NIS 2 versus DORA: como funciona realmente a isenção do setor financeiro
O artigo 4.o da NIS 2 entrega as entidades financeiras à DORA para a gestão de risco, a notificação de incidentes e a supervisão. O artigo 27.o da NIS 2 não está nessa lista. Os bancos, as instituições de pagamento, as contrapartes centrais e os prestadores de serviços de criptoativos continuam a registar-se junto do BSI ao abrigo do §33 BSIG.
Dois reguladores, uma isenção, uma obrigação que sobrevive
O Regulamento (UE) 2022/2554 (DORA) entrou em aplicação a 17 de janeiro de 2025 e abrange cerca de vinte categorias de entidades financeiras, desde bancos e empresas de seguros a prestadores de serviços de criptoativos e plataformas de negociação. Para tudo o que a DORA já regula, o artigo 4.o da NIS 2 afasta os artigos correspondentes da NIS 2. Essa é a regra de lex specialis e está no centro de cada conversa sobre como as empresas financeiras se mapeiam face à NIS 2.
O afastamento é estreito. O artigo 4.o, n.o 2, da NIS 2 enumera exatamente que artigos da NIS 2 cedem o lugar quando um ato setorial específico é pelo menos equivalente em efeito. A lista abrange o artigo 21.o (medidas de gestão de risco), o artigo 23.o (notificação de incidentes) e o capítulo VII (supervisão e execução). O artigo 27.o (registo) não está na lista. Nem estão as disposições de âmbito do Anexo I que, antes de mais, colocam a banca e a infraestrutura do mercado financeiro dentro da NIS 2.
O resultado prático para um banco alemão, uma instituição de pagamento licenciada pela BaFin ou uma contraparte central: a substância vem da DORA, a supervisão na Alemanha cabe à BaFin e ao Bundesbank, mas a entidade continua a registar-se junto do BSI através do portal do §33 BSIG. Um regulador no registo. Um regulador diferente em tudo o que importa na operação.
Diretiva NIS 2, artigo 4.o, n.os 1 e 2
Sempre que atos jurídicos setoriais específicos da União exijam que as entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes significativos, e sempre que esses requisitos sejam pelo menos equivalentes em efeito às obrigações estabelecidas na presente diretiva, as disposições pertinentes da presente diretiva, incluindo a disposição relativa à supervisão e à execução estabelecida no capítulo VII, não se aplicam a essas entidades.
Empilham-se duas condições: tem de existir um ato setorial específico da União e os seus requisitos têm de ser pelo menos equivalentes em efeito. Só então é que os artigos 21.o, 23.o e o capítulo VII cedem o lugar. O artigo 27.o está visivelmente ausente desta lista e, por isso, continua a aplicar-se.
Regulamento (UE) 2022/2554 (DORA)
Artigos 5.o a 17.o (gestão dos riscos das TIC), artigos 17.o a 23.o (notificação de incidentes relacionados com as TIC), artigos 24.o a 27.o (testes de resiliência operacional digital), artigos 28.o a 44.o (gestão dos riscos de terceiros em matéria de TIC), artigo 45.o (acordos de partilha de informações).
A DORA é um regulamento, aplicado diretamente em todos os Estados-Membros desde 17 de janeiro de 2025. Para as entidades no seu âmbito, este é o corpo de regras que preenche o espaço que os artigos 21.o e 23.o da NIS 2 ocupariam de outra forma. O livro de regras substantivo de cibersegurança é a DORA, não a implementação da NIS 2 pelo BSIG.
Artigo 27.o da NIS 2 e §33 BSIG
Os Estados-Membros asseguram que as entidades essenciais e importantes apresentam às autoridades competentes as seguintes informações: o nome da entidade, o endereço e os dados de contacto atualizados, o setor e subsetor relevante ao abrigo do Anexo I ou II e uma lista dos Estados-Membros em que a entidade presta serviços.
O artigo 27.o da NIS 2 obriga ao registo junto da autoridade nacional competente. Na Alemanha, o §33 BSIG canaliza isto para o portal de registo do BSI. O artigo 4.o não toca no artigo 27.o. A DORA tem o seu próprio registo nas Autoridades Europeias de Supervisão, mas isso não substitui o registo nacional da NIS 2. As entidades financeiras vivem, portanto, em ambos.
