NIS2: perguntas frequentes

A União Europeia vai ainda alterar ou ajustar a Diretiva NIS 2?

A Diretiva NIS 2 (UE) 2022/2555 é direito da UE aplicável desde janeiro de 2023 e fixa o quadro vinculativo. Uma alteração só seria possível através de um novo procedimento legislativo da UE e não está atualmente prevista. Os refinamentos vêm antes através de atos de execução como o CIR (UE) 2024/2690, que detalha as medidas técnicas mínimas ao abrigo do artigo 21.o para determinadas entidades, e não através de uma reformulação da própria diretiva. Para as empresas, isto significa: o conteúdo está estabelecido, não espere por alterações, implemente as obrigações ao abrigo do direito aplicável.

Haverá financiamento federal para apoiar a implementação da NIS 2 nas empresas?

Um subsídio federal específico para a implementação da NIS 2 não está atualmente previsto. As obrigações ao abrigo do artigo 21.o da Diretiva NIS 2 são baseadas no risco e proporcionadas: o esforço escala com a dimensão, a exposição ao risco e a probabilidade de ocorrência, por isso uma empresa de média dimensão não precisa de uma solução de grupo empresarial. Os subsídios gerais de digitalização e consultoria dos governos federal e estaduais podem cofinanciar medidas individuais consoante o programa, o que se aconselha verificar junto do seu serviço de financiamento responsável ou da câmara de comércio (IHK). Por isso, planeie a implementação por sua conta, o financiamento não está garantido.

Qual é o estado atual do BSIG e quando entra em vigor a Lei de Implementação da NIS 2?

A Lei de Implementação da NIS 2 já está em vigor: o Bundestag adotou-a em 13 de novembro de 2025, o Bundesrat aprovou-a em 21 de novembro de 2025, a promulgação no Diário da República Federal ocorreu em 5 de dezembro de 2025 e a lei aplica-se desde 6 de dezembro de 2025. Isto faz entrar em vigor a Lei do BSI profundamente revista (BSIG na nova versão), que transpõe a Diretiva NIS 2 para o direito alemão. O prazo de registo de três meses após a entrada em vigor terminou em 6 de março de 2026. Quem esteja abrangido e ainda não se tenha registado deve fazê-lo sem demora (ver ../anwendungsbereich/nis2-registrierung).

Onde encontro o BSIG / a Lei de Implementação da NIS 2?

Encontra a Diretiva NIS 2 (UE) 2022/2555 em texto integral no EUR-Lex (Jornal Oficial L 333 de 27 de dezembro de 2022), e o regulamento de execução associado como CIR (UE) 2024/2690 também aí. A transposição alemã, ou seja, a Lei do BSI aplicável na sua nova versão, lê-se atualmente em gesetze-im-internet.de (BSIG). O texto de promulgação da Lei de Implementação da NIS 2 (uma lei omnibus) consta do Diário da República Federal de 5 de dezembro de 2025. Para a prática corrente, a versão consolidada do BSIG em gesetze-im-internet.de é a fonte mais simples.

Em que difere a Lei de Implementação da NIS 2 do BSIG?

O BSIG é a lei substantiva: uma lei individual autónoma que rege permanentemente as funções do BSI, bem como as obrigações das entidades essenciais e importantes. A Lei de Implementação da NIS 2, em contrapartida, é uma lei omnibus, ou seja, o invólucro legislativo que reformula o BSIG e ao mesmo tempo altera outras leis setoriais (por exemplo nas telecomunicações, na energia e no direito da segurança social) para transpor integralmente a Diretiva NIS 2 para o direito alemão. Em suma: a Lei de Implementação da NIS 2 cumpriu o seu papel na entrada em vigor e injetou as suas alterações nas leis em vigor. O que rege as suas obrigações do dia a dia é, por isso, o BSIG na sua nova versão, não o invólucro.

Uma empresa também pode ser regulada se os serviços relevantes não forem prestados na Alemanha?

Sim. O que importa não é onde um serviço é prestado, mas onde a entidade está estabelecida (artigo 26.o da Diretiva NIS 2, transposto na Alemanha pelos §§59 e 60 BSIG). Quem está estabelecido na Alemanha ou designou aqui um representante pode estar sujeito à supervisão alemã, mesmo que os clientes se situem no estrangeiro. Aplica-se uma regra especial aos prestadores de DNS, nuvem, centro de dados e similares, bem como aos prestadores de redes públicas de comunicações eletrónicas e serviços: para eles, é decisivo o estabelecimento principal na UE, ou seja, o Estado-Membro em que as decisões sobre as medidas de gestão de riscos são predominantemente tomadas. Qual o estabelecimento que conta em cada caso é exposto na página da wiki sobre uma sede fora da UE.

O que se entende exatamente pelo termo «negligenciável» no contexto do §28, n.o 3, BSIG, e segundo que critérios é feita essa classificação?

Negligenciável significa uma atividade cujo alcance, no quadro global da empresa, é tão reduzido que não tem peso para a classificação como entidade importante ou essencial. Os indicadores são o número de pessoas aí empregadas, o volume de negócios gerado por essa atividade e a parcela associada do balanço, cada um em relação ao conjunto da empresa. Nenhum número isolado decide por si só: o que importa é a visão global. Além disso, se a atividade também constar do objeto social (estatutos, contrato de sociedade), isso milita contra a negligenciabilidade. Em caso de dúvida, a atividade deve ser documentada e tratada de forma conservadora como não negligenciável.

As explorações próprias municipais (Eigenbetriebe) estão abrangidas pela NIS 2?

Não automaticamente. A pura atividade administrativa ao nível municipal rege-se em princípio pelo direito estadual (Landesrecht) e não pelo BSIG; o Conselho de Planeamento de TI (IT-Planungsrat) excluiu aqui expressamente o nível municipal. Uma exploração própria municipal só fica abrangida quando ela própria recai num dos setores cobertos (como energia, água, águas residuais, resíduos) e ou opera uma instalação crítica ou atinge os limiares de dimensão para entidades importantes ou essenciais. O decisivo é, por isso, a atividade concreta da exploração individual, não a forma jurídica de uma exploração própria (Eigenbetrieb). Para operadores de serviços públicos e de eliminação de resíduos, ajudam os testes da wiki, por exemplo serviço público municipal ou operador de eliminação de águas residuais.

A minha empresa recai no âmbito do BSIG / da Lei de Implementação da NIS 2?

Isso depende de três questões: setor, dimensão e casos especiais. Primeiro, a sua atividade tem de recair num dos setores nomeados no anexo I ou II da Diretiva NIS 2 (na Alemanha, anexos 1 e 2 do BSIG). Segundo, tem, em regra, de ter pelo menos 50 trabalhadores ou mais de 10 milhões de euros de volume de negócios anual e de balanço total anual (empresa de média dimensão ao abrigo da Recomendação 2003/361/CE); as empresas mais pequenas só ficam abrangidas em casos excecionais designados. Terceiro, há constelações que se aplicam independentemente da dimensão, por exemplo operadores de instalações críticas ou certos prestadores no setor da infraestrutura digital. A classificação é uma autoclassificação; o BSI não envia notificações. O teste completo é fornecido na página da wiki Quem está abrangido.

Como devem ser classificados os termos entidade essencial, importante e especialmente importante?

A Diretiva NIS 2 conhece duas classes: entidades essenciais (anexo I) e entidades importantes (anexo II), artigo 3.o da Diretiva NIS 2. O BSIG alemão adota isto, mas chama à classe superior entidade especialmente importante (§28, n.o 1, BSIG) e à outra entidade importante (§28, n.o 2, BSIG); essencial e especialmente importante significam, por isso, o mesmo nível. A diferença não reside nas obrigações de segurança, que são essencialmente as mesmas, mas na supervisão: as entidades especialmente importantes estão sujeitas a supervisão proativa, as entidades importantes apenas a supervisão a posteriori desencadeada por uma ocorrência concreta. Se recai na classe superior ou inferior decorre do setor, da dimensão e do estatuto de operador de uma instalação crítica.

Como se avalia a abrangência das entidades ao abrigo do §28, n.o 1, ponto 4, BSIG?

O §28, n.o 1, ponto 4, BSIG abrange as entidades dos tipos do anexo 1 que oferecem bens ou serviços a outra pessoa mediante remuneração e têm um volume de negócios anual superior a 50 milhões de euros e, ao mesmo tempo, um balanço total anual superior a 43 milhões de euros (transposição do artigo 3.o, n.o 1, da Diretiva NIS 2). A avaliação faz-se, por isso, em dois passos: a sua atividade pertence a um setor do anexo 1, e ultrapassa cumulativamente ambos os limiares financeiros? No cálculo têm de ser incluídas as empresas associadas e parceiras ao abrigo da Recomendação 2003/361/CE. Se ambos os limiares forem ultrapassados, conta entre as entidades especialmente importantes, sem que o número de trabalhadores importe.

Em que assentam os limiares de número de trabalhadores, volume de negócios anual e balanço total anual usados para classificar as categorias de empresa no artigo 2.o, n.o 1, da Diretiva NIS 2, em particular quanto à remissão para o artigo 2.o do anexo à Recomendação 2003/361/CE?

