Contexto regulatório: do Implementing Regulation à TIG
O Commission Implementing Regulation (EU) 2024/2690, adotado a 17 de outubro de 2024 e em vigor desde 7 de novembro de 2024, estabelece as medidas técnicas e organizacionais específicas obrigatórias para certas categorias de entidades, especificamente as cobertas pelo Art. 20.º n.º 4 da Diretiva NIS2:
- Fornecedores de serviços DNS
- Registos de nomes de domínio de topo (TLD)
- Fornecedores de serviços de computação em nuvem
- Fornecedores de serviços de centros de dados
- Fornecedores de redes de distribuição de conteúdos (CDN)
- Prestadores de serviços geridos (MSP)
- Prestadores de serviços de segurança geridos (MSSP)
- Fornecedores de mercados em linha, motores de pesquisa e redes sociais
A ENISA TIG v1.0 é o guia de implementação técnica para esse regulamento, mas a sua utilidade estende-se muito além do âmbito formal, funcionando como guia de boas práticas para todas as entidades NIS2.
Nota de âmbito: Embora o Implementing Regulation (e por extensão a ENISA TIG) seja formalmente obrigatório apenas para as categorias acima, o nível de detalhe e os mapeamentos tornam-no numa referência essencial para qualquer organização a implementar NIS2, independentemente do setor.
Estrutura e secções principais da ENISA TIG v1.0
| Secção | Tópicos cobertos | Relevância Art. 21.º DL 125/2025 |
|---|---|---|
| Governance & Risk | Framework de gestão de risco, órgão de gestão, CISO | Art. 20.º + Art. 21.º n.º 1 |
| Incident Management | Deteção, análise, resposta, notificação 24h/72h/30d | Art. 21.º alínea b) + Art. 23.º |
| Business Continuity | BIA, RTO/RPO, DRP, testes obrigatórios | Art. 21.º alínea c) |
| Supply Chain Security | Avaliação de fornecedores, contratos, SBOM | Art. 21.º alínea d) |
| HR Security | Background checks, formação, offboarding | Art. 21.º alínea h) |
| Asset Management | Inventário, classificação, ciclo de vida | Art. 21.º alínea h) |
| Access Control & MFA | Princípio menor privilégio, MFA mandatório | Art. 21.º alínea i) |
| Cryptography | Políticas de cifra, gestão de chaves, TLS | Art. 21.º alínea j) |
A mudança mais significativa: MFA deixa de ser recomendação
Um dos impactos mais imediatos da ENISA TIG v1.0 é a elevação do MFA de "recomendação" a "medida mandatória" com critérios técnicos específicos:
- MFA obrigatório em todos os acessos remotos a sistemas de produção.
- MFA phishing-resistant (FIDO2/WebAuthn ou certificados hardware) obrigatório para acesso administrativo a sistemas críticos.
- MFA baseado em SMS (OTP via SMS) explicitamente considerado insuficiente para sistemas de alta criticidade.
- Prazo de implementação gradual com milestones definidos pela ENISA.
Atenção às organizações com MFA via SMS: A ENISA TIG classifica o SMS OTP como autenticação de segundo fator insuficiente para sistemas críticos, devido à vulnerabilidade a SIM swapping e SS7 attacks. A migração para FIDO2/WebAuthn deve ser incluída nos planos de conformidade NIS2.
Como usar a ENISA TIG na implementação NIS2
A recomendação da NIS2 Portugal é usar a ENISA TIG como "checklist de evidências" em paralelo com a auditoria interna ao Art. 21.º:
- Para cada medida do Art. 21.º, identificar a secção correspondente na ENISA TIG.
- Verificar os exemplos de evidência documentados no TIG e confirmar se a organização pode apresentar evidência equivalente.
- Usar os mapeamentos ISO 27001/NIST CSF para identificar controlos específicos a implementar.
- Documentar o estado de implementação para cada medida, estado atual vs. estado alvo vs. prazo.
- Usar a documentação produzida como suporte em eventuais inspeções do CNCS.