DORA, não o artigo 21.o da NIS 2
A gestão dos riscos das TIC, os riscos de terceiros, os testes de resiliência e a classificação de incidentes seguem os artigos 5.o a 44.o da DORA. As medidas do artigo 21.o da NIS 2 (as dez categorias do §30 BSIG na Alemanha) não se aplicam às entidades dentro do âmbito da DORA. Onde a DORA é omissa, a NIS 2 também não preenche a lacuna: a isenção é sobre qual ato rege, não sobre sobrepor ambos.
BSI ao abrigo do §33 BSIG, sem afastamento
O artigo 27.o da NIS 2 fica fora da lista do artigo 4.o. O registo nacional sobrevive à isenção. Um banco ou uma instituição de pagamento licenciada pela BaFin regista-se junto do BSI através do portal do §33, submete a classificação setorial, os dados de contacto e os intervalos de endereços IP, e atualiza dentro dos prazos que se aplicam a qualquer outra entidade no âmbito. O não registo carrega o seu próprio percurso sancionatório.
BaFin e Bundesbank, não BSI
O capítulo VII da NIS 2 (supervisão e execução) é afastado para as entidades financeiras. O artigo 46.o da DORA designa os supervisores financeiros existentes como as autoridades competentes. Na Alemanha, isto significa a BaFin e o Deutsche Bundesbank para matérias de banca e pagamentos, com as Autoridades Europeias de Supervisão (EBA, ESMA, EIOPA) a coordenar ao nível da UE. O BSI não é o supervisor operacional para a substância da DORA.
A lex specialis é estreita, não geral
O artigo 4.o afasta apenas os artigos da NIS 2 que designa. O registo ao abrigo do artigo 27.o, o âmbito ao abrigo dos Anexos I e II e as definições setoriais continuam todos a aplicar-se. Um banco não se torna uma entidade não NIS 2. Torna-se uma entidade NIS 2 regida pela DORA nas partes substantivas. A distinção importa quando surgem prazos de registo, reclassificações setoriais ou notificações de serviços transfronteiriços.
Equivalente em efeito, não idêntico no texto
O artigo 4.o, n.o 1, da NIS 2 fixa a fasquia em equivalente em efeito. A DORA não precisa de reproduzir o artigo 21.o palavra por palavra. Precisa de cobrir o mesmo terreno com a mesma profundidade. O considerando 28 da NIS 2 confirma que a DORA foi redigida para ultrapassar esta fasquia. Na prática, a Comissão Europeia tratou a DORA como plenamente equivalente, mas o teste está no texto e seria o ponto de ancoragem legal em qualquer litígio sobre uma lacuna.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Autoridade competente principal para a DORA na Alemanha ao abrigo do artigo 46.o da DORA. Supervisiona a gestão dos riscos das TIC, a notificação de incidentes e os acordos de risco de terceiros para bancos, instituições de pagamento, empresas de seguros, empresas de investimento e prestadores de serviços de criptoativos. As circulares BAIT, VAIT, KAIT e ZAIT existentes estão a ser alinhadas com os artigos 5.o a 17.o da DORA.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Opera o portal de registo do §33 BSIG. Recebe o registo das entidades financeiras mesmo não supervisionando a substância da DORA. O BSI atua também como CSIRT nacional ao abrigo do artigo 10.o da NIS 2 e presta apoio voluntário. A linha divisória: registo e serviços de CSIRT com o BSI, substância e supervisão com a BaFin e o Bundesbank.
EBA, ESMA, EIOPA e BCE
As Autoridades Europeias de Supervisão emitiram as normas técnicas de regulamentação da DORA sobre a gestão dos riscos das TIC, a classificação de incidentes, os registos de risco de terceiros e a fiscalização dos prestadores terceiros críticos de TIC. O BCE supervisiona as instituições de crédito significativas ao abrigo do Mecanismo Único de Supervisão e aplica a DORA dentro desse mandato. A isenção do artigo 4.o da NIS 2 é o que faz esta estrutura de supervisão em camadas funcionar sem dupla regulação.
Mito: a DORA substitui completamente a NIS 2 para as entidades financeiras.
