Formação do órgão de administração NIS 2 ao abrigo do artigo 20.o, n.o 2
A NIS 2 determina que o próprio órgão de administração tem de receber formação em cibersegurança. Não o CISO. Não o responsável de TI. O conselho, os administradores, as pessoas que aprovam as medidas de gestão de risco ao abrigo do artigo 20.o, n.o 1.
A versão curta
O artigo 20.o da NIS 2 é o artigo de governação. O n.o 1 determina que o órgão de administração tem de aprovar as medidas de gestão de risco, supervisionar a sua aplicação e pode ser responsabilizado pessoalmente caso não o faça. O n.o 2 acrescenta a vertente de formação: o próprio órgão de administração recebe formação e a entidade oferece formação regular a todo o pessoal.
A formação não é delegável. A diretiva designa especificamente o órgão de administração. Enviar o CISO a um curso não desonera do dever. As pessoas que aprovam as medidas do artigo 21.o precisam de conhecimentos suficientes para compreender o que estão a aprovar.
A Alemanha inscreve esta regra no direito nacional através do §38(3) BSIG. A redação reflete a diretiva. Esta página percorre o artigo 20.o, n.o 2, o dever prático e a transposição alemã, por essa ordem.
Artigo 20.o, n.o 2, da Diretiva NIS 2 (2022/2555)
Os Estados-Membros asseguram que os membros dos órgãos de administração das entidades essenciais e importantes são obrigados a frequentar formação, e exigem que as entidades essenciais e importantes ofereçam regularmente formação semelhante aos seus trabalhadores, a fim de adquirirem conhecimentos e competências suficientes que lhes permitam identificar riscos e avaliar as práticas de gestão dos riscos de cibersegurança e o seu impacto nos serviços prestados pela entidade.
Esta é a regra de origem. Designa o órgão de administração pelo nome e liga o conteúdo da formação à identificação de riscos, à avaliação de riscos, às práticas de gestão da cibersegurança e ao impacto nos serviços da entidade. Cria também o dever de formação do pessoal para as entidades essenciais e importantes.
Regulamento de Execução (UE) 2024/2690 da Comissão
O CIR estabelece requisitos técnicos e metodológicos para as medidas do artigo 21.o, n.o 2. Não abrange o artigo 20.o.
Ao contrário do artigo 21.o, o artigo 20.o não tem regulamento de execução. O texto da diretiva é a norma. As autoridades nacionais e a ENISA preenchem o detalhe prático; não há qualquer secção do CIR para invocar.
§38(3) BSIG (Alemanha)
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
O §38 BSIG insere-se na lei de aplicação da NIS2 (NIS2UmsuCG) e está em vigor a partir de 2026. É a âncora operacional alemã para o dever pessoal de formação. O §38(1) e (2) BSIG acrescentam o dever de aprovação e a vertente de responsabilidade pessoal. O registo ao abrigo do §33 BSIG era devido até 6 de março de 2026.
O próprio órgão de administração recebe formação
Os membros do órgão de administração têm de receber formação. Pessoalmente. A diretiva usa o plural ('membros'), pelo que todos os administradores e todos os membros do conselho com responsabilidade operacional estão abrangidos. A prova de inscrição e de conclusão é o mínimo legal. A plataforma armazena ambas.
A entidade oferece formação a todo o pessoal
A entidade tem de oferecer formação regular aos seus trabalhadores. 'Regular' não está definido; anual é a norma operacional ao abrigo do Grundschutz ORP.3. Sensibilização para todos, formação específica para a função para o pessoal de TI. O dever aplica-se a toda a força de trabalho, não apenas à equipa técnica.
O conteúdo abrange risco mais práticas de gestão mais impacto no serviço
A diretiva designa quatro blocos de conteúdo: identificar riscos, avaliar riscos, compreender as práticas de gestão da cibersegurança, compreender o impacto nos serviços que a entidade presta. Uma simulação genérica de phishing não cobre os quatro. Um curso de nível de administração cobre.
Dever pessoal do órgão de administração (artigo 20.o, n.o 1, e n.o 2)
O órgão de administração não pode delegar isto no CISO, no responsável de TI ou no responsável pela proteção de dados. O artigo 20.o, n.o 1, liga o dever de aprovação ao órgão de administração. O artigo 20.o, n.o 2, liga o dever de formação às mesmas pessoas. Os dois andam juntos por desenho. A razão: se aprova as medidas de gestão de risco, precisa de compreender o que está a aprovar.
