Início Blog Notificação de Incidentes NIS2
Gestão de Incidentes

Notificação de Incidentes NIS2: As Regras das 24 Horas e 72 Horas Explicadas

Maio de 2026
BALTUM Bureau
6 min de leitura

De entre todos os requisitos introduzidos pela NIS2, as obrigações de notificação de incidentes estão entre as mais exigentes do ponto de vista operacional. Ao contrário de muitos controlos de conformidade que podem ser implementados de forma gradual, a notificação de incidentes exige que a sua organização esteja preparada antes de qualquer ocorrência — porque quando um incidente acontece, dispõe de horas, não de dias ou semanas, para notificar a autoridade nacional competente.

O Artigo 23.º da NIS2 estabelece um processo de reporte estruturado e multifaseado, com prazos juridicamente vinculativos. O incumprimento destes prazos não é uma falha técnica — é uma infração de conformidade que pode desencadear coimas significativas e escrutínio regulatório, independentemente do próprio incidente.

O Que Constitui um "Incidente Significativo"?

Nem todos os eventos de segurança ativam as obrigações de notificação da NIS2. A NIS2 exige notificação para incidentes significativos — aqueles que têm ou podem ter um impacto significativo na prestação de serviços. Na avaliação da significância, os reguladores consideram:

  • Perturbação do serviço: O incidente causou ou poderia causar uma perturbação grave ou interrupção dos serviços da organização?
  • Número de utilizadores afetados: Quantas pessoas singulares ou coletivas foram afetadas, em particular as que dependem do serviço?
  • Duração: Por quanto tempo durou a perturbação ou durante quanto tempo se prevê que perdure?
  • Âmbito geográfico: O impacto estende-se a várias regiões ou Estados-Membros?
  • Prejuízo financeiro: Qual é o impacto financeiro real ou estimado para a organização?
  • Danos reputacionais: O incidente causou ou poderia causar danos reputacionais significativos?
  • Componente de violação de dados: O incidente envolve acesso não autorizado a dados pessoais ou sensíveis?
Orientação prática: Em caso de dúvida, notifique. A NIS2 foi concebida para privilegiar a notificação. Os reguladores geralmente reagem de forma mais favorável às organizações que reportam em excesso do que àquelas que atrasam a notificação por estarem a "avaliar a gravidade". A sua CERT/CSIRT nacional pode ajudá-lo a tomar a decisão.

O Processo de Reporte em Três Fases

O Artigo 23.º da NIS2 estabelece um processo de reporte claro, em três fases. Cada fase tem os seus próprios prazos e requisitos de conteúdo:

⏱ Nas Primeiras 24 Horas

Fase 1: Alerta Precoce

Assim que tiver conhecimento de um incidente significativo, deve submeter um alerta precoce à sua autoridade nacional competente (ANC) ou CERT/CSIRT. Nesta fase, não precisa de ter todas as respostas — o alerta precoce é simplesmente uma notificação inicial de que ocorreu ou se suspeita de um incidente. Deve incluir: tipo de incidente, se suspeita de intenção maliciosa e qualquer impacto transfronteiriço. O prazo começa a contar a partir do momento em que a sua organização toma conhecimento do incidente, e não a partir do momento em que conclui a investigação interna.

⏱ Nas Primeiras 72 Horas

Fase 2: Notificação de Incidente

No prazo de 72 horas após tomar conhecimento do incidente, deve fornecer uma notificação de incidente detalhada. Este relatório deve incluir uma avaliação inicial da gravidade e do impacto, indicadores de comprometimento (se disponíveis), a natureza do incidente e as medidas já tomadas ou previstas. Se a sua investigação ainda estiver em curso, submeta o que sabe e indique que o relatório será atualizado.

⏱ No Prazo de 1 Mês

Fase 3: Relatório Final

No prazo de um mês após a submissão da notificação de incidente, deve fornecer um relatório final contendo uma descrição completa do incidente, a análise da causa raiz, a avaliação do impacto, as medidas implementadas para resolver o incidente e prevenir a sua recorrência, e quaisquer implicações transfronteiriças. Se o incidente ainda estiver em curso no prazo de um mês, submeta um relatório de progresso intercalar e forneça o relatório final no prazo de um mês após a resolução do incidente.

