YubiKey para o setor público: normas de segurança na Europa
Em 2026, já não é suficiente ter uma simples política de palavras-passe. As normas europeias de cibersegurança exigem autenticação multifator (MFA) nos acessos a sistemas críticos — e em vários países, a chave física FIDO2 é a opção que melhor se ajusta tecnicamente ao que pedem os quadros regulatórios. Este guia é dirigido a responsáveis de IT de organismos públicos e fornecedores de TIC que precisam de entender o que exige cada norma e como cumpri-la.
O quadro comum: NIS2 e a obrigação de MFA
A Diretiva NIS2 é o ponto de partida para todos os países da UE. Entrou em vigor a nível europeu em janeiro de 2023 e estabelece a autenticação multifator como requisito técnico obrigatório para todos os acessos a sistemas críticos — correio eletrónico corporativo, VPN, painéis de administração e qualquer sistema com dados sensíveis.
Espanha tem registado um atraso na transposição. O anteprojeto da Lei de Coordenação e Governação da Cibersegurança foi aprovado em janeiro de 2025 e a lei definitiva é esperada ao longo de 2026. No entanto, o atraso legislativo não isenta do cumprimento: a Comissão Europeia iniciou um processo de infração contra Espanha em maio de 2025, e as inspeções já estão em curso.
Se a sua empresa faz parte da cadeia de abastecimento de uma entidade essencial — energia, saúde, transportes, banca — a NIS2 exige que essa entidade audite os seus fornecedores. O cumprimento não é opcional, mesmo que seja uma PME.
Normas por país
O ENS é o quadro de referência para todas as administrações públicas espanholas e os seus fornecedores. Define três categorias de segurança — Básica, Média e Alta — com exigências crescentes consoante a criticidade do sistema.
Em fevereiro de 2026, a YubiKey 5 CCN tornou-se a primeira chave de segurança hardware a obter a classificação ENS Alta no catálogo CPSTIC do Centro Criptológico Nacional. Isto tem uma consequência prática direta: as organizações espanholas podem adquirir YubiKeys sem necessidade das exaustivas auditorias de acompanhamento que os produtos não incluídos no catálogo exigem.
Categoria Média e Alta: autenticação de dois fatores obrigatória para acessos privilegiados. O FIDO2 cumpre os requisitos técnicos do ENS e a YubiKey 5 CCN está certificada especificamente para ambientes de classificação Alta.
Além disso, o CCN declarou publicamente que o cumprimento do ENS em categoria Alta cobre em grande parte as exigências estruturais da NIS2 — o que torna a certificação ENS uma via direta de cumprimento duplo.
O BSI (Bundesamt für Sicherheit in der Informationstechnik) é a autoridade federal de segurança informática na Alemanha. O seu quadro IT-Grundschutz define as medidas técnicas mínimas para organismos públicos e operadores de infraestruturas críticas.
O BSI classifica os tokens FIDO2 hardware como o método de segundo fator com maior resistência a ataques remotos — incluindo phishing em tempo real e ataques do tipo man-in-the-middle. A chave privada é verificada localmente no chip, o que torna impossível qualquer ataque remoto sobre o segundo fator.
Para ambientes de alta segurança, o BSI recomenda chaves com certificação Common Criteria. A série YubiKey 5 inclui modelos com certificação FIDO Level 2, o que a posiciona como uma opção válida para os níveis de proteção mais exigentes do IT-Grundschutz.
O RGS é o quadro de referência para a segurança dos sistemas de informação do Estado francês, gerido pela ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Define níveis de segurança para serviços online da administração pública.
A ANSSI posicionou o FIDO2 como o padrão de autenticação recomendado para substituir os sistemas baseados em OTP e palavras-passe em ambientes governamentais. Para serviços classificados no nível RGS**, a autenticação hardware com chave física é a opção tecnicamente mais alinhada com os requisitos do referencial.
A França também lidera a adoção da NIS2 na UE — a transposição francesa (Loi de Programmation Militaire) já está em vigor, e a ANSSI atua como autoridade competente para a supervisão de entidades essenciais e importantes.
O Cyber Essentials é o esquema de certificação de cibersegurança apoiado pelo NCSC (National Cyber Security Centre) do governo britânico. A versão 3.3, em vigor desde 27 de abril de 2026, introduz a mudança mais significativa em anos: o MFA deixa de ser recomendável e passa a ser obrigatório.
As implicações concretas para as organizações que pretendam certificar-se:
- MFA obrigatório em todas as contas de administração — sem exceções desde 27 de abril de 2026
- MFA obrigatório em todos os serviços cloud que o suportem — se o serviço oferecer MFA e este não estiver ativado, a certificação falha automaticamente
- Métodos aceites: chaves hardware FIDO2, apps de autenticação, notificações push — o SMS é aceite mas considerado o método mais fraco
- Contratos com o setor público UK: desde fevereiro de 2025, os fornecedores de contratos governamentais de alto risco devem demonstrar controlos de autenticação avançada
Para contas de administração e acessos privilegiados, o NCSC recomenda explicitamente chaves hardware sobre qualquer outro método. A YubiKey com FIDO2 é a opção que elimina a dependência de segredos partilhados e bloqueia 100% dos ataques de phishing automatizados.