A DORA substitui o artigo 21.o, o artigo 23.o e o capítulo VII. Não substitui o artigo 27.o (registo), as disposições de âmbito dos Anexos I e II, nem os mecanismos de cooperação do capítulo IV. O registo do §33 BSIG mantém-se. Um banco que salte o registo enfrenta a sanção autónoma por não registo, não um processo de execução só de DORA.
Mito: a DORA só se aplica aos bancos, por isso as entidades financeiras não bancárias seguem a NIS 2.
O artigo 2.o da DORA enumera cerca de vinte categorias de entidades. Empresas de seguros e de resseguros, instituições de pagamento e de moeda eletrónica, contrapartes centrais, centrais de valores mobiliários, plataformas de negociação, prestadores de serviços de criptoativos, prestadores de serviços de informação sobre contas e outros estão todos dentro da DORA. Se o seu setor está no setor 3 ou 4 do Anexo I da NIS 2 e também no artigo 2.o da DORA, a isenção aplica-se.
Mito: dois registos significam preencher duas vezes os mesmos dados.
O registo de informações da DORA junto das AES abrange os acordos de terceiros em matéria de TIC (artigo 28.o da DORA). O portal do §33 BSIG abrange a identificação da entidade e a classificação setorial. Os campos não se sobrepõem. Preencher ambos é uma obrigação cada, não a mesma obrigação duas vezes. Os profissionais confundem isto muitas vezes porque ambos envolvem introduzir dados em portais governamentais.
Se está dentro de uma entidade licenciada pela BaFin, trate a DORA como o seu livro de regras do dia a dia e a NIS 2 como a camada de registo. O programa de melhoria substantiva vive nos artigos 5.o a 17.o da DORA (gestão de risco) e nos artigos 28.o a 44.o (risco de terceiros). O registo do §33 BSIG é uma tarefa administrativa pontual que se renova quando os dados de contacto mudam. Confundir os dois leva a esforço desperdiçado, muitas vezes um mapeamento duplicado do artigo 21.o que ninguém pediu.
Se está dentro de um grupo financeiro que também corre serviços de IT internos para filiais não financeiras, a isenção só protege a entidade financeira. A filial não financeira, se estiver no âmbito do Anexo I ou II da NIS 2, deve o conjunto completo de obrigações, incluindo as medidas do artigo 21.o e a notificação de incidentes do artigo 23.o. Os programas de TIC à escala do grupo têm de ser legíveis por ambos os supervisores. A BaFin pede provas de DORA, o BSI pede provas do §30 BSIG na entidade não financeira.
A plataforma modela o registo do artigo 27.o da NIS 2 como uma obrigação de primeira classe, independente do conteúdo de gestão de risco. Uma entidade financeira que usa a plataforma vê os prazos de registo, os lembretes de alteração de dados de contacto e o estado do portal do §33 BSIG sem herdar nenhuma lista de tarefas do artigo 21.o da NIS 2 de que não precisa.
A camada substantiva da DORA está fora do âmbito da plataforma de código aberto. O padrão recomendado é: acompanhar o artigo 27.o da NIS 2 aqui, correr o programa DORA na ferramenta alinhada com a BaFin que os seus supervisores esperam e usar o estado de registo da plataforma como o rasto de auditoria que prova que a obrigação do §33 BSIG foi cumprida.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 4.o (lex specialis), artigo 27.o (obrigação de registo), Anexo I, setor 3 (infraestrutura do mercado financeiro) e setor 4 (banca)
- Regulamento (UE) 2022/2554 (DORA), artigos 5.o a 17.o (gestão dos riscos das TIC), artigos 17.o a 23.o (notificação de incidentes), artigos 24.o a 27.o (testes de resiliência), artigos 28.o a 44.o (risco de terceiros em matéria de TIC), artigo 45.o (partilha de informações), artigo 46.o (autoridades competentes)
- BSIG (alterado pela NIS2UmsuCG), §33 (registo), §65 (sanções por não registo)
- Considerando 28 da Diretiva NIS 2 sobre a relação entre a NIS 2 e os atos setoriais específicos da União
- Orientações da BaFin sobre a aplicação da DORA e o alinhamento das circulares BAIT, VAIT, KAIT, ZAIT (2025)
- Normas técnicas de regulamentação da EBA, ESMA e EIOPA ao abrigo da DORA (2024 e 2025)