§38 BSIG

Responsabilidade da gestão na NIS2

O §38 BSIG torna os gerentes pessoalmente responsáveis por falhas de cibersegurança, algo inédito no direito alemão.

Simon OrzelSimon Orzel·Laufend geprüft

A transposição alemã da NIS2 operacionaliza o art. 20.º NIS-2 com responsabilidade pessoal explícita do órgão de gestão no §38 BSIG. Os membros do órgão de gestão (Geschäftsführung, Vorstand) de qualquer empresa abrangida pela NIS2, seja GmbH, AG ou KG, são pessoalmente responsáveis por assegurar que as medidas de cibersegurança são implementadas, supervisionadas e mantidas. Isto não é delegável ao departamento de TI.

Isto é totalmente novo. No quadro original da NIS1 (a anterior IT-Sicherheitsgesetz), a responsabilidade recaía sobre a empresa enquanto pessoa coletiva. O §38 BSIG muda as regras do jogo: os gerentes individuais podem agora ser responsabilizados com o seu património pessoal se não cumprirem os seus deveres de cibersegurança. A lei refere explicitamente os Geschäftsleiter, as pessoas que assinam em nome da empresa.

A lei define três deveres centrais para a gestão: aprovação (Billigung) das medidas de cibersegurança, supervisão (Überwachung) da sua implementação, e formação pessoal (Schulung) em cibersegurança. Falhar qualquer um destes cria exposição a responsabilidade pessoal, mesmo que a própria empresa tenha implementado medidas razoáveis.

Três deveres centrais
O §38 BSIG define três obrigações que o órgão de gestão tem de cumprir pessoalmente: implementação e supervisão das medidas de gestão de risco do §30 (§38(1)) e formação pessoal (§38(3)). Nenhuma pode ser delegada a colaboradores, consultores ou prestadores de serviços externos.
1

Aprovação (Billigung)

A gestão tem de aprovar formalmente as medidas de gestão do risco de cibersegurança exigidas pelo §30 BSIG. Isto significa rever e validar as políticas de segurança da informação, as avaliações de risco e os planos de tratamento da empresa. Um aval verbal não é suficiente. Precisa de uma aprovação documentada e rastreável, com datas e assinaturas.

2

Supervisão (Überwachung)

A gestão tem de supervisionar ativamente a implementação das medidas aprovadas. Isto significa revisões de estado regulares, acompanhamento do progresso e gestão de escalamentos. Tem de conseguir demonstrar que monitorizou se as medidas foram efetivamente implementadas, e não apenas que as aprovou e se afastou. Revisões de gestão trimestrais são a frequência mínima defensável.

3

Formação (Schulung)

A gestão tem de concluir pessoalmente formação em cibersegurança para adquirir conhecimentos suficientes para avaliar riscos e medidas. Esta não é a formação geral de sensibilização dos colaboradores do §30(2)(7) BSIG. É uma obrigação distinta, especificamente para o órgão de gestão (§38(3) BSIG). A formação tem de ser adequada para compreender o perfil de risco da empresa, as medidas em vigor e os riscos residuais aceites.

O que acontece quando falha
O BSIG estabelece um regime de aplicação escalonado. O BSI pode emitir ordens, aplicar coimas e, em casos graves, proibir a gestão de exercer as suas funções. Eis as consequências concretas para infrações comuns.

Nenhuma medida de cibersegurança implementada

Coimas até 10 milhões de euros ou 2% do volume de negócios anual global (o que for mais elevado) ao abrigo do §65 BSIG para entidades essenciais. Para wichtige Einrichtungen: até 7 milhões de euros ou 1,4% do volume de negócios. A gestão enfrenta pedidos de responsabilidade pessoal por parte da empresa pelos danos resultantes da infração.

Incidente não comunicado ao BSI

O §32 BSIG exige uma notificação inicial em 24 horas, um seguimento em 72 horas e um relatório final no prazo de um mês. O incumprimento destes prazos desencadeia medidas de aplicação. Se a gestão tinha conhecimento de um incidente e não assegurou a sua comunicação, aplica-se responsabilidade pessoal ao abrigo do §38 por falha de supervisão.

A gestão não concluiu a formação

Infração direta do §38(3) BSIG. Esta é a infração mais fácil de o BSI provar: ou tem registos de formação ou não tem. Também enfraquece a sua defesa em todos os outros pontos. Como pode alegar supervisão adequada se lhe falta a formação para avaliar aquilo que está a supervisionar?

Sem supervisão ativa da implementação

Se as medidas foram aprovadas mas a gestão não consegue demonstrar supervisão contínua (reuniões de revisão, relatórios de estado, registos de escalamento), a aprovação por si só é insuficiente. A lei exige os três deveres. Aprovar sem supervisionar é como assinar um contrato sem o ler. Continua a ser responsável.

Equívocos comuns
Em conversas com empresas do Mittelstand alemão, deparamo-nos repetidamente com os mesmos mal-entendidos. Todos eles criam uma falsa sensação de segurança.

  • Posso delegar isto no departamento de TI

    Pode delegar a execução, mas não a responsabilidade. O §38 BSIG nomeia explicitamente a Geschäftsleitung (todos os membros do órgão de gestão). Não os gestores de TI, não os CISO, não os consultores externos. Tem de aprovar, supervisionar e formar-se pessoalmente. A sua equipa de TI implementa; a gestão aprova e monitoriza. A distinção é decisiva em tribunal.

