§ 32 BSIG: o dever de notificação de incidentes NIS 2
Três fases, uma contagem decrescente de 24 horas e o que significa realmente significativo.
O que o § 32 BSIG exige
O § 32 BSIG transpõe para o direito alemão o dever de notificação do artigo 23 NIS 2. As entidades abrangidas devem notificar os incidentes significativos ao Serviço Federal de Segurança da Informação (BSI) em três fases. A questão difícil raramente é como notificar, mas sim se um incidente é significativo.
A contagem decrescente de 24 horas começa quando a entidade toma conhecimento do incidente. Quem só pondera durante a emergência se um incidente é notificável já gastou metade desse prazo.
Alerta precoce em 24 horas
Um primeiro alerta precoce ao BSI no prazo de 24 horas após o conhecimento do incidente significativo, indicando se se suspeita ter sido causado por atos ilícitos ou maliciosos e se poderá ter um impacto transfronteiriço.
Notificação em 72 horas
Uma notificação mais completa em 72 horas, que complementa o alerta precoce com uma primeira avaliação do incidente, da sua gravidade e impacto, bem como indicadores de comprometimento, quando disponíveis.
Relatório final após um mês
Um relatório final o mais tardar um mês após a notificação: uma descrição detalhada, o tipo de ameaça ou a causa, as medidas corretivas aplicadas e qualquer impacto transfronteiriço.
A nível da UE, os limiares quantitativos de um incidente significativo estão fixados no Regulamento de Execução (UE) 2024/2690, mas aplicam-se diretamente apenas aos prestadores de infraestruturas e serviços digitais nele designados. Para a maioria das entidades abrangidas, como produção, logística, saúde ou resíduos, não existem números da UE.
Para essas entidades, o caráter significativo rege-se pelos critérios qualitativos do artigo 23(3) NIS 2, transpostos como definição legal no § 2 número 11 BSIG. Cada empresa deve decidir por si própria, em 24 horas, se um incidente é notificável, e ser capaz de documentar essa decisão. A apreciação documentada é a prova.
As notificações vão para o BSI, na Alemanha através do seu portal de notificação. Defina internamente, com antecedência, quem decide notificar e quem apresenta efetivamente a notificação. Resolver isto durante um incidente custa tempo que não tem.
Definir o caminho de decisão antes de um incidente, ainda que como uma árvore de decisão de uma página, faz parte da própria medida de tratamento de incidentes do artigo 21(2)(b) NIS 2.
Se um incidente afetar dados pessoais, pode aplicar-se em paralelo um dever de notificação distinto ao abrigo do artigo 33 RGPD. Os dois regimes têm destinatários e prazos diferentes.
Não apresente um em vez do outro. Um incidente de ransomware que cifra dados de clientes pode desencadear tanto a cascata de notificação do § 32 BSIG como a notificação da violação em 72 horas ao abrigo do RGPD à autoridade de proteção de dados.
Perguntas frequentes
Quando começa o prazo de 24 horas?
Quando a entidade toma conhecimento do incidente significativo, não quando este começou.
Existem limiares fixos em euros para um incidente significativo?
Apenas para os prestadores de serviços digitais designados no RE (UE) 2024/2690. Para todas as outras entidades aplicam-se os critérios qualitativos do artigo 23(3) NIS 2.
E se eu não tiver a certeza de que um incidente é significativo?
Documente a sua apreciação e os motivos. A decisão fundamentada é o que um auditor espera ver; a ausência de qualquer apreciação é a verdadeira falha.
Também tenho de notificar ao abrigo do RGPD?
Se houver dados pessoais envolvidos, verifique separadamente o artigo 33 RGPD. Tem o seu próprio prazo de 72 horas e um destinatário diferente.
O que acontece após a notificação?
O BSI pode solicitar mais informações, e o relatório final segue o mais tardar um mês após a notificação.