NIS2 + DORA: Prova de Identidade para Infraestrutura Crítica (PT-BR)

Duas regulamentações da UE estão remodelando a forma como organizações essenciais e financeiras se defendem. A NIS2 (a segunda Diretiva de Segurança de Redes e Informação) eleva o padrão de cibersegurança em setores críticos e importantes — energia, transporte, saúde, infraestrutura digital e muito mais. A DORA (Lei de Resiliência Operacional Digital) faz o mesmo especificamente para o setor financeiro, com um foco acentuado no risco de Tecnologia da Informação e Comunicação (TIC) e nos terceiros dos quais as entidades financeiras dependem.

Elas abordam o problema de ângulos diferentes, mas convergem nos mesmos controles: saber quem tem acesso, provar identidades rigorosamente e gerenciar o risco que seus fornecedores introduzem. A prova de identidade está no centro de todas as três. Este post explica o que NIS2 e DORA exigem, por que a identidade é fundamental e como a Didit — tanto como motor de verificação quanto como fornecedor certificado — ajuda você a cumpri-las.

Principais pontos

• A NIS2 exige medidas de gestão de risco, controle de acesso robusto e segurança da cadeia de suprimentos em setores essenciais e importantes.
• A DORA governa o risco de TIC em serviços financeiros, incluindo um registro de provedores de TIC terceirizados e gestão rigorosa do risco de fornecedores.
• Ambos os regimes dependem fortemente da prova de identidade e controle de acesso — você não pode proteger um sistema sem respostas confiáveis para “quem é esta pessoa?”.
• A Didit oferece prova de identidade de alta garantia — verificação de documentos, NFC, prova de vida, correspondência biométrica facial — para o onboarding de funcionários, contratados e clientes de alto valor.
• Como uma terceira parte de TIC, a Didit reduz sua carga de risco de fornecedores com certificações concretas: SOC 2 Tipo 1 (ATOM, a partir de 09/04/2026), ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068, válido até 03/06/2027) e iBeta Nível 1 PAD.
• Trilhas de auditoria baseadas em webhook (status.updated, data.updated) fornecem a evidência que ambos os regimes esperam.

O que as regras exigem

A NIS2 amplia o escopo da diretiva original para muito mais setores e intensifica as obrigações. Entre seus requisitos centrais: medidas de gestão de risco de cibersegurança proporcionais ao risco, tratamento e notificação de incidentes, planejamento de continuidade de negócios e — criticamente para a identidade — políticas de controle de acesso, o uso de autenticação multifator ou contínua quando apropriado, e segurança da cadeia de suprimentos que leva em conta a segurança de fornecedores diretos e prestadores de serviços. Os órgãos de gestão são responsáveis, e as autoridades de supervisão podem agir quando os controles são insuficientes.

A DORA foca nas entidades financeiras e sua resiliência a interrupções de TIC. Ela estabelece requisitos em cinco pilares: gestão de risco de TIC, notificação de incidentes, testes de resiliência operacional digital, compartilhamento de informações e gestão de risco de TIC de terceiros. Este último pilar é o que afeta todos os fornecedores: as entidades financeiras devem manter um registro de informações sobre todos os arranjos de TIC de terceiros, avaliar o risco que um provedor introduz antes e durante o relacionamento, e garantir que as disposições contratuais e de supervisão estejam em vigor. Controles robustos de identidade e acesso sustentam os pilares de gestão de risco e testes de resiliência.

O fio condutor: você não pode demonstrar resiliência operacional ou segurança de rede se não puder estabelecer identidades de forma confiável — das pessoas que acessam os sistemas e dos fornecedores em sua cadeia.

Por que isso importa

A infraestrutura crítica é exatamente onde os atacantes se concentram, porque o raio de explosão é o maior. NIS2 e DORA existem porque os reguladores observaram incidentes em um único fornecedor que resultaram em interrupções, violações e risco sistêmico. As penalidades refletem isso: multas significativas, responsabilidade da gestão e intervenção supervisora.

Para a identidade especificamente, dois modos de falha se repetem. Primeiro, prova de identidade fraca — permitir que uma identidade fraudulenta ou falsificada passe pelo onboarding ou recuperação de conta, o que se torna uma falha de controle de acesso posteriormente. Segundo, risco de terceiros não gerenciado — depender de um fornecedor (como um provedor de identidade) cuja própria postura de segurança você não pode comprovar. Ambos os regimes forçam você a fechar essas lacunas e a manter registros que comprovem que você o fez.

Como a Didit ajuda

A Didit aborda ambos os lados da equação de identidade sob NIS2 e DORA.

