O procedimento de coima da NIS 2 passo a passo
O artigo 34.o da NIS 2 fixa o limite máximo. A Ordnungswidrigkeitengesetz alemã fixa o procedimento. O §65 BSIG liga-os.
O que este artigo descreve
A NIS 2 obriga os Estados-Membros a prever coimas administrativas contra entidades que incumpram os seus deveres de gestão de riscos de cibersegurança ou de comunicação. O artigo 34.o da NIS 2 fixa os montantes máximos e os critérios de cálculo. Cada Estado-Membro insere esse limite máximo na sua própria lei de contraordenações.
Na Alemanha, a Lei do BSI aplica o catálogo de coimas no §65 BSIG. Os trilhos processuais situam-se na Ordnungswidrigkeitengesetz (OWiG): audição ao abrigo do §55 OWiG, notificação de coima ao abrigo do §41 OWiG, oposição no prazo de duas semanas ao abrigo do §67 OWiG. As regras substantivas de cálculo do §17 OWiG operam a par dos fatores específicos da NIS 2 no artigo 34.o, n.o 7.
Esta página descreve o aspeto do procedimento visto de fora. Não aconselha sobre como responder. Uma defesa concreta num procedimento ao abrigo do §65 BSIG exige assessoria jurídica penal e regulatória.
Nível da UE: artigo 34.o da NIS 2
Os Estados-Membros asseguram que as coimas aplicadas às entidades essenciais e importantes nos termos do presente artigo, no que respeita às infrações da presente diretiva, são, em cada caso concreto, efetivas, proporcionadas e dissuasivas.
O artigo 34.o, n.o 4, fixa o máximo em 10 milhões de EUR ou 2 % do volume de negócios anual total a nível mundial do exercício financeiro anterior, para as entidades essenciais. O artigo 34.o, n.o 5, fixa 7 milhões de EUR ou 1,4 %, para as entidades importantes, consoante o que for mais elevado em cada caso.
Nível nacional: §65 BSIG (Alemanha)
Eine Ordnungswidrigkeit kann bei einer besonders wichtigen Einrichtung mit einer Geldbuße bis zu zehn Millionen Euro oder bis zu zwei Prozent des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes des Unternehmens, dem die Einrichtung angehört, geahndet werden, je nachdem, welcher Betrag höher ist. Bei einer wichtigen Einrichtung beträgt die Geldbuße bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des Gesamtumsatzes.
O §65 BSIG reflete o limite máximo do artigo 34.o da NIS 2. A lista de condutas puníveis no §65(1) BSIG abrange, entre outras, falhas nas medidas de gestão de riscos do §30 BSIG, a comunicação de incidentes em falta do §32 BSIG e o registo em falta do §33 BSIG.
Código processual: OWiG
Vor Erlass eines Bußgeldbescheids ist dem Betroffenen Gelegenheit zu geben, sich zu der Beschuldigung zu äußern. (§55 OWiG)
A OWiG rege o procedimento. O §55 OWiG exige uma audição antes da notificação de coima. O §41 OWiG especifica a forma do Bußgeldbescheid. O §67 OWiG concede ao destinatário duas semanas a contar da notificação para deduzir um Einspruch. O §17 OWiG rege o cálculo substantivo, aplicado em conjunto com os critérios do artigo 34.o, n.o 7, da NIS 2.
Início
Um procedimento ao abrigo do §65 BSIG começa normalmente depois de a autoridade de supervisão constatar um facto desencadeador: falha das medidas de cibersegurança do §30 BSIG descoberta numa auditoria ou autorrelato, uma comunicação de incidente do §32 BSIG em falta ou tardia (aviso prévio em 24 horas, seguimento em 72 horas, relatório final em um mês), ou um registo do §33 BSIG em falta. A autoridade abre um Ordnungswidrigkeitenverfahren e notifica a entidade.
Anhörungsschreiben
Antes de poder ser emitida qualquer notificação de coima, a autoridade envia um Anhörungsschreiben que enumera a conduta alegada, a base jurídica ao abrigo do §65 BSIG e um prazo para apresentar observações. A carta de audição é processual, não um veredicto. O silêncio não trava o procedimento. O quadro do §65 BSIG prevê que a matéria seja decidida com base no processo se a entidade não responder.
Bußgeldbescheid
Se a autoridade concluir que a infração está estabelecida, emite um Bußgeldbescheid ao abrigo do §41 OWiG. O montante é calculado segundo os critérios do artigo 34.o, n.o 7, da NIS 2 (gravidade, duração, intenção ou negligência, infrações anteriores, benefício financeiro, cooperação, medidas anteriores) em conjunto com o §17 OWiG. A notificação inclui uma instrução do §67 OWiG: duas semanas para deduzir um Einspruch.
Efetivas, proporcionadas, dissuasivas
O artigo 34.o, n.o 1, da NIS 2 vincula a autoridade à proporcionalidade. O limite máximo de 10 milhões de EUR ou 2 % é um máximo, não uma tarifa. O §17 OWiG exige que a autoridade pondere a importância da infração e a situação económica da entidade. Na prática, o cálculo move-se nos dois sentidos: sobe pela gravidade e reincidência, desce pela cooperação genuína e por medidas anteriores demonstráveis.