  • O seguro D&O cobre a responsabilidade da NIS2

    A maioria das apólices D&O exclui coimas e sanções regulamentares. Mesmo onde os pedidos de responsabilidade civil estão cobertos, as seguradoras podem recusar os sinistros se a gestão tiver, de forma consciente, omitido o cumprimento de deveres legais. Verifique as cláusulas de exclusão da sua apólice: o incumprimento de regulamentação obrigatória é uma exclusão padrão nas apólices D&O alemãs.

  • Não sou técnico, não posso ser responsabilizado

    O §38(3) BSIG impõe a obrigação de formação precisamente para eliminar esta defesa. A lei pressupõe que, após concluir formação adequada em cibersegurança, a gestão tem conhecimentos suficientes para cumprir os seus deveres. Não percebo de tecnologia não é uma defesa. É prova de uma infração à obrigação de formação.

  • Os sócios podem renunciar à minha responsabilidade

    O §38(2) BSIG estabelece a responsabilidade pessoal dos membros do órgão de gestão por danos causados com negligência. As restrições à renúncia e à transação de tais créditos decorrem do direito societário (§93(4) AktG, §43(3) GmbHG): as renúncias só são possíveis em condições estritas (tipicamente apenas três anos após o crédito surgir, por deliberação maioritária dos sócios, e apenas se nenhum credor for prejudicado). A assembleia de sócios não pode isentá-lo de forma geral da responsabilidade da NIS2.

  • Somos demasiado pequenos para alguém se preocupar

    O limiar de âmbito da NIS2 começa em 50 ou mais colaboradores OU (>10M de euros de volume de negócios E >10M de euros de total do balanço), a definição de PME da UE ao abrigo da Recomendação 2003/361/CE da Comissão. Se atingir este limiar num setor abrangido, está sujeito ao regime completo, incluindo a responsabilidade da gestão do §38. O BSI já começou a solicitar o registo a empresas desta dimensão. A dimensão não é uma defesa; é um critério de delimitação de âmbito, e está abrangido.

O risco pessoal
Compreender a natureza singular da responsabilidade da gestão na NIS2 ao abrigo do direito alemão.

Eis o que apanha a maioria dos gerentes desprevenidos: ao abrigo do §38 BSIG, é responsável perante a sua própria empresa. Se a empresa sofrer danos por não ter implementado, supervisionado ou recebido formação sobre medidas de cibersegurança, a empresa (ou o seu administrador de insolvência, ou os seus sócios) pode reclamar-lhe os danos pessoalmente. Trata-se de uma responsabilidade interna: a sua própria organização pode processá-lo.

O §38(2) BSIG estabelece a responsabilidade pessoal do órgão de gestão por danos causados com negligência. Os limites do direito societário à renúncia e à transação (§93(4) AktG, §43(3) GmbHG) aplicam-se em paralelo. Em termos práticos, se a empresa for à falência devido a um incidente cibernético, o administrador de insolvência pode acionar créditos contra o seu património pessoal, e uma renúncia geral antecipada por parte dos sócios seria, em regra, ineficaz.

A obrigação de formação do §38(3) BSIG não é desenvolvimento profissional facultativo. É um requisito legal que retira a ignorância como defesa. Uma vez que a lei exige que receba formação, a sua falha em obtê-la é, em si mesma, uma infração. Não pode alegar que não compreendia os riscos quando a lei lhe exigia que os aprendesse.

Três passos para se proteger
A boa notícia: cumprir os seus deveres do §38 BSIG é simples se o abordar de forma sistemática. Estes três passos criam o rasto documentado que o protege.
1

Aprovar formalmente as medidas de cibersegurança

Reveja a avaliação de risco, as políticas de segurança e os planos de tratamento elaborados ao abrigo do §30 BSIG. Valide com o seu nome, data e função. Guarde a aprovação num sistema auditável, não numa caixa de entrada de e-mail. Isto cria a prova documentada de que cumpriu o seu dever de Billigung. Repita sempre que as medidas sofram alterações materiais.

2

Estabelecer processos de supervisão

Agende revisões de gestão trimestrais sobre o estado da cibersegurança. Reveja o progresso da implementação, os riscos em aberto, os relatórios de incidentes e as métricas de eficácia. Documente presenças, decisões e itens de ação. Isto cria o rasto contínuo que comprova o seu dever de Überwachung: não apenas uma aprovação pontual, mas um envolvimento permanente.

3

Concluir formação em cibersegurança

Conclua um programa de formação que cubra o panorama de ameaças da sua empresa, as medidas do §30 BSIG, as obrigações de comunicação de incidentes e os seus deveres pessoais ao abrigo do §38. Documente a formação: prestador, data, conteúdos abordados, certificado se disponível. Atualize anualmente. Isto elimina a lacuna da defesa por ignorância e cumpre o seu dever de Schulung.

Demonstre a sua conformidade
A plataforma de conformidade NIS2 acompanha as aprovações da gestão, as atividades de supervisão e a conclusão de formação, criando o rasto de provas auditável que o protege pessoalmente ao abrigo do §38 BSIG.
Inicie o seu processo de conformidade NIS2