A Diretiva NIS 2 não define ela própria as categorias de dimensão, mas remete para a definição da UE de pequenas e médias empresas no artigo 2.o do anexo à Recomendação 2003/361/CE. Segundo esta: uma empresa de média dimensão tem menos de 250 trabalhadores e, ou no máximo 50 milhões de euros de volume de negócios anual, ou no máximo 43 milhões de euros de balanço total anual; uma pequena empresa fica abaixo de 50 trabalhadores e no máximo 10 milhões de euros para ambos os valores. A NIS 2 abrange em princípio as empresas a partir da dimensão média, ou seja, a partir de 50 trabalhadores ou mais de 10 milhões de euros de volume de negócios e balanço total. No cálculo aplicam-se as regras de associação e parceria da Recomendação, com exceção do artigo 3.o, n.o 4, do seu anexo.

O número de trabalhadores e o nível de volume de negócios referem-se a uma única exploração (sucursal) ou, se for o caso, ao conjunto da empresa?

O que importa é o conjunto da empresa, não a sucursal ou o estabelecimento individual. O número de trabalhadores, o volume de negócios e o balanço total determinam-se ao nível da pessoa coletiva, incluindo as empresas parceiras e associadas a ter em conta ao abrigo da Recomendação 2003/361/CE (§28, n.o 4, BSIG). Uma sucursal não deve, por isso, ser considerada por si só, mas como parte do todo. Algo diferente só se pode aplicar se uma parte da exploração trabalhar comprovadamente de forma totalmente autónoma em termos de sistemas, componentes e processos de TI.

As empresas associadas que não atuam na Alemanha ou não na UE têm de ser incluídas no cálculo das métricas dos limiares de dimensão?

Sim. No cálculo dos limiares, as empresas parceiras e associadas ao abrigo da Recomendação 2003/361/CE têm de ser plenamente incluídas, independentemente de estarem situadas na Alemanha, noutro Estado-Membro da UE ou fora da UE (§28, n.o 4, BSIG em conjugação com a Recomendação). Os trabalhadores, o volume de negócios e o balanço total das empresas associadas são, por isso, adicionados proporcionalmente ou na totalidade numa base mundial. A localização geográfica de uma empresa-mãe ou irmã nada altera quanto à sua inclusão. Se a sua empresa fica depois efetivamente sujeita à supervisão alemã determina-se separadamente pela questão do estabelecimento (artigo 26.o da Diretiva NIS 2).

Se uma empresa-mãe e uma filial com TI partilhada forem, cada uma, atribuíveis a um dos tipos de entidade abrangidos e cumprirem (em conjunto) a regra dos limiares de dimensão, ficam então ambas as empresas abrangidas, ou basta que os requisitos sejam cumpridos pelo grupo da empresa-mãe?

Ambas ficam abrangidas. A NIS 2 prende-se à pessoa coletiva individual: se a empresa-mãe e a filial forem, cada uma, atribuíveis a um setor abrangido e atingirem os limiares, cada uma é, por direito próprio, uma entidade com as suas próprias obrigações ao abrigo dos §§30 e seguintes BSIG. A TI usada em conjunto nada altera quanto a isto e não isenta a filial. Na prática, a gestão de riscos, a comunicação e a prova podem ser organizadas e partilhadas centralmente, mas a responsabilidade jurídica permanece separada para cada entidade. O registo e a conformidade têm, por isso, de ser assegurados de forma independente para cada empresa abrangida.

A quem se pode recorrer se, apesar da verificação de abrangência do BSI, persistirem dúvidas sobre a abrangência no caso individual concreto?

O BSI publica um autoteste em linha (verificação de abrangência) para a classificação básica, mas não presta aconselhamento juridicamente vinculativo sobre casos individuais e não emite notificações declaratórias. Se persistirem dúvidas após o autoteste, um exame jurídico do caso individual concreto é a via limpa, por exemplo por advogados ou consultores especializados em NIS 2. Documente a sua classificação e os números subjacentes de forma compreensível, porque em caso de dúvida tem de poder justificar você próprio a autoclassificação. Como registar esta classificação de forma limpa é mostrado na página da wiki sobre autoclassificação.

Gostaria de requerer uma isenção da NIS 2. Isso é possível?

Não. Não existe um procedimento baseado em pedido pelo qual uma entidade possa fazer-se isentar da NIS 2. As poucas exceções estão estabelecidas na própria lei (§37 BSIG, com base no artigo 2.o da Diretiva NIS 2) e residem exclusivamente na iniciativa das autoridades federais aí nomeadas, por exemplo para certas atividades na área da segurança nacional, defesa ou aplicação da lei. O BSI não pode requerer nem conceder tais exceções. Se considera que não está abrangido, a via correta não é, por isso, um pedido, mas uma autoclassificação limpa e documentada que prove que os limiares de setor ou dimensão não são cumpridos.

As entidades essenciais e importantes têm, entre outras coisas, de submeter os seus intervalos de endereços IP públicos ao abrigo da Lei de Implementação da NIS 2. Que informações têm de ser prestadas aqui?

No registo, o artigo 27.o da Diretiva NIS 2 (transposto na Alemanha no §33 BSIG) exige o nome e a forma jurídica, o endereço, os contactos atuais, o setor relevante, uma lista dos Estados-Membros em que os serviços são prestados e, de facto, os intervalos de endereços IP públicos. Isto refere-se apenas aos intervalos de endereços estáticos, publicamente encaminhados, sob os quais a sua entidade é alcançável do exterior ou opera sistemas críticos. Os endereços dinâmicos e os intervalos IP que atribui aos seus clientes finais não estão incluídos. Na prática, indica, por isso, as suas próprias redes registadas (frequentemente em notação CIDR), não cada endereço individual. O procedimento e os prazos são explicados em /wiki/anwendungsbereich/nis2-registrierung.

Como são definidos os serviços digitais?

A Diretiva NIS 2 não introduz um único termo guarda-chuva «serviço digital», mas nomeia três tipos específicos no artigo 6.o: mercado em linha, motor de pesquisa em linha e plataforma de serviços de rede social. Cada um destes é um serviço na aceção da Diretiva (UE) 2015/1535, ou seja, um serviço normalmente prestado mediante remuneração, à distância, por via eletrónica e a pedido individual de um destinatário. Estes três prestadores pertencem ao setor dos serviços digitais no anexo I da diretiva. A computação em nuvem, os centros de dados, a CDN e os serviços comparáveis são categorias separadas de infraestrutura digital, não parte desta definição. Verifique o seu caso concreto em /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Que estratégias são necessárias para integrar de forma juridicamente conforme requisitos legais possivelmente divergentes para implementar a NIS 2, como os existentes na Alemanha e noutros pontos da Europa, num único sistema de gestão de segurança da informação (ISMS) e para o assegurar continuamente?

Construa o seu ISMS sobre o alicerce comum da UE: as obrigações ao abrigo do artigo 21.o da Diretiva NIS 2 e os requisitos técnicos mínimos do regulamento de execução CIR 2024/2690 aplicam-se de forma idêntica em todos os Estados-Membros e formam o núcleo. Sobre este núcleo acrescenta, como camada, as especificidades nacionais dos países em que opera, por exemplo regras de notificação divergentes ou obrigações adicionais. Na prática, isto significa: um conjunto de medidas e provas, mais um registo que documenta para cada país o desvio e a autoridade competente. Onde os países são diferentemente rigorosos, cumpre o nível mais elevado em todo o grupo, e fica então conforme em toda a parte. Normas reconhecidas como a ISO 27001 ou o IT-Grundschutz do BSI fornecem o quadro comum para isto.

O que significa «estado da técnica»? Existe uma definição para isso?

Não há uma definição jurídica fixa, e isso é intencional: o estado da técnica descreve o que está atualmente estabelecido e comprovado na prática como medidas de segurança eficazes, e desenvolve-se ao longo do tempo. O artigo 21.o, n.o 1, da Diretiva NIS 2 (na Alemanha, §30 BSIG) exige que o tenha em conta e que recorra para tal às normas europeias e internacionais relevantes. O referencial são, por isso, obras reconhecidas como a ISO/IEC 27001, o IT-Grundschutz do BSI ou orientações da ENISA, não o que for mais recente no mercado. As medidas têm também de ser proporcionadas: a situação de risco, a dimensão da entidade e os custos de implementação são tidos em conta. Oriente-se pelas normas atuais e documente por que a sua escolha se adequa ao risco.

Questões sobre a classificação de empresas de grupo e os serviços de TI que prestam no contexto da classificação como prestador de serviços geridos (MSP)

Existe um serviço gerido ao abrigo do artigo 6.o, ponto 39, da Diretiva NIS 2 quando um prestador instala, opera, gere ou mantém sistemas ou aplicações de TI para outrem e assume com isso a responsabilidade operacional. O decisivo é essa responsabilidade operacional, não a pertença ao grupo. Uma empresa de TI central que administra ativamente sistemas para empresas irmãs pode, por isso, ela própria qualificar-se como MSP e recair de forma independente no âmbito. Uma sociedade gestora de participações pura, que apenas trata da direção do negócio sem operar os sistemas de outrem, não é, em contrapartida, um MSP. Verifique separadamente, para cada empresa do grupo, quem efetivamente opera que serviços: /wiki/anwendungsbereich/bin-ich-msp-managed-service-provider.

As empresas que operam instalações críticas ao abrigo do quadro jurídico antigo (BSIG antes de 6 de dezembro de 2025 em conjugação com a BSI-KritisV) e têm a sua sede no estrangeiro continuam a ser operadores KRITIS após a entrada em vigor do BSIG (nova versão)?

