BSIG 2025

A Nova Obrigação de Segurança das TI para Empresas Alemãs

Se procurou 'IT Sicherheitspflicht', está à procura da NIS2. Desde dezembro de 2025, a BSIG revista torna a cibersegurança uma obrigação legal para cerca de 29 500 empresas alemãs.

Simon OrzelSimon Orzel·Laufend geprüft

A NIS2 É a Obrigação de Segurança das TI de Que Tem Ouvido Falar

Não existe na Alemanha uma 'lei autónoma de obrigação de segurança das TI'. O que existe é a Diretiva NIS2 (UE 2022/2555), transposta para o direito alemão através da NIS2UmsuCG, que reformulou a Lei Federal de Cibersegurança (BSIG). É esta a lei que cria obrigações vinculativas de segurança das TI para empresas em 18 setores críticos.

A BSIG entrou em vigor a 6 de dezembro de 2025. Exige que as empresas afetadas implementem 10 medidas específicas de gestão de risco de cibersegurança (Secção 30 BSIG), se registem no BSI, comuniquem incidentes significativos dentro de prazos rigorosos e protejam as suas cadeias de abastecimento. A gestão é pessoalmente responsável ao abrigo da Secção 38 BSIG por assegurar o cumprimento.

Se a sua empresa tem 50 ou mais trabalhadores ou ultrapassa 10 milhões de euros de receitas anuais e opera num dos 18 setores NIS2, estas obrigações aplicam-se-lhe já. O prazo de registo foi 6 de março de 2026. A implementação de todas as medidas é exigida até 17 de outubro de 2026.

Isto Aplica-se à Minha Empresa?
Quatro critérios determinam se a sua empresa está abrangida pela BSIG. Tem de cumprir o critério setorial E pelo menos um dos critérios de dimensão.

Setor

A sua empresa opera num de 18 setores: energia, transportes, banca, saúde, água, infraestrutura digital, serviços TIC, administração pública, espaço, serviços postais, gestão de resíduos, produtos químicos, produção alimentar, indústria transformadora ou prestadores digitais.

Número de Trabalhadores

Tem 50 ou mais trabalhadores. Isto segue a definição de PME da UE e inclui todos os trabalhadores do grupo, não apenas a entidade alemã. Os trabalhadores a tempo parcial contam proporcionalmente.

Receitas Anuais

O seu volume de negócios anual ultrapassa 10 milhões de euros E o seu balanço total ultrapassa 10 milhões de euros. Se ultrapassar o limiar de trabalhadores OU o limiar financeiro, está no âmbito.

Serviços Críticos

Alguns tipos de entidade estão no âmbito independentemente da dimensão: prestadores de DNS, registos de TLD, prestadores qualificados de serviços de confiança, operadores KRITIS e prestadores únicos de serviços essenciais numa região.

O Que Precisa de Fazer
A BSIG exige cinco passos concretos. O registo já deveria estar feito. As restantes medidas têm de ser implementadas até outubro de 2026.
1

Registar-se no BSI

Complete o seu registo através do portal do BSI (muk.bsi.bund.de). Esta é uma obrigação legal ao abrigo da Secção 33 BSIG, com a sua própria sanção até 500 000 euros. O portal está disponível desde janeiro de 2026 e o prazo foi 6 de março de 2026. Se o falhou, registe-se de imediato.

2

Realizar uma Avaliação de Risco

Identifique os seus ativos de TI críticos, avalie os riscos de cada um e documente as decisões de tratamento. A Secção 30 BSIG exige medidas de gestão de risco proporcionais à exposição ao risco. Precisa de um inventário de ativos e de uma avaliação de risco estruturada antes de poder implementar medidas.

3

Implementar 10 Medidas de Segurança

A Secção 30 BSIG define 10 áreas obrigatórias: políticas de gestão de risco, tratamento de incidentes, continuidade de negócio, segurança da cadeia de abastecimento, segurança de rede, gestão de vulnerabilidades, higiene de cibersegurança, criptografia, controlo de acessos e autenticação multifator. Cada área exige políticas documentadas e provas de implementação.