A Quem Deve Reportar?

Os relatórios devem ser enviados para a sua Autoridade Nacional Competente (ANC) — o regulador designado para a NIS2 no Estado-Membro da UE onde está estabelecido. Em alguns países, trata-se de uma agência dedicada à cibersegurança; noutros, é um regulador setorial (por exemplo, para a energia, transportes ou saúde).

Na prática, muitos Estados-Membros encaminham os relatórios iniciais através da sua CERT/CSIRT nacional (Computer Emergency Response Team / Computer Security Incident Response Team). A sua CERT/CSIRT pode também prestar assistência técnica durante um incidente ativo. Consulte a legislação de transposição do seu Estado-Membro para confirmar o canal de reporte exato.

Se o incidente afetar vários Estados-Membros da UE, poderá ser necessário notificar as autoridades em cada país afetado. A ANC do seu Estado-Membro de origem coordena tipicamente com as homólogas de outros Estados, mas continua a ser da sua responsabilidade a notificação direta quando exigida.

O Que Acontece Se Não Cumprir o Prazo?

O incumprimento dos prazos de reporte da NIS2 é tratado como uma infração de conformidade — independente do próprio incidente. As consequências podem incluir:

  • Coimas financeiras: Até 10 milhões de euros ou 2% do volume de negócios global para Entidades Essenciais; até 7 milhões de euros ou 1,4% para Entidades Importantes
  • Danos reputacionais: Os reguladores podem divulgar publicamente o incumprimento da organização
  • Maior escrutínio regulatório: O incumprimento de um prazo tende a desencadear uma revisão supervisória mais intensiva de toda a postura de conformidade
  • Responsabilidade da gestão: Os altos executivos podem ser considerados pessoalmente responsáveis por falhas nos processos de notificação de incidentes
⚠ Um equívoco comum: Muitas organizações acreditam que, se ainda não dispõem de todos os factos, não devem reportar. Isto está errado ao abrigo da NIS2. O requisito de alerta precoce existe precisamente porque as investigações demoram tempo. Submeta o que sabe, quando souber — e atualize à medida que o quadro se vai tornando mais claro.

Como Se Preparar Antes de um Incidente Ocorrer

O pior momento para conceber o seu processo de notificação de incidentes é durante um incidente ativo. Construa a prontidão agora:

  • Desenvolva um Plano de Resposta a Incidentes (PRI): Documente os procedimentos de deteção, triagem, escalonamento e notificação. Identifique quem é responsável por acionar as notificações NIS2 e quem as aprova.
  • Identifique a sua ANC e CERT/CSIRT: Conheça os contactos exatos, os URLs dos portais de reporte e os formatos exigidos antes de precisar deles.
  • Designe um contacto de reporte NIS2: Uma pessoa nomeada (e respetivo suplente) autorizada a comunicar com as autoridades e que compreenda os requisitos de reporte.
  • Invista em capacidades de deteção: Não é possível reportar o que não se sabe. Ferramentas SIEM, monitorização de rede e deteção em endpoints ajudam a garantir que os incidentes são identificados rapidamente.
  • Realize exercícios de simulação: Simule incidentes significativos e pratique o fluxo de notificação de 24 horas e 72 horas com a sua equipa.
  • Integre com o reporte ao abrigo do RGPD: Muitos incidentes que ativam o reporte NIS2 também ativam obrigações de notificação de violações ao abrigo do RGPD (72 horas para a autoridade de proteção de dados). Coordene estes processos para evitar duplicações e inconsistências.

Construa um Processo de Resposta a Incidentes Conforme

O BALTUM Bureau ajuda as organizações a conceber e implementar procedimentos de resposta a incidentes conformes com a NIS2 — desde os protocolos de deteção inicial até aos fluxos de trabalho de reporte às autoridades nacionais. Não espere por um incidente para identificar as lacunas.

Contactar o BALTUM para Suporte em Resposta a Incidentes
Entidades Essenciais vs. Entidades Importantes Segurança da Cadeia de Abastecimento