Sim. Para os operadores KRITIS, o que conta é onde a instalação crítica está situada e presta serviços de abastecimento na Alemanha, não onde está a sede do grupo. Quem opera uma instalação que atinge os limiares da regulação KRITIS na Alemanha permanece, por isso, operador KRITIS também ao abrigo do novo BSIG, independentemente de uma sede social no estrangeiro. A situação difere apenas para certos serviços transfronteiriços (como partes da infraestrutura digital), para os quais o artigo 26.o da Diretiva NIS 2 prevê a sua própria regra de jurisdição. Mais sobre a questão da sede social em /wiki/anwendungsbereich/nis2-hauptsitz-ausserhalb-eu.

Opero um servidor DNS a título privado. Tenho de me registar no portal do BSI e submeter notificações?

Não. A Diretiva NIS 2 dirige-se às entidades que oferecem um serviço abrangido a título comercial, não aos operadores privados por hobby. No setor da infraestrutura digital, regulam-se os prestadores de serviços DNS e os registos de nomes TLD que prestam esses serviços como organização para terceiros (artigo 3.o e anexo I da diretiva). Um servidor DNS operado a título privado, sem prestação comercial de serviços, não está abrangido, por isso não há registo e não há obrigações de notificação. Assim que isto se torne um serviço oferecido a terceiros, a classificação muda.

Uma empresa que está em princípio sujeita à NIS 2 mas está a ser liquidada a curto prazo e já não exerce qualquer atividade operacional significativa deve ainda ser classificada como entidade importante ou essencial?

Enquanto a empresa existir juridicamente e continuar a prestar o serviço abrangido, permanece uma entidade importante ou essencial, incluindo durante a liquidação. A classificação ao abrigo do artigo 3.o da Diretiva NIS 2 prende-se à atividade efetiva, não à intenção de cessar. Se a entidade descontinuar permanentemente as atividades operacionais abrangidas, a condição deixa de se aplicar e com ela a cobertura pelo âmbito; até lá, as obrigações continuam a aplicar-se. Uma mera cessação de operações anunciada mas ainda não concluída não basta. Enquanto os sistemas dignos de proteção estiverem em funcionamento, o registo e a gestão de riscos continuam devidos.

Os serviços SaaS oferecidos de forma independente devem ser classificados como serviços de computação em nuvem na aceção do BSIG se correm na infraestrutura de prestadores de nuvem externos e o prestador de SaaS não opera ele próprio os recursos de computação?

O decisivo é a definição de um serviço de computação em nuvem no artigo 6.o, ponto 30, da Diretiva NIS 2: um serviço que permite a administração a pedido e o acesso remoto alargado a um conjunto escalável e elástico de recursos de computação partilháveis. O que importa é o que oferece ao exterior, não se o hardware subjacente lhe pertence. Uma oferta SaaS pode cumprir estas características mesmo que corra em infraestrutura de terceiros. Se, em contrapartida, o seu SaaS oferece uma aplicação especializada claramente definida sem estas características de nuvem, não é um serviço de computação em nuvem na aceção da diretiva. Verifique as características concretas em /wiki/anwendungsbereich/bin-ich-cloud-anbieter-nis2.

A distinção entre responsabilidade comercial e operacional, decisiva para os MSP, é também transponível para outros serviços do setor da infraestrutura digital (ou outros setores do BSIG)?

A distinção entre responsabilidade comercial e operacional é uma ideia de teste útil, mas não substitui a respetiva definição jurídica. Para cada tipo de serviço aplica-se primeiro a redação do artigo 6.o da Diretiva NIS 2, por exemplo para serviço de computação em nuvem, serviço de centro de dados ou prestador de serviços DNS. Para muitos destes serviços, a classificação cabe a quem efetivamente presta e opera o serviço, ou seja, a quem assume a responsabilidade operacional. A mera responsabilidade comercial ou contratual sem operação própria não estabelece, em geral, o papel de entidade. Aplique o critério, por isso, por tipo de serviço com base na definição aí prevista, não como regra geral.

Recaio sob a definição de prestador de serviços de confiança?

Os prestadores de serviços de confiança estão definidos no artigo 3.o do Regulamento eIDAS (UE) n.o 910/2014: prestadores de serviços eletrónicos de confiança como assinaturas e selos eletrónicos, validação cronológica, serviços de envio registado eletrónico ou certificados de autenticação de sítios Web. Se oferece tal serviço a título comercial, recai sob esta definição e, assim, no âmbito da NIS 2. Os prestadores qualificados de serviços de confiança contam, neste aspeto, como entidades essenciais, independentemente da sua dimensão. Quem usa assinaturas ou certificados apenas internamente, sem os oferecer como serviço, não é prestador de serviços de confiança. Uma verificação detalhada encontra-se em /wiki/anwendungsbereich/bin-ich-vertrauensdiensteanbieter-nis2.

No setor «produção, fabrico e comércio de substâncias químicas», quanto ao «comércio de substâncias químicas», recai no âmbito qualquer comércio de produtos finais constituídos por substâncias químicas?

Não, não qualquer comércio de produtos que contenham químicos. O anexo II da Diretiva NIS 2 abrange o fabrico e o comércio de substâncias e misturas químicas, bem como a produção de artigos a partir dessas substâncias, em cada caso na aceção do Regulamento REACH (CE) n.o 1907/2006. O que se entende são, por isso, substâncias e misturas enquanto tais, não qualquer produto final que tenha sido a dado momento fabricado a partir de químicos. Quem comercializa artigos acabados (como móveis ou eletrónica) não exerce comércio de substâncias químicas neste sentido. Além disso, têm de ser cumpridos os critérios de dimensão para que surja a cobertura pelo âmbito.

Como determino o código NACE da minha empresa?

Determina o código NACE (mapeado na Alemanha como código WZ, atualmente WZ 2025) de acordo com a sua atividade económica principal, ou seja, a atividade com que gera a maior parcela de valor acrescentado ou de volume de negócios. Os pontos de referência são a sua inscrição no registo comercial ou no registo de empresas e o código mantido pelo Serviço Federal de Estatística ou pela sua IHK. Se a sua empresa exerce várias atividades, atribua cada uma à classe adequada e verifique cada uma individualmente quanto à cobertura pelo âmbito. Também pode encontrar o código através da base de dados de classificação do Serviço Federal de Estatística. O decisivo para a NIS 2 é o que efetivamente faz, não apenas o código registado.

Que papel desempenham os códigos NACE na determinação de se uma entidade recai no âmbito?

Os códigos NACE são uma ajuda de orientação, mas não o critério jurídico. Se recai no âmbito rege-se pelos setores e tipos de entidade dos anexos I e II da Diretiva NIS 2 em conjunto com os limiares de dimensão, não pela mera atribuição de código. O código NACE ou WZ ajuda-o a atribuir a sua atividade a um destes setores, mas não substitui a avaliação substantiva. Pode acontecer que um código se adapte aproximadamente mas a atividade não recaia sob a definição jurídica, e vice-versa. O que permanece decisivo é a sua atividade efetiva medida face à definição: encontra o teste completo em /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

As empresas têm de constituir uma equipa de crise para tratar incidentes?

Não, uma equipa de crise formal não é exigida por lei. O artigo 21.o, n.o 2, alínea c), da Diretiva NIS 2 (transposto no §30 BSIG) exige medidas de continuidade do negócio e de gestão de crises, mas deixa em aberto como organiza isto. O que importa é que as responsabilidades, a disponibilidade e os procedimentos para uma emergência estejam definidos e ensaiados. Numa exploração de duas pessoas, isto pode ser um curto conjunto de instruções; em organizações maiores, uma equipa designada. O referencial é a proporcionalidade ao abrigo do artigo 21.o, n.o 1.

A análise de riscos exigida ao abrigo da Lei de Implementação da NIS 2 refere-se ao conjunto da empresa ou especificamente às ciberameaças e ao seu impacto nos sistemas de TI?

Refere-se aos riscos para as suas redes e sistemas de informação, não a uma análise geral de riscos empresariais. O artigo 21.o, n.o 2, alínea a), da Diretiva NIS 2 (§30 BSIG) nomeia expressamente políticas de análise de riscos e de segurança dos sistemas de informação. Isto significa os sistemas com que processa, armazena ou transmite informação, e as ameaças que põem em perigo a sua disponibilidade, integridade e confidencialidade. O âmbito não é rígido: segue o risco efetivo e a importância dos sistemas para as suas operações (artigo 21.o, n.o 1).

A minha empresa cumpre os critérios para qualificar como entidade essencial ou operador KRITIS, ou como entidade importante. Que obrigações têm de ser cumpridas?

Três conjuntos de obrigações aplicam-se igualmente a ambas as categorias. Primeiro, o registo junto do BSI incluindo contactos (artigo 27.o, §33 BSIG). Segundo, as medidas de gestão de riscos do catálogo do artigo 21.o, n.o 2 (§30 BSIG), que vão da análise de riscos, passando pelo tratamento de incidentes e pela cadeia de abastecimento, até à criptografia e ao controlo de acessos. Terceiro, a comunicação escalonada de incidentes de segurança significativos ao abrigo do artigo 23.o (§32 BSIG): alerta precoce no prazo de 24 horas, confirmação no prazo de 72 horas, relatório final após um mês. A diferença reside na supervisão: as entidades essenciais são supervisionadas proativamente, as entidades importantes numa base a posteriori. Encontra o teste de classificação completo em Wer ist betroffen.

A partir de quando se aplicam as obrigações do BSIG / da Lei de Implementação da NIS 2?

As obrigações aplicam-se diretamente assim que a transposição alemã entra em vigor. A Lei de Implementação da NIS 2 foi promulgada em 5 de dezembro de 2025 e entrou em vigor em 6 de dezembro de 2025. As obrigações de gestão de riscos e de comunicação aplicam-se, por isso, a partir desse momento; não está previsto um período de tolerância separado para as medidas substantivas. Apenas o registo tem o seu próprio prazo (§33 BSIG), ver Registrierung.