4

Configurar a Notificação de Incidentes

Os incidentes significativos de cibersegurança têm de ser comunicados ao BSI no prazo de 24 horas (alerta precoce inicial), 72 horas (notificação completa) e 1 mês (relatório final). Defina o que significa um incidente significativo para a sua empresa e estabeleça uma cadeia clara de comunicação antes de algo acontecer.

5

Manter a Conformidade Contínua

A NIS2 não é um projeto pontual. Precisa de revisões anuais da avaliação de risco, formação regular da gestão (a Secção 38 BSIG exige participação pessoal), reavaliações de fornecedores e monitorização contínua de incidentes. A plataforma acompanha todos os prazos e escala automaticamente.

O Que Acontece Se Não Fizer Nada

O quadro sancionatório segue o modelo do GDPR. As entidades essenciais enfrentam coimas até 10 milhões de euros ou 2% do volume de negócios anual global. As entidades importantes enfrentam até 7 milhões de euros ou 1,4%. As violações de registo, por si só, acarretam coimas até 500 000 euros. O BSI tem poderes de execução e pode ordenar o cumprimento ou restringir operações.

Para além das coimas, a Secção 38 BSIG cria responsabilidade pessoal para a gestão. Os dirigentes têm de aprovar as medidas de cibersegurança, supervisionar a implementação e concluir a formação. São responsáveis perante a própria empresa por violações culposas. Esta responsabilidade não pode ser afastada por contrato. Alegar que não compreendia cibersegurança não é explicitamente uma defesa.

Perguntas Frequentes

A NIS2 é o mesmo que a obrigação de segurança das TI de que ando a ouvir falar?

Sim. Não existe uma lei separada de 'IT Sicherheitspflicht'. A NIS2 é a diretiva da UE que foi transposta para o direito alemão como a BSIG revista, através da NIS2UmsuCG. Quando se fala em novas obrigações de segurança das TI para empresas alemãs, é desta lei que se trata. Está em vigor desde 6 de dezembro de 2025.

Somos uma empresa industrial com 60 pessoas. Isto aplica-se mesmo a nós?

Muito provavelmente sim. A indústria transformadora consta do Anexo II da NIS2 (abrangendo o fabrico de dispositivos médicos, eletrónica, equipamento elétrico, máquinas, veículos a motor e outros equipamentos de transporte). Com 60 trabalhadores, ultrapassa o limiar de 50 trabalhadores. Seria classificada como 'entidade importante' ao abrigo da Secção 28(2) BSIG, e todas as obrigações NIS2 se aplicam.

O prazo de registo já passou. O que devemos fazer?

Registar-se de imediato. O portal do BSI em muk.bsi.bund.de continua a aceitar registos. Um registo tardio é melhor do que nenhum registo. A coima por não registo vai até 500 000 euros, mas o BSI avalia a boa-fé. Uma empresa que se regista com algumas semanas de atraso e consegue demonstrar que estava ativamente a trabalhar na conformidade está numa posição muito melhor do que outra que nada fez.

O nosso prestador externo de TI pode tratar da conformidade NIS2 por nós?

Pode ajudar a implementar as medidas técnicas, mas a obrigação legal permanece na sua empresa. A Secção 30 BSIG afirma explicitamente que pode externalizar operações, mas não a responsabilização. A sua gestão mantém-se pessoalmente responsável ao abrigo da Secção 38 BSIG. Tem de documentar o que o seu prestador de TI faz, verificar as suas medidas de segurança e incluí-lo no seu processo de gestão de fornecedores.

Quanto custa a conformidade NIS2 a uma empresa do mid-market?

Para uma empresa com 50 a 250 trabalhadores, conte com um gasto entre 20 000 e 80 000 euros no primeiro ano, dependendo da sua atual maturidade de segurança. Inclui a avaliação de risco, a documentação de políticas, melhorias técnicas e formação. As empresas que já têm medidas básicas de segurança das TI ficam no extremo inferior. O custo anual contínuo desce significativamente após o primeiro ano, porque a maior parte do trabalho é de configuração, não de manutenção.

Descubra Se a NIS2 Se Aplica à Sua Empresa
Responda a algumas perguntas sobre o seu setor, dimensão e serviços. A verificação de aplicabilidade demora menos de 2 minutos e diz-lhe se as obrigações da BSIG se lhe aplicam.
Verifique Se a NIS2 Se Aplica a Si