Comparativa por quadro normativo
| Quadro | País | MFA obrigatório | FIDO2 recomendado | Estado em 2026 |
|---|---|---|---|---|
| ENS Alta | 🇪🇸 Espanha | ✅ Categoria Média e Alta | ✅ YubiKey 5 CCN certificada | Ativo — transposição NIS2 pendente |
| BSI IT-Grundschutz | 🇩🇪 Alemanha | ✅ Infraestruturas críticas | ✅ Máxima resistência a ataques remotos | Ativo — NIS2 transposta |
| RGS / ANSSI | 🇫🇷 França | ✅ Nível RGS** | ✅ Padrão recomendado pela ANSSI | Ativo — NIS2 transposta |
| Cyber Essentials v3.3 | 🇬🇧 Reino Unido | ✅ Obrigatório desde 27/04/2026 | ✅ Recomendado pelo NCSC para admins | Ativo — prazo cumprido |
Porquê FIDO2 hardware e não uma app de autenticação
As apps de autenticação geram códigos de utilização única baseados numa chave partilhada entre o servidor e o dispositivo. Essa chave partilhada é o problema: pode ser intercetada, filtrada ou alvo de phishing em tempo real. É o modelo que todos os quadros regulatórios estão a abandonar progressivamente.
Uma chave FIDO2 funciona de forma radicalmente diferente. Utiliza criptografia de chave pública: a chave privada nunca sai do chip. Não há código para intercetar, não há segredo partilhado para roubar. E a chave verifica o domínio do serviço — se o site for falso, não autentica. É isso que torna o FIDO2 resistente ao phishing por design, e não por configuração.
- Identificar que sistemas requerem MFA segundo a categoria ENS/BSI/RGS/Cyber Essentials aplicável
- Avaliar se os sistemas atuais suportam FIDO2 / WebAuthn — Google Workspace, Microsoft 365, Okta, Azure AD suportam de forma nativa
- Registar sempre duas chaves por utilizador — uma principal e uma de reserva (backup)
- Documentar a implementação para auditorias: número de chaves, utilizadores atribuídos, sistemas protegidos
- Para Espanha: valorizar a YubiKey 5 CCN se o sistema exigir certificação ENS Alta
Produtos recomendados para ambientes regulados
⭐ Mais versátil
YubiKey 5 NFC
FIDO2, OTP, PIV, OpenPGP. Compatível com Google Workspace, Microsoft 365 e a maioria dos IAM empresariais. USB-A + NFC.
USB-C + NFC
YubiKey 5C NFC
Os mesmos protocolos que o modelo USB-A mas com conector USB-C. Para portáteis e dispositivos modernos.
Perguntas frequentes
A YubiKey normal cumpre o ENS ou é necessária a versão CCN?
Para a maioria dos casos de utilização empresarial, a YubiKey 5 NFC normal cumpre os requisitos técnicos de autenticação forte do ENS. A versão CCN é específica para organismos que precisam de produtos listados no catálogo CPSTIC do CCN — principalmente administrações públicas e fornecedores de sistemas classificados como ENS Alta.
A NIS2 obriga a usar chave física ou basta uma app de autenticação?
A NIS2 exige autenticação multifator para acessos a sistemas críticos, mas não especifica o método concreto. No entanto, os quadros técnicos de referência — ENS, BSI, ANSSI — apontam o FIDO2 hardware como a opção com maior resistência ao phishing. Para acessos privilegiados, a chave física é a recomendação padrão das autoridades de cibersegurança europeias.
Quantas YubiKeys necessita um organismo público?
A regra geral é de duas chaves por utilizador com acesso privilegiado — uma principal e uma de reserva registada em todos os sistemas. Sem a segunda chave, um utilizador bloqueado não pode recuperar o acesso sem intervenção do administrador. Para implementações de grande dimensão, o "YubiKey as a Service" da Yubico inclui gestão centralizada e numeração de série para controlo de inventário.
O Cyber Essentials v3.3 obriga todos os funcionários ou apenas administradores?
A versão 3.3 torna o MFA obrigatório especificamente para todas as contas de administração e para o acesso a qualquer serviço cloud que suporte MFA. Para utilizadores normais, o MFA não é obrigatório para obter a certificação — embora o NCSC o recomende para todos.
Um fornecedor de TIC privado precisa de cumprir estas normas?
Depende da cadeia de abastecimento. Se presta serviços a um organismo público ou a uma entidade essencial NIS2 (energia, saúde, banca, transportes), o seu cliente é obrigado a auditar a segurança dos seus fornecedores. Na prática, cada vez mais cadernos de encargos incluem requisitos de autenticação forte como critério de solvência. E no Reino Unido, os fornecedores de contratos governamentais de alto risco devem demonstrar controlos avançados desde fevereiro de 2025.
As normas convergem para o mesmo ponto: o hardware FIDO2 é o padrão.
ENS, BSI, RGS e Cyber Essentials partem de quadros diferentes mas chegam ao mesmo sítio: autenticação forte resistente ao phishing para acessos privilegiados. A YubiKey cumpre todos tecnicamente e, em Espanha, conta ainda com a certificação ENS Alta no catálogo CPSTIC — o que simplifica o processo de aquisição no setor público.
Se gere a segurança de um organismo público ou é fornecedor de TIC de entidades reguladas, 2026 não é o ano de avaliar se deve implementar MFA. É o ano de documentar que já o tem.