Haverá um período de transição?

Para as obrigações substantivas de segurança não há um período de transição geral. Quem recair no âmbito tem de cumprir as medidas ao abrigo do artigo 21.o (§30 BSIG) a partir do momento em que se aplicam. Apenas o registo é escalonado no tempo: tem de ser efetuado no prazo de três meses a contar do momento em que se qualifica como entidade (§33 BSIG). Os operadores KRITIS cujo prazo de prova existente recaiu nos primeiros doze meses após a entrada em vigor podem, à sua escolha, usar a sua data original.

Que requisitos são impostos à disponibilidade das entidades importantes e essenciais?

Tem de dar ao BSI um ponto de contacto alcançável, em regra um número de telefone e um endereço de e-mail, e manter estes dados atualizados (artigo 27.o, §33 BSIG). Por este canal, o BSI entrega relatórios de incidentes, alertas e pedidos de seguimento. A lei não prescreve qualquer qualificação especial para as pessoas por detrás dele. O que importa é apenas que o ponto de contacto seja efetivamente alcançável e que os relatórios possam ser processados prontamente, para que o alerta precoce de 24 horas ao abrigo do artigo 23.o funcione. Para os operadores KRITIS aplicam-se adicionalmente requisitos de disponibilidade mais estritos.

Externalizámos totalmente a nossa TI a prestadores de serviços externos. Que obrigações temos então, enquanto entidade importante, de cumprir afinal?

Pode externalizar a operação, mas não a responsabilidade. As obrigações ao abrigo do §30 BSIG continuam dirigidas à sua entidade, não ao prestador de serviços. Em concreto, isto significa: tem de gerir a segurança da cadeia de abastecimento (artigo 21.o, n.o 2, alínea d)), ou seja, assegurar contratualmente que o seu prestador de serviços implementa medidas adequadas e lhe comunica os incidentes. O registo, a comunicação de incidentes significativos ao abrigo do artigo 23.o e a aprovação e supervisão das medidas pela administração (artigo 20.o, §38 BSIG) permanecem consigo. Mais sobre isto em Bin ich MSP-Kunde.

A partir de quando conta o sistema fotovoltaico no telhado da empresa como infraestrutura crítica?

Um sistema de telhado para autoabastecimento não é, em regra, infraestrutura crítica. O estatuto KRITIS só surge quando uma instalação de produção de energia atinge o limiar da BSI-KritisV, atualmente 104 megawatts de potência nominal líquida instalada (anexo 1, setor da energia). O decisivo é a injeção no abastecimento geral, não o autoconsumo. A classificação como instalação crítica produz, além disso, efeitos apenas em 1 de abril do ano seguinte àquele em que o limiar é atingido pela primeira vez. Um sistema de telhado típico situa-se ordens de grandeza abaixo disto.

As empresas têm de demonstrar o cumprimento dos requisitos?

Sim, tem de poder comprovar a implementação, mas a forma da prova difere por categoria. As entidades essenciais e importantes estão sujeitas à supervisão do BSI (artigos 32.o e 33.o, §§61 e seguintes BSIG): o BSI pode pedir informações, documentos e inspeções, mas uma certificação obrigatória regular não está prescrita para elas. Deve, por isso, documentar políticas, medidas e tratamento de incidentes de modo a poder apresentá-los a pedido. Uma obrigação periódica de prova em sentido estrito aplica-se apenas aos operadores KRITIS.

Sou operador KRITIS. Quando tenho de submeter os meus documentos de prova de acordo com o BSIG / a Lei de Implementação da NIS 2?

Os operadores KRITIS demonstram o cumprimento dos requisitos ao BSI de três em três anos (§39 BSIG); o ciclo de auditoria foi prolongado de dois para três anos. O BSI notificou individualmente os operadores registados das suas novas datas de submissão. Se a sua data anterior recaiu nos primeiros doze meses após a entrada em vigor, pode, à sua escolha, usar a data original. O decisivo é sempre a data que lhe foi concretamente indicada, não uma data-limite geral.

Como posso demonstrar que a minha empresa está a implementar as medidas exigidas?

Fornece a prova através da sua própria documentação: a sua gestão de riscos, as medidas técnicas e organizativas que tomou e a prova de que estas são eficazes (políticas, configurações, relatórios de auditoria, registos de formação). A disposição que rege é o artigo 21.o da Diretiva NIS 2 (UE) 2022/2555, transposto na Alemanha no § 30 BSIG; o CIR (UE) 2024/2690 detalha as medidas para certos tipos de entidade. Um certificado emitido por um organismo externo pode apoiar esta documentação, mas não a substitui: o que importa é que os seus registos cubram os requisitos legais específicos. Uma obrigação de submeter prova ao BSI só surge quando o BSI ordena uma inspeção (§ 61 BSIG) ou recai sob a obrigação regular de prova como operador de instalações críticas (§ 39 BSIG).

O IT-Grundschutz do BSI é obrigatório para todas as entidades abrangidas pela NIS 2?

Não. O artigo 21.o da Diretiva NIS 2 e o § 30 BSIG não prescrevem qualquer procedimento concreto, mas exigem medidas adequadas, proporcionadas e eficazes em consonância com o estado da técnica. O IT-Grundschutz é a metodologia publicada pelo BSI com que estes requisitos podem ser cumpridos de forma limpa, e os organismos de avaliação aceitam-na. Pode cumprir as obrigações de igual modo através da ISO 27001 ou de outro ISMS reconhecido, desde que as medidas cubram os seus riscos específicos. O que importa não é o nome da norma, mas que os pontos enumerados no § 30 sejam efetivamente implementados e documentados.

Além da ISO 27001 e do Grundschutz do BSI, uma certificação da empresa ao abrigo da VdS 10000 também é suficiente para cumprir os requisitos da Lei de Implementação da NIS 2?

A VdS 10000 pode ser um ponto de partida sensato, mas por si só não cobre automaticamente todos os requisitos do § 30 BSIG e do artigo 21.o da Diretiva NIS 2. Nenhum certificado, nem mesmo a ISO 27001 ou o IT-Grundschutz, é uma prova geral de conformidade: o que permanece decisivo é se as suas medidas cobrem as áreas exigidas por lei de forma completa e proporcionada ao risco. Por isso, use a VdS 10000 como um dos blocos da sua gestão de riscos e concilie-a especificamente face aos requisitos do § 30, a fim de fechar quaisquer lacunas (por exemplo na cadeia de abastecimento ou na comunicação).

Se uma certificação ISO 27001 não é suficiente para cumprir os requisitos ao abrigo do BSIG, como podem os clientes ter a garantia de que a minha empresa é conforme com a NIS 2? Tem de se divulgar todo o ISMS para isso?

Não, não tem de divulgar todo o seu ISMS. Perante os clientes, demonstra normalmente a conformidade com o artigo 21.o da Diretiva NIS 2 e o § 30 BSIG através de prova direcionada: um certificado ISO 27001 juntamente com uma Declaração de Aplicabilidade correspondente, uma declaração de conformidade NIS 2, questionários de fornecedor preenchidos ou resumos de auditoria individuais. O que importa é que esta prova reflita as medidas relevantes para a relação comercial, não todo o seu corpo de regras interno. Uma obrigação formal de prova perante o BSI existe apenas para os operadores de instalações críticas (§ 39 BSIG) ou mediante ordem (§ 61 BSIG); perante os clientes, aplica-se o que acorda contratualmente.

Existem requisitos de certificação obrigatórios para aconselhar empresas e entidades no contexto da NIS 2, e como se aplica isto na realização de inspeções para produzir prova?

Para o próprio trabalho de aconselhamento, nem a Diretiva NIS 2 nem o BSIG nomeiam uma certificação obrigatória: qualquer pessoa pode aconselhar, e uma acreditação de consultores não é exigida por lei. É diferente para as inspeções formais de prova para os operadores de instalações críticas ao abrigo do § 39 BSIG: estas são realizadas através de auditorias de segurança, exames ou certificações de três em três anos, e o BSI fixa os requisitos para os organismos que as realizam. Se o BSI ordenar uma inspeção noutras entidades essenciais (§ 61 BSIG), os seus requisitos aplicam-se em conformidade. Por isso, preste atenção à qualificação do organismo de inspeção onde a lei exige uma inspeção formal, não já no caso de mero aconselhamento.

O requisito do §30, n.o 2, ponto 4, BSIG relativo à segurança da cadeia de abastecimento pode ser cumprido exigindo certificados (ISO 27001, TISAX, etc.) aos fornecedores ou prestadores de serviços diretos?

Não, um certificado por si só não cumpre o requisito. O artigo 21.o, n.o 2, alínea d), da Diretiva NIS 2, transposto na Alemanha no §30, n.o 2, ponto 4, BSIG, exige um conceito próprio para a segurança da cadeia de abastecimento: tem de avaliar os riscos de cada fornecedor direto, definir critérios de seleção e monitorizar o conjunto ao longo do prazo do contrato. Um certificado ISO 27001 ou TISAX é aqui um bloco útil e pode facilitar a avaliação, mas não substitui a sua própria avaliação baseada no risco, porque o âmbito de um certificado cobre muitas vezes apenas partes do fornecedor. Por isso, verifique exatamente o que está certificado e documente por que o certificado é suficiente para o serviço que adquire.