A cooperação é um fator de cálculo
O artigo 34.o, n.o 7, alínea f), da NIS 2 enumera o grau de cooperação com as autoridades competentes como fator atenuante. A divulgação voluntária da violação, as provas de medidas corretivas e o pleno acesso ao processo contam todos no cálculo. As medidas anteriores da entidade ao abrigo do §30 BSIG (artigo 34.o, n.o 7, alínea d), da NIS 2) são lidas em função da mesma referência.
Bundesamt für Sicherheit in der Informationstechnik
O BSI é a autoridade de supervisão competente para a maioria dos setores NIS 2 na Alemanha ao abrigo do §1 BSIG. Abre e conduz o procedimento de coima do §65 BSIG. Os operadores de instalações críticas (KRITIS) ficam sob a mesma autoridade. Os Bußgeldbescheide e a correspondência de Einspruch correm através do BSI.
ENISA e Grupo de Cooperação
A ENISA não aplica coimas. Produz orientações e coordena o Grupo de Cooperação NIS ao abrigo do artigo 14.o da NIS 2. Os resultados da ENISA (taxonomia de incidentes, orientações setoriais) informam o que conta como estado da técnica ao abrigo do artigo 21.o, n.o 2, da NIS 2 e, por isso, alimentam o cálculo do artigo 34.o, n.o 7.
Supervisores setoriais
Para finanças, energia, transportes e saúde, os reguladores setoriais mantêm um papel paralelo ao abrigo do §61 BSIG e da lei específica do setor. O limite máximo do §65 BSIG continua a aplicar-se. Quando a DORA abrange uma entidade financeira, o regime de sanções da própria DORA prevalece quanto às medidas de cibersegurança, mas o dever de registo do artigo 27.o da NIS 2 continua a correr.
O limite máximo de 2 % é calculado sobre o volume de negócios da entidade alemã.
O artigo 34.o, n.o 4, da NIS 2 e o §65 BSIG calculam a percentagem sobre o volume de negócios anual total a nível mundial da empresa a que a entidade pertence, no exercício financeiro anterior. Para filiais dentro de um grupo maior, isto pode elevar o limite máximo em várias ordens de grandeza acima da receita local.
Se ignorarmos a Anhörung, o assunto desaparece.
O §55 OWiG apenas exige que a autoridade dê à entidade a oportunidade de apresentar observações. Não exige uma resposta. O quadro do §65 BSIG prevê que a matéria avance para um Bußgeldbescheid com base no processo se não chegar qualquer observação. O código processual não abranda perante o silêncio.
A divulgação total de todos os pormenores operacionais minimiza a coima.
O artigo 34.o, n.o 7, alínea f), da NIS 2 premeia a cooperação com a autoridade competente. Não exige que a entidade construa o processo da autoridade por ela. A linha entre cooperação e autoincriminação é o ponto a partir do qual se envolve assessoria jurídica. Admissões processuais feitas sem assessoria jurídica são difíceis de retratar.
O prazo de duas semanas de Einspruch no §67 OWiG corre a partir da notificação do Bußgeldbescheid. É um prazo legal, não negociável. Perdê-lo torna a notificação definitiva ao abrigo do §66 OWiG, após o que restam apenas vias de reparação estreitas. A carta de audição ao abrigo do §55 OWiG não tem por si um prazo equivalente, mas a autoridade fixa um na carta.
Uma defesa concreta num procedimento ao abrigo do §65 BSIG exige assessoria jurídica penal e regulatória. Este artigo descreve o procedimento e as âncoras jurídicas. Não aborda como responder a uma carta de audição ou notificação de coima específica. Tudo o que toca a substância da gestão de risco da entidade (§30 BSIG), o seu histórico de comunicações (§32 BSIG) ou as suas medidas anteriores ao abrigo do artigo 21.o da NIS 2 deve ser discutido com assessoria jurídica antes de sair da entidade.
Um procedimento ao abrigo do §65 BSIG é decidido com base no processo. O cálculo do artigo 34.o, n.o 7, da NIS 2 premeia medidas anteriores, cooperação e um histórico documentado. Esse histórico é construído antes de chegar qualquer carta: quem aprovou que controlo, quando foi comunicado um incidente, que provas estavam por trás das medidas de gestão de risco do §30 BSIG.
A plataforma regista esse histórico de forma contínua. As aprovações, os rastos de atribuição, as comunicações de incidentes e as aprovações de políticas têm datas e horas e identidades. Nada disso decide um procedimento. Tudo isso é o tipo de processo que o cálculo do §17 OWiG e do artigo 34.o, n.o 7, da NIS 2 analisa.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 34.o: Condições gerais para a aplicação de coimas a entidades essenciais e importantes.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §65: Bußgeldvorschriften.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (Risikomanagement), §32 (Meldepflichten), §33 (Registrierung).
- Gesetz über Ordnungswidrigkeiten (OWiG), §17 (Bemessung), §41 (Bußgeldbescheid), §55 (Anhörung), §66 (Rechtskraft), §67 (Einspruch).
- ENISA, resultados do Grupo de Cooperação NIS 2 e orientações técnicas de aplicação.