Como sua camada de prova de identidade:

• Verificação de alta garantia para o onboarding de clientes, funcionários e contratados: verificação de documentos em mais de 14.000 tipos de documentos (US$ 0,15), leitura de chip NFC (US$ 0,15), prova de vida passiva (US$ 0,10) e ativa (US$ 0,15), e Face Match 1:1 (US$ 0,05).
• Biometria resistente a ataques — Detecção de Ataque de Apresentação testada no iBeta Nível 1 (ISO/IEC 30107-3) com 0% de sucesso de ataque em 360 tentativas — o tipo de evidência em que as políticas de controle de acesso devem se basear.
• Triagem AML e de sanções (US$ 0,20, mais de 1.300 listas) e monitoramento contínuo (US$ 0,07/usuário/ano) onde relacionamentos regulamentados exigem.
• Orquestração componível via Workflow Builder sem código, para que você aplique controles proporcionais ao risco.

Como uma terceira parte de TIC certificada — facilitando seu registro DORA e as obrigações da cadeia de suprimentos NIS2:

• Certificação SOC 2 Tipo 1 pela ATOM, cobrindo Segurança, Disponibilidade e Confidencialidade, a partir de 09/04/2026 (relatório completo de uso restrito sob NDA).
• Certificação ISO/IEC 27001:2022 pelo Bureau Veritas, cert nº ES144068, válido até 03/06/2027 — evidência distribuível de um sistema de gestão de segurança da informação certificado.
• Carta de conformidade iBeta Nível 1 PAD — distribuível, para garantia de controle biométrico.

Estes fornecem os artefatos que suas equipes de compras e risco precisam ao avaliar a Didit como provedor em seu registro de terceiros de TIC.

Aprofundamento: identidade no registro de terceiros DORA

Sob DORA, cada arranjo de TIC com terceiros entra em um registro de informações que seu supervisor pode solicitar. Para cada provedor, espera-se que você entenda a função que ele suporta, a criticidade dessa função e o risco que o provedor introduz — apoiado por evidências.

Quando o provedor é seu fornecedor de verificação de identidade, a evidência que você deseja é exatamente o que a Didit pode fornecer: uma certificação SOC 2 independente descrevendo o design de seus controles, um certificado ISO/IEC 27001 provando um sistema de segurança da informação gerenciado e um resultado biométrico iBeta quantificando o desempenho anti-spoofing. Combine isso com a trilha de auditoria baseada em webhook da Didit — eventos status.updated e data.updated registrando o ciclo de vida de cada verificação — e você terá tanto a garantia em nível de fornecedor para o registro quanto os registros em nível de transação para testes de resiliência e investigação de incidentes.

Essa combinação transforma um fornecedor que poderia ser um item de risco em um que encurta seu ciclo de due diligence.

Casos de uso

• Bancos, EMIs e instituições de pagamento avaliando o risco de TIC de terceiros DORA para sua pilha de identidade.
• Provedores de serviços de criptoativos sob o escopo do setor financeiro da DORA.
• Operadores de serviços essenciais (energia, transporte, saúde, infraestrutura digital) sob NIS2, fortalecendo o controle de acesso e a segurança da cadeia de suprimentos.
• Provedores de serviços gerenciados que devem comprovar a segurança das ferramentas de identidade que implementam para clientes.

Perguntas frequentes

NIS2 e DORA se aplicam às mesmas organizações?

Não exatamente. NIS2 abrange entidades essenciais e importantes em muitos setores; DORA abrange entidades financeiras e seus provedores de TIC. Muitas organizações financeiras se enquadram em ambos, e os controles se sobrepõem fortemente.

A verificação de identidade é realmente exigida por essas regras?

As regras exigem controle de acesso robusto, gestão de risco e supervisão de terceiros. A prova de identidade confiável é fundamental para todos os três — você não pode impor controle de acesso ou verificar os usuários de um fornecedor sem ela.

O que a Didit fornece para o registro de terceiros de TIC da DORA?

A Didit pode fornecer evidências SOC 2 Tipo 1, ISO/IEC 27001:2022 (cert ES144068) e iBeta Nível 1 PAD, além de trilhas de auditoria baseadas em webhook — os artefatos que sua equipe de risco precisa para avaliar e documentar a Didit como provedor.

O SOC 2 da Didit é Tipo 1 ou Tipo 2?

É uma certificação Tipo 1 (design dos controles a partir de 09/04/2026). Uma auditoria Tipo 2 está planejada. O relatório completo é de uso restrito e compartilhado sob NDA.

Posso obter o certificado ISO 27001 para compartilhar internamente?

Sim — o certificado ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068) é distribuível mediante solicitação.

Pronto para começar?

Veja as certificações e a postura de segurança da Didit no hub de confiança, explore o produto de Verificação de ID e revise os preços transparentes na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações KYC gratuitas todos os meses, com um fluxo de verificação principal a partir de US$ 0,33.