O que aconselha às empresas abrangidas pelo BSIG exigir aos fabricantes de software e prestadores de serviços?

Defina requisitos de segurança concretos e verificáveis e inscreva-os nos contratos, em vez de confiar em garantias gerais. Itens sensatos são: prova verificável do fabricante sobre a segurança do produto (como estratégia de patches, tratamento de vulnerabilidades, período de suporte), um dever de o prestador comunicar incidentes de segurança que salvaguarde o seu próprio prazo de 24 horas ao abrigo do artigo 23.o NIS 2 (§32 BSIG), bem como um questionário de fornecedor normalizado e preenchido. Para catálogos de perguntas e requisitos mínimos alinhados a nível setorial, o BSI remete para os trabalhos do UP KRITIS. Para prestadores de serviços altamente interligados, como os prestadores de serviços geridos, aplicam-se expectativas adicionais (ver ./bin-ich-msp-managed-service-provider).

Quando é possível o registo ao abrigo do §33, n.o 1, BSIG no portal do BSI, como se efetua o registo e como funciona o processo de comunicação ao abrigo do §32 BSIG?

O registo é possível assim que se qualifica como entidade abrangida, e tem de ter lugar no prazo de três meses depois de recair no âmbito pela primeira vez ou de novo (NIS 2 artigo 27.o, na Alemanha §33, n.o 1, BSIG). O processo tem duas fases: primeiro cria uma conta com a Mein Unternehmenskonto (MUK) usando o certificado de organização ELSTER, depois regista a entidade no portal do BSI. Posteriormente, comunica os incidentes de segurança também através do portal do BSI, seguindo o procedimento em três passos de alerta precoce, relatório de seguimento e relatório final (NIS 2 artigo 23.o, na Alemanha §32 BSIG). Encontra um guia passo a passo em Registo.

O que está o BSI a fazer para apoiar as empresas relativamente aos registos NIS 2 em falta?

O BSI fornece uma verificação de aplicabilidade, uma secção de FAQ, pacotes de informação e webinários para que as entidades possam avaliar e cumprir elas próprias a sua obrigação de registo (base: NIS 2 artigo 27.o, §33 BSIG). Se está de todo abrangido é algo que primeiro esclarece com base no setor e na dimensão. Encontra o autoteste completo em Quem está abrangido.

Como pode uma empresa registar componentes críticos?

Os componentes críticos só dizem respeito aos operadores de instalações críticas (a antiga lógica KRITIS), não a toda a entidade NIS 2, e são comunicados de forma específica por setor. O setor da energia usa para isto modelos Excel cifrados, o setor das telecomunicações usa os seus próprios modelos com cifragem PGP. Se não é operador de uma instalação crítica, este passo não é relevante para si; o que importa então é apenas o registo da entidade ao abrigo do §33 BSIG.

O registo no portal do BSI pode ser efetuado para uma entidade que não tem um número de identificação fiscal alemão?

Sim. A Mein Unternehmenskonto exige, de facto, um número de identificação fiscal alemão, mas as entidades estrangeiras podem requerer um junto da repartição de finanças de Neubrandenburg (Referat RAB). Envia o formulário de pedido para o endereço aí indicado e recebe o número de identificação fiscal por correio; ao criar a conta, seleciona Mecklemburgo-Pomerânia Ocidental como estado federado. Se a sua sede se situar fora da UE, deve adicionalmente verificar a obrigação de designar um representante na UE em Sede fora da UE.

Durante o registo no portal do BSI tem de indicar os Estados-Membros da UE em que presta um «serviço». O que se entende por isto?

O que se entende é a atividade que faz a sua entidade recair no âmbito em primeiro lugar, ou seja, o seu serviço central no respetivo setor, não cada serviço acessório e não cada local onde apenas os seus produtos são usados. Tem de indicar os Estados-Membros em que efetivamente presta este serviço (ligado ao NIS 2 artigo 26.o sobre jurisdição). Se atua em vários países, ajuda a classificação em Autoclassificação.

As empresas com atividade internacional podem efetuar o seu registo e a comunicação de incidentes de segurança centralmente no BSI e, com isso, cumprir ao mesmo tempo as suas obrigações ao abrigo da Lei de Implementação da NIS 2 para todos os Estados-Membros da UE?

O princípio de uma jurisdição única na sede aplica-se apenas a um grupo estritamente limitado de serviços digitais: serviços DNS, registos TLD, prestadores de nuvem e centro de dados, prestadores de serviços geridos, redes de distribuição de conteúdos e plataformas em linha registam-se centralmente junto da autoridade da sua sede (NIS 2 artigos 26.o e 27.o, na Alemanha §60 BSIG). Todas as outras entidades estão sujeitas à supervisão de cada Estado-Membro em que atuam e têm de se registar e comunicar separadamente em cada um desses Estados. Um registo único junto do BSI não cobre, por isso, em geral as suas obrigações nos outros países.

Tenho perguntas sobre o portal do BSI e o registo. O BSI também presta informações sobre isto?

Sim. O BSI mantém a sua própria secção de FAQ especificamente sobre o portal do BSI e o procedimento de registo e fornece aí guias e ajuda. Para questões técnicas sobre a Mein Unternehmenskonto, contacte o respetivo apoio; para questões de conteúdo sobre o registo NIS 2, use os canais de contacto do BSI. Resumimos o processo de registo em Registo.

Enquanto entidade regulada pela DORA, tenho de me registar junto do BSI?

Sim, a obrigação de registo ao abrigo do §33 BSIG mantém-se mesmo que recaia sob a DORA como entidade financeira. A DORA é lex specialis para as obrigações substantivas de segurança e comunicação: como entidade regulada pela DORA está isento dos §§30, 31, 32, 35, 36, 38 e 39 BSIG e comunica os incidentes que dizem respeito exclusivamente a entidades DORA ao abrigo das regras DORA, em vez de ao abrigo do §32 BSIG (base: NIS 2 artigo 4.o). Tem, ainda assim, de efetuar a inscrição no portal do BSI.

Que objetivo persegue o BSI com a obrigação de notificação? A notificação o mais rápida possível com o risco de um incidente ocorrido não ter conduzido a uma ameaça efetiva, ou realmente só comunicar incidentes relevantes em que uma ameaça se concretizou? Como são definidos especificamente para a obrigação de notificação os termos tomada de conhecimento (Kenntniserlangung) e incidente de segurança?

O objetivo é a rapidez sobre a completude: o art. 23.o da Diretiva NIS 2 (transposto no §32 BSIG) exige um alerta precoce no prazo de 24 horas, uma notificação no prazo de 72 horas e um relatório final no prazo máximo de um mês. O prazo curto de 24 horas destina-se a dar à autoridade uma imagem situacional precoce para que outras entidades possam ser alertadas. É melhor comunicar demasiado cedo e com incerteza do que demasiado tarde. Tomada de conhecimento significa o momento a partir do qual a sua entidade pode avaliar o incidente com razoável certeza como significativo (não só após uma análise de causa raiz concluída), e o prazo de 24 horas corre a partir desse momento. Um incidente de segurança é significativo ao abrigo do art. 23.o, n.o 3, da Diretiva NIS 2 se tiver causado ou for suscetível de causar uma perturbação operacional grave ou perdas financeiras, ou se tiver afetado ou for suscetível de afetar outras pessoas causando danos materiais ou imateriais consideráveis.

Será possível efetuar notificações voluntárias sobre incidentes de segurança?

Sim. O art. 30.o da Diretiva NIS 2 (transposto no §35 BSIG) prevê expressamente notificações voluntárias, inclusive para entidades que não recaem de todo sob a NIS 2, e para incidentes abaixo do limiar de significância. As notificações voluntárias são processadas da mesma forma que as notificações obrigatórias, mas com prioridade inferior: as notificações obrigatórias têm precedência. Uma notificação voluntária não dá origem a quaisquer obrigações adicionais, e não pode ser interpretada em desfavor da entidade notificante.

As notificações de incidentes podem ser submetidas em inglês?

A língua de processo da autoridade é o alemão, por isso as notificações devem ser feitas em alemão. No entanto, devido ao prazo curto de 24 horas ao abrigo do art. 23.o da Diretiva NIS 2, aplica-se o seguinte: um alerta precoce rápido em inglês é melhor do que um tardio em alemão. Por isso, se necessário, submeta primeiro em inglês e acrescente os detalhes em língua alemã nas notificações de seguimento.

Como se deve proceder no caso de um incidente de segurança relevante para a NIS 2 com potenciais efeitos em locais de exploração em vários Estados-Membros da UE, quando o estabelecimento principal da empresa afetada se situa na Alemanha? Além do BSI, têm também de ser informadas as autoridades competentes dos outros Estados afetados?

Aplica-se o princípio do país de origem ao abrigo do art. 26.o da Diretiva NIS 2: se o seu estabelecimento principal está na Alemanha, é, em princípio, supervisionado para efeitos de jurisdição apenas na Alemanha e comunica o incidente apenas uma vez ao BSI. Não tem de informar você próprio as autoridades dos outros Estados-Membros afetados. A partilha transfronteiriça é tratada pelas autoridades entre si através da rede de CSIRT e do Grupo de Cooperação. Uma notificação múltipla em cada país afetado não é, por isso, exigida. Aplica-se uma exceção aos prestadores de serviços digitais de DNS, nuvem, centro de dados e similares, cuja jurisdição é determinada pela localização do seu estabelecimento principal na UE.

Se partes da minha empresa estão afetadas pela DORA e outras partes pela NIS 2, o meu prestador de serviços de TI tem de comunicar os incidentes de segurança duas vezes?

