Art. 20 + Art. 27 NIS 2 · §33(5) + §38 + §65 BSIG

Mudança no órgão de gestão: transferir a responsabilidade NIS 2 em segurança

Quando o CEO ou Geschäftsführer sai, o dever de formação do §38 BSIG não vai com ele. Três coisas têm de acontecer na transição, ou a responsabilidade pessoal transfere-se da pior forma.

Simon OrzelSimon Orzel·

Porque é que a transição é o momento NIS 2 mais negligenciado

A maioria das entidades prepara-se para o dia em que a NIS 2 se lhes aplica pela primeira vez. Poucas se preparam para o dia em que a pessoa dona da implementação a passa adiante. Esse momento é onde a responsabilidade pessoal do §38 BSIG se transfere discretamente, onde os dados de registo no BSI ficam desatualizados, e onde as aceitações de risco assinadas ficam órfãs.

Ao abrigo do Art. 20 NIS 2, o órgão de gestão 'pode ser responsabilizado' por infrações. A responsabilidade adere ao cargo, não à pessoa. O Geschäftsführer que entra herda tudo o que o que sai aprovou, incluindo riscos sobre os quais nunca foi informado. O protocolo de transição existe para que essa informação aconteça por escrito.

Não há um regulamento de transição NIS 2 separado. Os deveres vêm de três sítios: a regra de atualização de 2 semanas do §33(5) BSIG para os dados de registo, o dever de formação do §38 BSIG para o novo membro do órgão de gestão, e o dever geral de aprovação e supervisão do Art. 20 NIS 2 que se transfere no momento em que a nova pessoa assina a nomeação.

Três deveres que se ativam no dia da transição
Nenhum deles é opcional, todos os três podem passar despercebidos no ruído de uma transição de CEO.

Art. 20(1) NIS 2 + §38 BSIG (formação)

Os Estados-Membros asseguram que os órgãos de gestão das entidades essenciais e importantes podem ser responsabilizados por infrações das entidades ao artigo 21.o. Os membros dos órgãos de gestão são obrigados a frequentar formação a fim de adquirir conhecimentos suficientes.

A responsabilidade e o dever de formação aderem no dia em que o novo membro do órgão de gestão é registado, não numa data posterior conveniente. Não há período de tolerância na diretiva.

§33(5) BSIG + Art. 27(2) NIS 2 (atualização do registo)

Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.

Prazo de duas semanas. A pessoa de contacto registada no BSI é o canal através do qual chegam pedidos de incidentes, avisos e notificações de supervisão. Uma pessoa de contacto desatualizada significa que as consultas do BSI falham em silêncio.

Art. 20(1) NIS 2 (continuidade da aprovação)

Os órgãos de gestão das entidades essenciais e importantes aprovam as medidas de gestão do risco de cibersegurança tomadas por essas entidades e supervisionam a sua aplicação.

'Aprovar' é um dever contínuo. As aprovações assinadas pelo CEO que sai vinculam a entidade, mas o CEO que entra torna-se responsável pela sua supervisão a partir do primeiro dia. Não pode renegar o que não lhe foi explicado, por isso a explicação tem de acontecer na transição.

O que tem de estar no dossiê de transição
Quatro artefactos. Já existem se a entidade estiver a operar um ISMS; a transição limita-se a torná-los visíveis para o novo membro do órgão de gestão.

Registos de formação do §38 BSIG (do que sai)

Prova de conclusão do membro do órgão de gestão que sai. A própria formação do §38 do novo membro tem de ser organizada separadamente e com prontidão.

Aceitações de risco assinadas

Cada entrada do registo de risco que o CEO que sai aceitou (em vez de mitigar) é agora uma obrigação que o CEO que entra herda. Reveja-as na transição, não as descubra na auditoria.

Mapa de dependência de fornecedores

Que fornecedores acarretam risco NIS 2 ao abrigo do Art. 21(2)(d). O CEO que entra precisa de saber quem não pode rescindir rapidamente, quem detém responsabilidade contratual, quem está atrasado para revisão.

