Art. 23(4)(a) NIS 2 + §32 BSIG + §121 BGB

O que 'sem demora injustificada' realmente significa no relógio das 24 horas da NIS 2

O Art. 23(4)(a) NIS 2 tem dois temporizadores, não um. Saber a diferença é a diferença entre defender um alerta precoce atempado e enfrentar uma coima evitável do §65 BSIG.

Simon OrzelSimon Orzel·

Porque é que a redação importa

O Art. 23(4)(a) NIS 2 diz que o alerta precoce é devido 'sem demora injustificada e em todo o caso no prazo de 24 horas' após ter conhecimento de um incidente significativo. Dois temporizadores, não um. O valor das 24 horas é um limite máximo rígido; o dever operativo é a primeira expressão.

Na prática, isto significa: uma notificação que chega à hora 23 ainda pode estar atrasada se a entidade pudesse razoavelmente tê-la apresentado à hora 4. 'Razoavelmente' é o que os auditores avaliam em retrospetiva.

Quem lê pela primeira vez fixa-se no número das 24 horas e deixa passar a estrutura jurídica. Compreender ambos os relógios é a defesa mais barata que pode preparar antes de um incidente.

Onde reside a estrutura
Um artigo operativo, uma transposição, um considerando.

Art. 23(4)(a) NIS 2

Se aplicável, um alerta precoce que, sem demora injustificada e em todo o caso no prazo de 24 horas após ter conhecimento do incidente significativo, indique se o incidente significativo é suspeito de ter sido causado por atos ilícitos ou maliciosos ou se pode ter um impacto transfronteiriço.

Dois temporizadores nomeados explicitamente na mesma frase. 'Sem demora injustificada' é o dever operativo; '24 horas' é o limite exterior. O conhecimento, não a deteção, é o elemento desencadeador.

§32(1) Nr. 1 BSIG

Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als frühe Erstmeldung.

A transposição alemã usa 'unverzüglich' para 'sem demora injustificada'. 'Unverzüglich' é um termo jurídico definido no §121(1) BGB, a saber, 'ohne schuldhaftes Zögern', sem demora culposa. Essa definição importa todo um corpo de jurisprudência alemã para o dever de notificação da NIS 2.

Considerando 102 NIS 2 (contexto)

Para determinar as obrigações de comunicação, o calendário da notificação e o formato da notificação, deverá ser tida em conta a avaliação do impacto do incidente.

O Considerando 102 é a pista interpretativa: o calendário da notificação não está dissociado da avaliação razoável da entidade. Não se espera que apresente antes de ter a informação; espera-se que apresente assim que razoavelmente puder.

Os dois relógios, em linguagem simples
Ambos começam no momento do conhecimento. Ambos têm de ser respeitados. Não são alternativas.

Relógio 1: sem demora injustificada

O dever operativo. A entidade tem de notificar assim que razoavelmente puder após ter conhecimento. 'Razoável' permite tempo para confirmar os factos e escalar internamente; não permite agrupar por conveniência nem esperar pelo início do dia de trabalho.

Relógio 2: em todo o caso no prazo de 24 horas

O limite máximo rígido. Independentemente do que 'razoável' tenha significado no caso, o alerta precoce não pode ser posterior a 24 horas após o conhecimento. Passado isso, a entidade está em incumprimento mesmo com uma justificação perfeita.

Elemento desencadeador: o conhecimento

Não a deteção técnica. O conhecimento, em termos jurídicos, é o momento em que a entidade, agindo razoavelmente, sabia ou deveria ter sabido. Um alerta de SIEM por ler numa fila pode já contar como conhecimento da entidade se um SOC a operar razoavelmente o tivesse lido.

O que 'sem demora injustificada' permite e não permite
Três regras retiradas da jurisprudência alemã sobre 'unverzüglich' e da orientação ENISA TIG.

Permitido: tempo para confirmar

Não tem de apresentar antes de ter informação relevante. Algumas horas para triar, confirmar o âmbito e excluir falsos positivos são razoáveis. A diretiva não penaliza a verificação responsável.

Permitido: tempo para escalar

A escalada interna pela cadeia de resposta a incidentes, com o responsável de notificação designado a dar a aprovação, faz parte do processo normal. Uma escalada de duas horas em horário de trabalho é razoável; uma espera de 20 horas até o CEO regressar de férias não é.

Não permitido: agrupamento por conveniência

Esperar para combinar vários incidentes suspeitos, esperar pelo horário de expediente quando o incidente ocorreu às 22:00, esperar que uma estratégia de imprensa se forme, nenhuma destas razões sobrevive a uma auditoria. 'Unverzüglich' tolera a verificação, não o atraso por conveniência da própria entidade.

Exemplo trabalhado: payload de ransomware às 14:00
A percorrer quando cada relógio começa e o que significa razoável num caso concreto.

14:00. O SOC deteta atividade de cifragem no servidor de ficheiros

Deteção técnica. Ainda não é conhecimento jurídico se o SOC está a investigar. A entidade está em estado de alerta, mas ainda não formou a convicção de que um incidente é significativo.

15:30. Incidente confirmado como ransomware, âmbito parcialmente claro

O conhecimento surge agora, o mais tardar. Ambos os relógios começam. O limite exterior de 24 horas termina às 15:30 do dia seguinte. O dever de 'sem demora injustificada' aciona-se de imediato.

16:45. Alerta precoce enviado

75 minutos após a confirmação. Defensável como 'sem demora injustificada' se a entidade usou o tempo para verificar e para escalar internamente ao responsável de notificação designado. A notificação inclui os dois elementos de conteúdo obrigatórios do Art. 23(4)(a): suspeita de causa maliciosa e avaliação do impacto transfronteiriço.

O que os auditores procuram no seu registo cronológico

Quando o BSI ou uma autoridade nacional competente audita um incidente em retrospetiva, o documento de interesse é o registo cronológico da própria entidade. Esperam-se três colunas: hora do evento, o que se sabia nesse ponto, que ação foi tomada.

A auditoria coloca uma só pergunta: em cada ponto da cronologia, o passo seguinte era razoável face ao que se sabia. Um registo limpo com ações conservadoras defende o calendário da notificação. Um registo escasso convida o auditor a presumir o pior.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Art. 23(4)(a), Considerando 102, www.eur-lex.europa.eu
  • Lei do Serviço Federal para a Segurança da Informação (BSIG), §32, www.gesetze-im-internet.de
  • Bürgerliches Gesetzbuch (BGB), §121(1), definição de 'unverzüglich'
  • ENISA Technical Implementation Guidance v1.0 (junho de 2025), §5 sobre a documentação da cronologia de incidentes

Esta página fornece orientação estruturada com base em fontes publicamente disponíveis (Diretiva NIS 2, BSIG, BGB, ENISA TIG). Não constitui aconselhamento jurídico na aceção do §2 RDG. Se uma demora específica é 'injustificada' num caso concreto é uma questão jurídica para um advogado inscrito. Estado a 2026-06-04.

Pratique a cronologia antes de um incidente
O módulo de incidentes da plataforma regista os eventos da cronologia com carimbos temporais e aprovações de decisões, para que o registo de auditoria se escreva sozinho.