Responsabilidade pessoal do órgão de gestão ao abrigo da NIS 2
O artigo 20.o da diretiva NIS 2 atribui três deveres ao órgão de gestão: aprovar as medidas de gestão de riscos de cibersegurança, supervisionar a sua aplicação e receber formação. O direito societário nacional converte o incumprimento desses deveres num pedido de indemnização pessoal contra o indivíduo.
O que o artigo 20.o efetivamente diz
O artigo 20.o da Diretiva (UE) 2022/2555 coloca o dever de cibersegurança no órgão de gestão de cada entidade essencial e importante. O órgão de gestão tem de aprovar as medidas de gestão de riscos exigidas pelo artigo 21.o, tem de supervisionar a sua aplicação e pode ser responsabilizado pelas infrações da entidade ao artigo 21.o.
O artigo 20.o, n.o 2, acrescenta uma obrigação separada: os membros do órgão de gestão têm de seguir formação para adquirir conhecimentos suficientes que lhes permitam identificar riscos e avaliar as práticas de gestão de riscos de cibersegurança. A diretiva também incentiva formação semelhante para os colaboradores.
São deveres da pessoa singular, não da empresa. A NIS 2 não cria, por si só, uma causa de pedir privada contra o administrador, mas eleva o padrão de conduta face ao qual o direito societário nacional mede o comportamento do administrador. Na Alemanha, esse padrão é a Sorgfaltspflicht no §43 GmbHG e no §93 AktG.
Diretiva da UE
Os Estados-Membros asseguram que os órgãos de gestão das entidades essenciais e importantes aprovem as medidas de gestão de riscos de cibersegurança tomadas por essas entidades para dar cumprimento ao artigo 21.o, supervisionem a sua aplicação e possam ser responsabilizados pelas infrações ao referido artigo cometidas pelas entidades.
Artigo 20.o, n.o 1, da NIS 2 (Diretiva (UE) 2022/2555). O dever é atribuído diretamente ao órgão de gestão, não à empresa enquanto pessoa jurídica distinta.
Regulamento de Execução da UE
As entidades essenciais e importantes estabelecem, aplicam e mantêm um enquadramento adequado de gestão de riscos de cibersegurança que defina as políticas, os processos, os procedimentos e os papéis relevantes para a gestão dos riscos de cibersegurança.
Regulamento de Execução (UE) 2024/2690 da Comissão, anexo secção 1. O regulamento vincula a categoria restrita de fornecedores de infraestrutura digital e de serviços digitais listados no artigo 1.o; para todos os outros setores, é um referencial de qualidade, não a norma vinculativa.
Transposição nacional
Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung ihrer Pflichten nach §30 zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.
§38(1) BSIG (na redação do NIS2UmsuCG, o ato alemão de implementação da NIS 2). O §38(3) exige que o órgão de gestão receba formação regular. O gancho da responsabilidade pessoal está no direito societário geral que o §38 referencia, não no próprio §38.
Aprovar, supervisionar, formar
O artigo 20.o, n.o 1, exige que o órgão de gestão aprove as medidas do artigo 21.o e supervisione a aplicação. O artigo 20.o, n.o 2, exige formação. Ambos os deveres recaem sobre o membro individual do órgão de gestão.
Transposição alemã
O §38 BSIG repete o dever de aprovação, supervisão e formação no direito alemão. O §38 não indica, por si só, um valor de indemnização; define o padrão de conduta. As sanções pecuniárias estão no §65 BSIG e visam a entidade, não o administrador.
A Sorgfaltspflicht como ponte de responsabilidade
O §43 GmbHG exige que o Geschäftsführer aplique o cuidado de um empresário prudente, e o §43(2) torna-o solidariamente responsável perante a empresa pelos danos causados por uma violação de deveres. O §93 AktG estabelece o padrão equivalente para o Vorstand de uma Aktiengesellschaft. A falha no cumprimento do dever do artigo 20.o torna-se prova de que a Sorgfaltspflicht foi violada.
A responsabilidade pessoal corre para a empresa, não para terceiros
Os pedidos do §43 GmbHG e do §93 AktG são pedidos da empresa contra o seu próprio administrador. Tornam-se operativos quando o órgão de fiscalização, os sócios, um administrador de insolvência ou uma gestão sucessora decidem prossegui-los. A NIS 2 não cria um pedido direto dos reguladores ou de terceiros afetados contra o indivíduo; cria a violação subjacente.
A Sorgfaltspflicht mede-se face à prática do setor
Os tribunais alemães avaliam a Sorgfaltspflicht face ao que um empresário prudente, no mesmo cargo e setor, teria feito. A NIS 2 e o regulamento de execução definem agora parte desse referencial para a cibersegurança. Um órgão de gestão que ignore as medidas do artigo 21.o contraria um padrão que está agora escrito na lei.
