal, a autoridade competente é o CNCS (Centro Nacional de Cibersegurança), que publica a lista oficial. Em caso de dúvida, o CNCS disponibiliza uma ferramenta pública de autoavaliação.

Coimas: até 10M€ ou 2% volume anual (entidades essenciais), até 7M€ ou 1,4% (entidades importantes). Responsabilidade pessoal do conselho de administração por incumprimento.

REQUISITOS ART. 21 — MEDIDAS TÉCNICAS

Mapeamento NIS2 ↔ controlos Itamite

O que NIS2 exige vs o que Itamite recolhe automaticamente.

Art. 21.2.a — Análise de riscos e políticas SI

Itamite cobre: Inventário completo de ativos como input para a análise de riscos. Postura de segurança medida que alimenta a matriz de risco. Fora do âmbito: a análise de riscos formal e as políticas escritas são trabalho organizacional.

Art. 21.2.b — Gestão de incidentes

Itamite cobre: Auditoria imutável hash-chain com rastreabilidade completa. Deteção de incidentes via alertas (alteração de configuração, desvio de postura). Comunicação com SIEM (Splunk, Sentinel, Elastic).

Art. 21.2.c — Continuidade de negócio

Itamite cobre: Inventário atualizado disponível para BCP/DRP. SLA Itamite Enterprise com RTO 1h, RPO 1h. Fora do âmbito: o BCP/DRP da tua organização em si.

Art. 21.2.d — Segurança da cadeia de fornecimento

Itamite cobre: SBOM público SPDX 2.3 + CycloneDX. SLSA Level 2 com build provenance. Subcontratantes documentados publicamente. Deteção de software EOL no teu parque.

Art. 21.2.e — Aquisição e manutenção de sistemas

Itamite cobre: Deteção de patches pendentes, software EOL, versões vulneráveis conhecidas (CVE). Distribuição centralizada de atualizações. Políticas declarativas que mantêm a configuração correta de forma contínua.

Art. 21.2.f — Eficácia das medidas (mensurável)

Itamite cobre: Score de postura 0-100 medido objetivamente, comparável mês a mês. KPIs por controlo (que % de ativos passa cada controlo). Tendência temporal com evidência. Isto é exatamente o que NIS2 pede: "medidas eficazes e mensuráveis".

Art. 21.2.g — Higiene básica + formação

Itamite cobre (parte higiene): antivírus, firewall, patches, cifragem de disco, bloqueio de ecrã, configuração de macros Office, controlo USB. Todos medidos automaticamente pelo agente. Fora do âmbito: formação do pessoal.

Art. 21.2.h — Cifragem

Itamite cobre: Deteção de cifragem de disco (BitLocker, FileVault, LUKS) em cada ativo. Versão TPM, Secure Boot. Cifragem in-transit e at-rest da própria plataforma. BYOK opcional.

Art. 21.2.i — Controlo de acesso e MFA

Itamite cobre: Deteção de contas de administrador locais, conta Guest, auto-login, política de palavras-passe. SSO/SAML para acesso à própria consola Itamite. MFA obrigatória para administradores. Auditoria de acessos.

Art. 21.2.j — Comunicações seguras de emergência

Itamite cobre (próximo): Integração com Syphrax (mensagens voz/vídeo cifradas E2E) prevista para Q4 2026. Entretanto: notificações via email cifrado, Slack, Teams.

PROCESSO PRÁTICO

De zero a NIS2-ready em 4-6 semanas

Semana 1: implementação do agente + inventário

Implementação do agente Itamite via GPO/Intune no teu parque. Em 24-48h tens o inventário completo de hardware, software, configuração, patches.

Semana 2: ativação NIS2 + medição baseline

Ativas o framework NIS2 em Conformidade → Frameworks. Itamite mapeia automaticamente os controlos do agente para artigos NIS2. Tens a baseline de conformidade atual.

Semanas 3-4: remediação

Aplicas correções massivas via comandos remotos e políticas declarativas (BitLocker, antivírus, patches, configuração SMB). Itamite recomenda a ordem por maior impacto na percentagem de conformidade.

Semana 5: documentação organizacional

Enquanto Itamite mantém as medidas técnicas, a tua equipa prepara as políticas escritas, formação do pessoal, plano de continuidade, registo de fornecedores TIC. Isto é trabalho organizacional não automatizável.

Semana 6: relatório final + comunicação

Geras o relatório NIS2 assinado SHA-256 desde Itamite. Combina-lo com a documentação organizacional. Comunicas à tua autoridade competente (CNCS em Portugal) a tua conformidade.

PERGUNTAS FREQUENTES

Dúvidas habituais sobre NIS2

A minha empresa está sujeita a NIS2?

Se operas em setores: energia, transporte, banca, saúde, água, infraestrutura digital, gestão TIC B2B, AP digital, alimentação, química, fabricação crítica, espaço, postal, resíduos, investigação. E tens 50+ trabalhadores ou 10M€+ de faturação. Algumas microempresas também se forem críticas.

NIS2 obriga a usar uma ferramenta concreta como Itamite?

Não. NIS2 é agnóstica de fornecedor. Mas exige medidas técnicas eficazes e mensuráveis, o que na prática obriga a ter algum tipo de plataforma de gestão de ativos e postura. Itamite é uma opção europeia e soberana concebida especificamente para cobrir NIS2 com evidência assinada.

A autoridade competente aceita o relatório Itamite?

Sim. O relatório NIS2 que Itamite gera inclui evidência técnica com assinatura SHA-256 verificável, formato compatível com modelos CNCS/INCIBE-CERT. Aceite em auditorias e verificações de conformidade realizadas até à data.

O que acontece se tiver um incidente NIS2?

NIS2 obriga a notificar o CSIRT em 24h (alerta precoce), 72h (relatório completo), e 1 mês (relatório final). Itamite ajuda-te com a auditoria imutável que serve como evidência técnica do incidente, mas a notificação administrativa deves gerir tu.

Itrion Software é fornecedor TIC sujeito a NIS2?

Sim. Itrion é entidade importante por categoria "fornecedor de serviços geridos TIC". Cumprimos NIS2 internamente: auditoria externa, plano de resposta a incidentes, comunicação 24h ao CSIRT, relatórios semestrais à autoridade. Documentação sob NDA disponível para clientes Enterprise.

Tens auditoria NIS2 este ano?

Demo de 45 min com caso real. Mostramos-te o relatório NIS2 assinado e o plano de remediação.