Não, não há necessidade de comunicar duas vezes. A DORA é a regra mais específica em relação à NIS 2 (art. 4.o DORA, art. 1.o, n.o 2, da Diretiva NIS 2 e §1, n.o 6, BSIG): na medida em que um incidente diz respeito à área DORA, os canais e prazos de notificação da DORA têm precedência e afastam a obrigação de notificação NIS 2 nessa medida. O que importa é qual a regra que cobre o serviço afetado, não a empresa no seu todo. Esclareça contratualmente com o seu prestador de serviços de TI, com antecedência, ao abrigo de que regra ele comunica que incidente a que autoridade.

Está prevista para o futuro uma solução europeia para o registo e a notificação?

Certos prestadores de serviços digitais (por exemplo prestadores de serviços DNS, prestadores de nuvem, centros de dados, mercados em linha) já são registados num registo à escala da UE através da ENISA ao abrigo do art. 27.o da Diretiva NIS 2. Para todas as outras entidades, o registo e a notificação permanecem nacionais, ou seja, na Alemanha através do portal do BSI. Uma plataforma europeia totalmente unificada para todas as entidades que vá além disto não foi atualmente decidida. Por agora, o canal de notificação nacional permanece decisivo.

Como se assegura que os dados de registo e de empresa recolhidos ao abrigo das regras NIS 2 / KRITIS são tratados de forma confidencial e protegidos contra acesso não autorizado?

A confidencialidade é salvaguardada por lei: o art. 23.o, n.o 9, da Diretiva NIS 2 obriga as autoridades a proteger o interesse da entidade notificante na confidencialidade, e o BSIG contém para esse efeito as suas próprias regras de confidencialidade e de limitação da finalidade. Os dados são usados apenas para os fins previstos por lei, por exemplo a avaliação situacional e a prevenção de ameaças, e não são publicados. O acesso é limitado aos organismos competentes; a divulgação a outras autoridades tem lugar apenas no quadro legalmente permitido e preservando a confidencialidade.

O que acontece se uma empresa obrigada comunicar um incidente tarde ou de todo não o comunicar à autoridade competente? Quem verifica se os incidentes comunicáveis foram devidamente comunicados?

A obrigação de comunicação decorre do artigo 23.o da Diretiva NIS 2: um alerta precoce no prazo de 24 horas, uma notificação no prazo de 72 horas e um relatório final no prazo de um mês a contar do incidente significativo (transposto na Alemanha no §32 BSIG). Um relatório tardio, ou nenhum relatório, é um incumprimento de dever que a autoridade competente (o BSI para a maioria das entidades) pode sancionar ao abrigo das regras de supervisão e execução dos artigos 31.o a 34.o (§§61 e seguintes e §65 BSIG). As medidas possíveis incluem instruções, ordens vinculativas e coimas cujo montante depende do tipo de entidade: para as entidades essenciais, o artigo 34.o fixa um limite máximo de pelo menos 10 milhões de euros ou 2 por cento do volume de negócios anual mundial (consoante o que for mais elevado), e para as entidades importantes de pelo menos 7 milhões de euros ou 1,4 por cento. A autoridade avalia se um relatório foi feito devidamente com base no relatório submetido e pode verificá-lo através dos seus poderes de supervisão ao abrigo dos artigos 32.o e 33.o (como pedidos de informação, auditorias, inspeções no local). Um relatório atempado e completo no formato prescrito é, por isso, a via mais segura. Encontra um guia passo a passo da obrigação e da autoridade em Registo e obrigação de comunicação.

Que obrigações tem a administração ao abrigo da NIS 2?

A administração tem de aprovar as medidas de gestão de riscos, supervisionar a sua implementação e frequentar formação em cibersegurança (art. 20.o Diretiva NIS 2, transposto no §38 BSIG). Aprovar significa rever e consentir ativamente por escrito, não apenas assinar. Supervisionar significa verificar regularmente se as medidas estão implementadas e são eficazes. A implementação operacional pode ser delegada, mas a responsabilidade da administração permanece na administração. Se está de todo no âmbito é algo que deve esclarecer primeiro com o teste completo.

O que significa a obrigação de aprovação e supervisão da administração?

Aprovar significa: a administração analisa as medidas de gestão de riscos planeadas, compreende-as em substância e dá o seu aval de forma documentada (art. 20.o, n.o 1, Diretiva NIS 2, na Alemanha §38, n.o 1, BSIG). Supervisionar significa: uma medida que é aprovada uma vez e nunca mais revista não cumpre a obrigação. Relatórios de estado fixos, indicadores e um caminho de escalada claro fazem sentido para que a administração possa demonstrar o estado atual a qualquer momento. Esta obrigação recai sobre a própria administração, não a pode entregar a ninguém.

A administração tem de frequentar formação?

Sim. A administração das entidades essenciais e importantes tem de frequentar regularmente formação em cibersegurança (art. 20.o, n.o 2, Diretiva NIS 2, na Alemanha §38, n.o 3, BSIG). O objetivo é que a administração seja capaz de identificar riscos, avaliar as medidas de gestão de riscos e estimar o seu impacto nos serviços. A diretiva não nomeia horas mínimas nem intervalos fixos; nas suas orientações, o BSI recomenda uma atualização anual e dá cerca de quatro horas como valor de orientação para o alcance. Esta obrigação aplica-se a cada pessoa que é nomeada para gerir a entidade por lei, estatutos ou contrato de sociedade, e não pode ser delegada.

A administração pode delegar a sua obrigação de formação?

Não. A obrigação de formação recai pessoalmente sobre os órgãos de administração e não pode ser entregue a trabalhadores ou prestadores de serviços externos (art. 20.o, n.o 2, Diretiva NIS 2, na Alemanha §38, n.o 3, BSIG). Pode nomear um responsável pela proteção de dados ou pela segurança e distribuir a implementação operacional, mas frequentar você próprio a formação continua a ser a sua tarefa. Documente quem frequentou, durante quanto tempo e com que conteúdo, para que o possa apresentar à autoridade a pedido.

A administração é pessoalmente responsável por incumprimentos?

Se um membro da administração incumprir a sua obrigação de aprovação, supervisão ou formação, responde perante a sua própria entidade pelos danos culposamente causados ao abrigo das regras de direito societário da respetiva forma jurídica (art. 20.o Diretiva NIS 2, na Alemanha §38 BSIG). Este direito pertence à empresa, não a terceiros, e uma renúncia total à responsabilidade através do contrato de sociedade ou dos estatutos está excluída. Na prática, reduz o risco documentando de forma limpa as aprovações, os controlos e os registos de formação. A melhor proteção não é a renúncia, mas o conjunto de obrigações comprovadamente cumprido.

Os webinários serão gravados?

Não. Os webinários do BSI sobre a NIS 2 não são gravados, por isso ou participa ao vivo ou de todo não participa. Importante: os webinários são uma oferta de informação voluntária, não uma parte obrigatória da sua implementação. O que importa para as suas obrigações são as medidas de gestão de riscos ao abrigo do artigo 21.o da Diretiva NIS 2 (transposto na Alemanha no §30 BSIG), não a frequência de um webinário.

Como recebo os materiais de cada webinário?

Todos os participantes registados recebem o conjunto de diapositivos posteriormente por e-mail. O pré-requisito é, por isso, o registo no respetivo webinário: quem não está registado não recebe automaticamente os materiais. Após a sessão, verifique também a sua pasta de spam se o e-mail com o anexo não chegar.

O BSI pode apoiar as entidades na implementação da NIS 2?

Sim, mas apenas em termos gerais, não para o seu caso individual. O BSI fornece FAQ, pacotes de informação, um pacote inicial e seminários de arranque, mas ao abrigo do seu mandato legal (§3 BSIG, que transpõe as funções da Diretiva NIS 2) não presta expressamente nem aconselhamento sobre casos individuais nem aconselhamento jurídico. Para a implementação concreta na sua empresa precisa, por isso, ou de conhecimento próprio ou de um prestador de serviços qualificado ou de aconselhamento jurídico. Onde pode você próprio começar é mostrado pelo teste de aplicabilidade completo em Wer ist betroffen.

Já existe informação ou orientação do BSI sobre as medidas a implementar pelas entidades essenciais e importantes ao abrigo da NIS 2?

Sim. Na sua página Web central sobre a NIS 2, o BSI publica orientações concretas sobre as obrigações e medidas individuais. Em substância, estas correspondem às medidas de gestão de riscos do artigo 21.o da Diretiva NIS 2 e do Regulamento de Execução (UE) 2024/2690 (transpostos na Alemanha no §30 BSIG). Como o «como» metodológico, o BSI nomeia o IT-Grundschutz: se o aplicar, as medidas do §30 BSIG são em geral consideradas cumpridas, o que é a orientação mais prática atualmente disponível.

O setor dos prestadores de cuidados de saúde também abrange as instalações de cuidados continuados?

Não. O tipo de entidade «prestador de cuidados de saúde» liga-se à definição do artigo 3.o, alínea g), da Diretiva 2011/24/UE, para a qual a NIS 2 (anexo I, setor da saúde da Diretiva (UE) 2022/2555) remete. Os cuidados continuados puros não recaem sob esta definição e não estão, por isso, abrangidos enquanto tais. Importante: se uma instalação de cuidados prestar adicionalmente serviços de cuidados de saúde na aceção da definição (como tratamento médico ou de enfermagem), esta parte pode ficar abrangida, desde que os limiares de dimensão ao abrigo do §28 BSIG sejam cumpridos. Verifique passo a passo: Quem está abrangido.