Orientação do BSI
O Bundesamt für Sicherheit in der Informationstechnik (BSI) enquadra o §38 BSIG como um dever de gestão indelegável. A Handreichung zur Geschäftsleitungs-Schulung (abril de 2026, v1.0) é contributo de investigação, não um currículo vinculativo; descreve, isso sim, o conteúdo substantivo que o BSI espera que o órgão de gestão conheça.
Jurisprudência alemã de direito societário
O Bundesgerichtshof tem entendido há muito, ao abrigo do §43 GmbHG, que um Geschäftsführer tem de organizar a empresa de modo que os deveres legais sejam efetivamente cumpridos, incluindo através da criação de linhas de reporte e de supervisão. A NIS 2 especifica um desses deveres legais em detalhe.
Orientação Técnica de Implementação da ENISA
A Agência da União Europeia para a Cibersegurança (ENISA) publica a Orientação Técnica de Implementação para as medidas do artigo 21.o da NIS 2 e mapeia-as para a ISO 27001, o NIST CSF 2.0, a ETSI 319 401 e a CEN/TS 18026. A orientação não é vinculativa, mas é o texto de referência que auditores e tribunais tratam como o estado da técnica.
Delegámos a cibersegurança no CISO, portanto o órgão de gestão está safo.
O artigo 20.o, n.o 1, coloca o dever de aprovação e supervisão no próprio órgão de gestão. A execução operacional pode ser delegada, mas os deveres de aprovar as medidas e de supervisionar a aplicação não. A jurisprudência do §43 GmbHG trata a falha organizativa como uma violação primária do Geschäftsführer, independentemente de quem foi encarregado operacionalmente.
Se um Geschäftsführer não é técnico, o dever não se lhe pode aplicar pessoalmente.
O artigo 20.o, n.o 2, exige que os membros do órgão de gestão recebam formação que lhes dê conhecimentos suficientes para avaliar as práticas de gestão de riscos de cibersegurança. A falta de competência técnica é precisamente o que o artigo 20.o, n.o 2, aborda; não é uma defesa contra o §43 GmbHG.
O seguro D&O cobre qualquer responsabilidade da NIS 2.
As apólices D&O respondem tipicamente a pedidos da empresa contra o administrador ao abrigo do §43 GmbHG ou do §93 AktG, que é onde a violação do artigo 20.o recai. As apólices excluem regularmente as coimas regulamentares (por exemplo, as coimas ao nível da entidade do §65 BSIG), os atos intencionais e as violações conscientes. As exclusões, a franquia e os fatores de cobertura são específicos de cada apólice e são aqui descritos, não prejulgados.
Na prática, o dever do artigo 20.o produz três artefactos. Uma aprovação escrita das medidas de gestão de riscos do artigo 21.o pelo órgão de gestão. Um registo de supervisão que mostra que o órgão de gestão recebeu atualizações de estado e reagiu. Um registo de formação para cada membro do órgão de gestão.
Auditores, seguradoras e, num cenário desfavorável, uma gestão sucessora ou um administrador de insolvência vão procurar estes três artefactos. A sua ausência é o que transforma o dever do artigo 20.o num pedido ao abrigo do §43 GmbHG.
A plataforma modela o dever do artigo 20.o como a categoria GOV no registo de obrigações NIS 2. A aprovação das medidas de gestão de riscos assenta num requisito de aprovação atribuído ao órgão de gestão. A supervisão é o trilho de auditoria ao longo dos requisitos do artigo 21.o. A formação é acompanhada por membro com prova de conclusão.
A questão substantiva de saber se um tribunal consideraria que houve violação da Sorgfaltspflicht num caso concreto é uma questão para o aconselhamento jurídico. A plataforma produz o registo documental sobre o qual essa questão jurídica é decidida.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 20.o e artigo 21.o. Fonte: EUR-Lex.
- Regulamento de Execução (UE) 2024/2690 da Comissão, anexo secção 1. Fonte: EUR-Lex.
- BSI-Gesetz, §38 (dever de governação dos órgãos de gestão) e §65 (sanções). Fonte: gesetze-im-internet.de.
- §43 GmbHG (Sorgfaltspflicht do Geschäftsführer). Fonte: gesetze-im-internet.de.
- §93 AktG (Sorgfaltspflicht do Vorstand). Fonte: gesetze-im-internet.de.
- BSI Handreichung zur Geschäftsleitungs-Schulung nach §38(3) BSIG, v1.0 (abril de 2026). Contributo de investigação não vinculativo. Fonte: bsi.bund.de.
- Orientação Técnica de Implementação da ENISA para as medidas de gestão de riscos da NIS 2. Fonte: enisa.europa.eu.