Titularidade da resposta a incidentes

Quem tem acesso ao portal, quem dá a aprovação às notificações, quem é o responsável de notificação designado. Nomes, dados de contacto, cadeia de escalada. Este é o documento que se vai buscar às 03:00 durante um incidente.

Três passos nas primeiras duas semanas
A janela de 2 semanas do §33(5) BSIG dita o ritmo. Trate o dia 1 do novo membro do órgão de gestão como o dia 1 do relógio.

Passo 1. Atualizar o registo no BSI

Através do portal do BSI ao abrigo do §33(5) BSIG: nova pessoa de contacto, cargo, dados de contacto. Duas semanas a partir da data de nomeação. Use o certificado de organização ELSTER existente, que não muda quando muda o órgão de gestão.

Passo 2. Agendar a formação do §38 BSIG

O novo membro é obrigado a frequentar formação em gestão do risco de cibersegurança. Não há prazo fixo na BSIG, mas 'unverzüglich' (sem demora injustificada) ao abrigo do §38(2). Agende dentro do primeiro trimestre do novo cargo.

Passo 3. Reconfirmar ou substituir as aprovações do que sai

Explique ao novo membro o registo de risco e o mapa de fornecedores. A sua própria assinatura no que quiser manter, uma decisão separada no que quiser reavaliar. Documente a data da explicação.

Três coisas que correm mal em silêncio
As três são falhas silenciosas. Só vêm à superfície quando ocorre um incidente ou uma auditoria.

  • Contacto do BSI nunca atualizado

    O relógio de duas semanas do §33(5) corre em pano de fundo de uma transição atarefada. Uma atualização em falta significa que o contacto de incidentes do BSI é uma pessoa que já não trabalha na entidade. Exposição a coima ao abrigo do §65 BSIG, mais uma falha de notificação de incidentes no pior caso.

  • Aceitações de risco herdadas às cegas

    O CEO que entra assina a nomeação, por força da lei torna-se responsável por riscos aceites pelo antecessor. Sem uma explicação, não consegue defender a posição na auditoria. A explicação na transição é a ponte.

  • Formação do §38 agendada 'para mais tarde'

    Não há prazo específico, por isso vai escorregando. Passam anos. Na supervisão seguinte, o BSI pede prova e não há nenhuma. Agende dentro do primeiro trimestre, não 'quando houver tempo'.

O que acontece se a transição for informal

Três modos de falha agravam-se. Primeiro, o registo no BSI está desatualizado, por isso a notificação de incidentes não chega a ninguém. Segundo, o CEO que entra não tem qualquer explicação sobre os riscos que herdou, por isso a defesa em auditoria desmorona. Terceiro, falta a formação do §38, o que é uma violação separada ao abrigo do §38(3) BSIG.

Cada um dos três desencadeia o mesmo percurso de execução: notificação de supervisão ao abrigo do Art. 32 NIS 2, possível coima ao abrigo do §65 BSIG, exposição pessoal do membro do órgão de gestão que assinou sem verificar. Nada disto é reversível por uma explicação retroativa.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Art. 20, Art. 27, Art. 32, www.eur-lex.europa.eu
  • Lei do Serviço Federal para a Segurança da Informação (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
  • BSI Handreichung zu §38 BSIG (abril de 2026, versão 1.0), www.bsi.bund.de
  • Lei de Implementação da NIS-2 e de Reforço da Cibersegurança (NIS2UmsuCG)

Esta página fornece orientação estruturada com base em fontes publicamente disponíveis (Diretiva NIS 2, BSIG, BSI Handreichung §38). Não constitui aconselhamento jurídico na aceção do §2 RDG. A exposição à responsabilidade pessoal dos membros do órgão de gestão é uma questão jurídica para um advogado inscrito. Estado a 2026-06-04.

Faça uma transição limpa antes da próxima mudança
A plataforma produz um dossiê de transição com lembrete de atualização do registo, acompanhamento da formação do §38 e modelo de explicação das aceitações de risco.
Iniciar sessão na plataforma