A proporcionalidade aplica-se através do artigo 21.o, n.o 1
O artigo 21.o, n.o 1, determina que as medidas de cibersegurança têm de ser 'adequadas aos riscos existentes', tendo em conta a dimensão, a exposição, a probabilidade, a gravidade, o estado da técnica e o custo. O requisito de formação lê-se pela mesma lente. Um Stadtwerk com 60 pessoas precisa de uma formação séria e documentada; não precisa de um programa executivo de várias semanas. O que a diretiva não permite é não haver formação.
BSI / §38(3) BSIG
A Alemanha copia a redação da diretiva quase ipsis verbis no §38(3) BSIG. A Handreichung do BSI para o §38 (abril de 2026) é apenas contributo de investigação não vinculativo, não um currículo. O BSI não opera um regime de acreditação para a formação do artigo 20.o. A prova de inscrição mais conclusão é o mínimo legal.
Orientações Técnicas de Aplicação da ENISA
As TIG da ENISA abrangem as medidas do artigo 21.o. O artigo 20.o fica fora do âmbito das TIG porque não há aqui CIR para aplicar. A ENISA cita o artigo 20.o no seu material mais amplo sobre a NIS 2, mas não emitiu critérios formais de formação.
Leis nacionais de transposição
Todos os Estados-Membros transpuseram o artigo 20.o, n.o 2 (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). Mesmo dever, mesmos blocos de conteúdo. Canais de comunicação diferentes e autoridades de supervisão diferentes. Nenhum deles opera um organismo de acreditação para a formação do artigo 20.o.
Delegámos isto no nosso CISO.
Não pode. O artigo 20.o, n.o 2, designa explicitamente 'os membros dos órgãos de administração'. Enviar o CISO a um curso não desonera do dever. O CISO pode gerir o programa, escolher o fornecedor, construir o conteúdo. A formação que a diretiva exige é para as pessoas que aprovam ao abrigo do artigo 20.o, n.o 1.
Realizámos um módulo de sensibilização para a segurança, por isso o órgão de administração está coberto.
A formação de sensibilização de utilizadores não é formação de administração. O artigo 20.o, n.o 2, enumera quatro blocos de conteúdo: identificar riscos, avaliar riscos, compreender as práticas de gestão da cibersegurança, compreender o impacto nos serviços. 'Não clique em ligações de phishing' não está nessa lista. O órgão de administração precisa de formação em práticas de gestão, não em comportamento do utilizador.
O nosso seguro D&O cobre a responsabilidade pessoal, por isso a formação é opcional.
Não cobre. O §38(2) BSIG cria responsabilidade pessoal pela violação dos deveres de administração ao abrigo do §38. O seguro é algo que se acrescenta por cima. Não elimina a obrigação subjacente, e a própria formação é o que reduz o risco subjacente de violação. Saltar a formação aumenta a responsabilidade, não a diminui.
Não existe organismo de acreditação para a formação do artigo 20.o. Nenhum esquema DAkkS, nenhuma marca TÜV, nenhuma certificação Big Four exigida. O artigo 20.o, n.o 2, designa inscrição e conclusão. Esse é o mínimo legal. Tudo o que vai além disso é opcional e orientado pelo risco, não imposto por lei.
O que funciona no Mittelstand alemão: um curso estruturado que cobre os quatro blocos de conteúdo (identificação de riscos, avaliação de riscos, práticas de gestão, impacto no serviço), inscrição registada por nome para cada membro do órgão de administração, prova de conclusão armazenada com o registo de auditoria, atualização numa cadência regular. Isto resiste ao abrigo do artigo 20.o, n.o 2. Alinha também com o §38(3) BSIG e com o próprio enquadramento do BSI na Handreichung do §38.
Construímos o curso para CEO exatamente para isto. O curso cobre os quatro blocos de conteúdo que o artigo 20.o, n.o 2, designa: identificação de riscos, avaliação de riscos, práticas de gestão da cibersegurança e o impacto nos serviços que a entidade presta. Cada lição é curta. O curso é feito para administradores, não para engenheiros de segurança.
A plataforma regista a inscrição por nome para cada membro do órgão de administração, capta a prova de conclusão e armazena ambas no registo de auditoria. O mesmo registo satisfaz a expectativa de documentação do §38(3) BSIG. O curso é gratuito, e a plataforma que o suporta também.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 20.o. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Lei do BSI (BSIG), §38 com a redação dada pela Lei de Aplicação da NIS2 e de Reforço da Cibersegurança (NIS2UmsuCG)
- BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17 de abril de 2026 (não vinculativa)
- Materiais da ENISA sobre a NIS 2 relativos às responsabilidades de gestão. enisa.europa.eu
- IT-Grundschutz ORP.3 (Sensibilização e Formação)