O tipo de entidade «prestador de cuidados de saúde» também abrange a distribuição ou o fornecimento de dispositivos médicos?

Não. A mera distribuição ou fornecimento de dispositivos médicos não cumpre a definição de um serviço de cuidados de saúde ao abrigo do artigo 3.o, alínea g), da Diretiva 2011/24/UE, para a qual a NIS 2 remete quanto ao setor da saúde (anexo I). Não está, por isso, abrangido através deste tipo de entidade. Outros pontos de referência podem, no entanto, aplicar-se: os fabricantes de dispositivos médicos críticos pertencem ao setor da saúde, os fabricantes de dispositivos médicos e de diagnóstico in vitro pertencem ao setor do fabrico (anexo II). Verifique adicionalmente se está abrangido como instalação crítica ao abrigo da KritisV.

Como se procede quando uma exploração conta entre as instalações críticas (ponto de dispensa de dispositivos médicos), sendo assim infraestrutura crítica ao abrigo da BSI-KritisV, mas o limiar de receita especificado para entidades essenciais não é atingido?

Os operadores de uma instalação crítica são, ao abrigo do §28, n.o 1, BSIG, uma entidade essencial independentemente da dimensão e da receita. Os limiares de dimensão e de receita do critério geral de dimensão não desempenham, por isso, aqui qualquer papel: quem ultrapassa o limiar da KritisV para a instalação está abrangido, mesmo que a empresa abaixo disso seja uma exploração pequena. O único fator decisivo é o limiar quantitativo da respetiva categoria de instalação na KritisV (§2, ponto 22, BSIG). Pode atingir o limiar da KritisV sem atingir o limiar de trabalhadores ou de receita do critério geral de dimensão, e fica então, ainda assim, plenamente abrangido.

As instalações de assistência à integração (Eingliederungshilfe) estão abrangidas pela NIS 2?

A assistência à integração enquanto tal não é um tipo de entidade próprio ao abrigo da NIS 2 e não recai sob a definição de um serviço de cuidados de saúde ao abrigo do artigo 3.o, alínea g), da Diretiva 2011/24/UE. Não está, por isso, abrangido com fundamento na assistência à integração apenas. Depende das atividades concretas realizadas: se a instalação prestar adicionalmente serviços de cuidados de saúde na aceção da definição e atingir os limiares ao abrigo do §28 BSIG, esta parte pode ficar abrangida. Para estar seguro, deve adicionalmente verificar se se aplica outro setor da NIS 2 ou uma instalação crítica ao abrigo da KritisV.

Os serviços médicos de emergência estão abrangidos pela NIS 2?

Depende da atividade realizada, não do rótulo «serviço médico de emergência». Na medida em que um serviço médico de emergência presta serviços de cuidados de saúde na aceção do artigo 3.o, alínea g), da Diretiva 2011/24/UE (como cuidados médicos de emergência), pode ficar abrangido através do setor da saúde (anexo I) se os limiares ao abrigo do §28 BSIG forem cumpridos. O puro transporte de doentes sem tratamento médico não recai, em geral, sob isto. Se o serviço médico de emergência for de propriedade pública, verifique adicionalmente as regras para a administração pública.

Os serviços de consultoria em segurança de TI recaem sob o setor da infraestrutura digital, por exemplo sob o tipo de entidade prestador de serviços geridos de segurança (MSSP)?

Não. A pura consultoria em segurança de TI não é um serviço gerido de segurança. Ao abrigo da NIS 2 (artigo 6.o, ponto 40, da Diretiva (UE) 2022/2555), um MSSP é um MSP que presta ou gere operacionalmente apoio a atividades de gestão de riscos de cibersegurança, ou seja, assume a operação contínua de funções de segurança para clientes. Quem exclusivamente aconselha, audita ou forma, sem operar ou gerir continuamente os sistemas dos clientes, não recai sob MSP ou MSSP (o setor da gestão de serviços de TIC pertence ao anexo I, não à infraestrutura digital). No entanto, assim que efetivamente gere os serviços de segurança dos clientes (como operação de SOC, monitorização, gestão de patches), pode aplicar-se a classificação como MSSP.

As filiais em que está organizada a operação central de TI de um grupo empresarial devem ser consideradas prestadores de serviços geridos (MSP) ou prestadores de serviços geridos de segurança (MSSP)?

O fator decisivo é se o serviço de TI é prestado externamente no mercado. Os MSP e MSSP ao abrigo da NIS 2 (artigo 6.o, pontos 39 e 40, da Diretiva (UE) 2022/2555) prestam serviços para outras empresas, não para si próprios. Uma filial de TI intragrupo que serve exclusivamente o seu próprio grupo não é, por isso, em geral um MSP ou MSSP através deste tipo de entidade. Isto não significa necessariamente «não abrangido»: se a filial também servir terceiros fora do grupo, a classificação como MSP ou MSSP pode aplicar-se e, independentemente disso, os trabalhadores e a receita das empresas associadas são agregados para o limiar de dimensão (empresas associadas ao abrigo da definição de PME 2003/361/CE).

O alojamento Web recai sob um dos tipos de entidade? (Como prestador de nuvem ou MSP)

O alojamento Web clássico, em si, não é nem um serviço de computação em nuvem nem um MSP. Um serviço de computação em nuvem ao abrigo da NIS 2 (artigo 6.o, ponto 30, da Diretiva (UE) 2022/2555) exige recursos de computação escaláveis, fornecidos de forma elástica e partilháveis com administração a pedido, o que o puro alojamento em recursos fixos tipicamente não cumpre. Um MSP exige a gestão contínua dos sistemas de TI do cliente, não apenas o fornecimento de armazenamento e espaço Web. O fator decisivo é sempre a configuração concreta: se o prestador oferecer adicionalmente recursos de nuvem elásticos ou gerir ativamente os sistemas do cliente, uma classificação pode aplicar-se. Mais sobre isto: Sou prestador de nuvem.

Os empresários em nome individual que operam DNS autoritativo para clientes de alojamento Web também estão abrangidos pelas obrigações de implementação de cibersegurança?

Sim, isso pode aplicar-se. Os prestadores de serviços DNS são, ao abrigo da NIS 2 (anexo I, infraestrutura digital, termo no artigo 6.o, ponto 20, da Diretiva (UE) 2022/2555), uma entidade essencial independentemente da sua dimensão. O habitual limiar de trabalhadores ou de receita não se aplica, por isso, aqui, de modo que também os empresários em nome individual podem ficar abrangidos (§28, n.o 1, BSIG). O fator decisivo é se efetivamente opera a resolução DNS autoritativa como serviço próprio (não a mera detenção do seu próprio domínio). Se isso se aplicar, as obrigações de gestão de riscos, notificação e registo aplicam-se na íntegra.

Todas as empresas recaem no âmbito da transposição nacional da Diretiva NIS 2 se forem «prestador de redes públicas de comunicações eletrónicas ou de serviços de comunicações eletrónicas acessíveis ao público»?

Não automaticamente todas as empresas, mas o limiar é baixo. Os prestadores de redes públicas de comunicações eletrónicas ou de serviços de comunicações eletrónicas acessíveis ao público pertencem à infraestrutura digital (anexo I da Diretiva (UE) 2022/2555) e ficam, ao abrigo do §28 BSIG, abrangidos assim que o limiar para empresas de média dimensão é atingido (a partir de 50 trabalhadores, ou mais de 10 milhões de euros de receita com um balanço total superior a 10 milhões de euros). Os termos regem-se pela Diretiva (UE) 2018/1972 (Código Europeu das Comunicações Eletrónicas), não pela própria compreensão de uma empresa quanto a «serviço de comunicações». Nota: na medida em que a TKG contenha requisitos setoriais relevantes para estes serviços, as obrigações correspondentes do BSIG aplicam-se apenas na medida em que a TKG não tenha precedência (§28 BSIG).

Um serviço de computação em nuvem que não é autoescalável, o que é um critério de nuvem ao abrigo da NIST [norma de cibersegurança dos EUA NIST SP 800], recai sob as regras da Lei de Implementação da NIS 2?

O fator decisivo não é a norma NIST, mas a definição do serviço de computação em nuvem na NIS 2 (artigo 6.o, ponto 30, da Diretiva (UE) 2022/2555). Segundo esta, o serviço tem de fornecer recursos de computação escaláveis e elásticos, ou seja, escaláveis a pedido para cima e para baixo, partilháveis, através de uma rede. Se esta escalabilidade e elasticidade estiverem totalmente ausentes, então, ao abrigo da definição da NIS 2, em geral não existe serviço de computação em nuvem, e o tipo de entidade prestador de nuvem não se aplica. No entanto, isto não significa necessariamente «não abrangido de todo»: verifique se se aplica outro tipo de entidade (como serviço de centro de dados ou MSP) ou se está abrangido através de outro setor. Detalhes: Sou prestador de nuvem.

As entidades financeiras sujeitas à DORA enfrentam obrigações de duplo registo, dupla comunicação de incidentes de segurança, dupla supervisão, dupla prova, etc. através da Lei de Implementação da NIS 2 e da DORA?

Não, uma dupla regulação genuína não é pretendida. Para as entidades financeiras, a DORA (Regulamento (UE) 2022/2554) é a regra mais específica. Ao abrigo do artigo 4.o da Diretiva NIS 2, os requisitos da DORA sobre gestão de riscos, comunicação de incidentes e supervisão têm, por isso, precedência, e as obrigações NIS 2 correspondentes recuam. O que permanece é apenas o registo: o artigo 27.o da Diretiva NIS 2 (refletido no direito alemão através da relevante obrigação de registo do BSIG) abrange também as entidades DORA, para que as autoridades possam manter um registo completo. Continua a comunicar incidentes ao abrigo da DORA e adicionalmente regista-se, sem que isto crie uma segunda cadeia de comunicação ou uma segunda camada de supervisão.

Em que diferem os requisitos da NIS 2 dos requisitos de segurança específicos para o gateway do contador inteligente?

Os dois conjuntos de regras operam a níveis diferentes e não se excluem mutuamente. A NIS 2 (artigo 21.o da diretiva, no direito alemão §30 BSIG) exige que a organização no seu todo mantenha a gestão de riscos: processos, responsabilidades, cadeia de abastecimento, planeamento de contingência. Os requisitos para o gateway do contador inteligente, em contrapartida, vêm da Lei de Operação dos Pontos de Medição e das Diretrizes Técnicas do BSI (por exemplo TR-03109) e dizem respeito à segurança técnica de um dispositivo específico, incluindo a certificação. Em suma: a NIS 2 rege como protege a sua empresa, os requisitos do contador inteligente regem como um único dispositivo tem de ser concebido. Ambos se aplicam em paralelo.

Como surgiu a mudança de nome para «Serviços Digitais de Energia»?

A antiga categoria de instalação do ponto de agregação (Buendelstelle) foi rebatizada «Serviços Digitais de Energia» porque o termo reflete melhor o papel crescente dos sistemas de TI e dos processos digitais no setor da energia do que o nome antigo, que estava estreitamente ligado à agregação de leituras de contadores. Mais importante do que o nome é a consequência: para esta categoria, a regulação da segurança da informação já não reside no BSIG, mas nos §§5c e seguintes EnWG, e a Bundesnetzagentur é responsável.

O que significa a alteração legal para o meu ponto de agregação (BueStel)?

O seu ponto de agregação é retirado da regulação do BSIG como «Serviço Digital de Energia». Os requisitos de segurança da informação serão futuramente regidos pelos §§5c e seguintes EnWG, e a autoridade de supervisão competente é a Bundesnetzagentur, já não o BSI. Para a instalação afetada na categoria 1.1.2, deixa de ter de prestar prova ao BSI ao abrigo do §8a BSIG. O seu ponto de contacto e os seus requisitos técnicos mudam, por isso; verifique prontamente os requisitos da Bundesnetzagentur.

Que obrigações perante o BSI ainda permanecem após a alteração legal?

Perante o BSI permanecem, no essencial, o registo e a manutenção atualizada dos seus dados-mestre no portal do BSI, enquanto a atribuição aí for ainda mantida. A supervisão substantiva e a prova para as instalações classificadas como «Serviços Digitais de Energia» passam para a Bundesnetzagentur ao abrigo dos §§5c e seguintes EnWG. Se também tiver mais instalações registadas no BSI, as obrigações do BSIG continuam a aplicar-se a essas sem alteração; apenas os serviços digitais de energia são retirados.

Que base de auditoria posso usar para a prova?

Para a prova perante o BSI, a base estabelecida permanece decisiva: uma norma de auditoria reconhecida como uma norma de segurança setorial (B3S) ao abrigo do §8a, n.o 2, BSIG ou uma norma equivalente que cubra os requisitos para a sua instalação. Para as instalações retiradas como «Serviços Digitais de Energia», porém, a base de auditoria rege-se pelos requisitos da Bundesnetzagentur com base nos §§5c e seguintes EnWG. O decisivo é, por isso, sob que regime a sua instalação é mantida após a alteração; esclareça isto primeiro antes de selecionar uma norma de auditoria.

Como fico a saber até quando tenho de prestar prova?

O prazo decorre da sua categoria de instalação e do ciclo de prova que se lhe aplica, não de uma única data-limite uniforme. Para as instalações que permanecem no mundo do BSIG aplica-se o familiar ciclo de prova regular ao abrigo do §8a BSIG; o BSI comunica a data concreta no âmbito do seu registo ou por notificação oficial. Para as instalações que passaram para a Bundesnetzagentur como «Serviços Digitais de Energia», esta fixa as datas de prova ao abrigo dos §§5c e seguintes EnWG. Em caso de dúvida, a notificação escrita da respetiva autoridade competente é decisiva; não confie num valor anual geral.

Que impacto tem a Lei de Implementação da NIS 2 nas outras instalações da minha empresa registadas no BSI?

A retirada diz respeito apenas às instalações classificadas como «Serviços Digitais de Energia» (antiga categoria 1.1.2). Todas as outras instalações da sua empresa registadas no BSI permanecem no regime do BSIG: o registo, a gestão de riscos e as obrigações de prova continuam aí sem alteração. Não surge qualquer lacuna e não há caducidade automática; continua a operar as instalações não afetadas exatamente como antes e mantém o BSI como autoridade competente.

A auditoria em curso para prestar prova ao abrigo do §8a BSIG para uma instalação na categoria de instalação 1.1.2 tem de ser concluída?

Não. Para as instalações na categoria 1.1.2 que saem do BSIG como «Serviços Digitais de Energia», deixa de haver prova ao abrigo do §8a BSIG a prestar ao BSI, por isso uma auditoria em curso para esse fim deixa de ter de ser concluída para o BSI. No entanto, observe os futuros requisitos da Bundesnetzagentur ao abrigo dos §§5c e seguintes EnWG; o trabalho de auditoria já realizado pode continuar a ser utilizável aí. Esclareça a transição exata diretamente com a autoridade competente antes de interromper uma auditoria.

Os operadores de uma rede de abastecimento de energia ao abrigo do §5d, n.o 4, EnWG têm de se registar no portal do BSI?

Sim. Os operadores de uma rede de abastecimento de energia ao abrigo do §5d, n.o 4, EnWG estão obrigados a registar-se no portal do BSI, mesmo que não sejam ao mesmo tempo classificados como entidade essencial ou importante ao abrigo do §28 BSIG. A obrigação de registo prende-se aqui à operação da rede e existe independentemente do limiar geral de dimensão da NIS 2. Introduza os seus dados-mestre no portal do BSI dentro do prazo. Mais sobre o procedimento: nis2-registrierung.

Os restaurantes de hotel, restaurantes ou estabelecimentos de restauração contam como «entidades importantes»?

Em regra, não. O setor da alimentação do anexo 2 abrange apenas as empresas do comércio grossista, bem como da produção industrial e da transformação de alimentos, não a restauração clássica. Um restaurante de hotel, um restaurante ou um estabelecimento de restauração não recai, por isso, sob a NIS 2 simplesmente por causa da preparação de refeições. O que também permanece decisivo é se os limiares de dimensão são cumpridos; verifique a sua classificação de forma sistemática: wer-ist-betroffen-vollstaendiger-test.

«Sowie» (bem como) equivale a «ou»?

Sim. Na redação sobre alimentação do anexo 2, «sowie» liga as atividades nomeadas de forma enumerativa, não cumulativa. Uma empresa fica, por isso, já abrangida se atua no comércio grossista ou na produção industrial ou na transformação; não tem de exercer as três atividades ao mesmo tempo. O que é então adicionalmente decisivo para ficar abrangido é se os limiares de dimensão relevantes são cumpridos.

Todos os participantes numa cadeia de abastecimento segura no domínio da segurança da aviação recaem sob KRITIS, mesmo que sejam pequenas empresas abaixo dos limiares de aplicabilidade da NIS 2?

Não. A participação na cadeia de abastecimento segura ao abrigo do §9a LuftSiG não faz automaticamente de uma empresa uma Infraestrutura Crítica e não a torna automaticamente uma entidade NIS 2. São decisivos dois limiares separados: só se torna operador KRITIS se ultrapassar os limiares de volume da BSI-KritisV para um serviço crítico (tipicamente nos setores da aviação ou da logística). A aplicabilidade da NIS 2 ao abrigo do anexo I ou II da Diretiva NIS 2 (UE) 2022/2555, por sua vez, exige que atue num setor abrangido e cumpra os critérios de dimensão (em regra a partir de 50 trabalhadores ou mais de 10 milhões de euros de volume de negócios anual; o BSIG transpõe isto no §28). Quem fica abaixo de ambos os limiares não é abrangido nem por KRITIS nem pela NIS 2 através da mera participação na cadeia de abastecimento. Encontra o teste completo em Quem está abrangido.

Que formas jurídicas recaem sob o setor financeiro e o subsetor bancário de acordo com a NIS 2?

A classificação não se baseia na forma jurídica (GmbH, AG, eG ou outra), mas na atividade. Na banca, o anexo I da Diretiva NIS 2 (UE) 2022/2555 abrange as instituições de crédito na aceção do artigo 4.o, n.o 1, ponto 1, do Regulamento (UE) n.o 575/2013, ou seja, as empresas cuja atividade consiste em receber depósitos ou outros fundos reembolsáveis do público e conceder créditos por conta própria. Não está prescrita para tal qualquer forma jurídica específica; o que importa é apenas que esteja autorizado como instituição de crédito e exerça esta atividade. Importante: para as instituições de crédito, a DORA (Regulamento (UE) 2022/2554) aplica-se com prioridade como lex specialis desde 17 de janeiro de 2025, por isso as obrigações operacionais de gestão de riscos e de comunicação devem ser cumpridas ao abrigo da DORA em vez da NIS 2. Pode verificar se está abrangido como banco em Sou um banco na aceção da NIS 2.