Sanções NIS2: O Que Está Realmente em Risco
Quatro escalões de sanções, exemplos concretos de cálculo para três dimensões de empresa, cenários realistas de aplicação e a responsabilidade pessoal da gestão que o seguro D&O provavelmente não cobre.
O Quadro Sancionatório É Real, Mas Proporcionado
As sanções NIS2 inspiram-se na estrutura sancionatória do GDPR, concebidas para serem suficientemente elevadas para que as empresas não possam tratar as coimas como um custo do negócio. Os montantes máximos (até 10M de euros ou 2% do volume de negócios mundial) ganham as manchetes, mas a realidade para a maioria das empresas de média dimensão é mais matizada. As coimas são avaliadas com base na gravidade da infração, na dimensão da empresa, na boa-fé da empresa e nas medidas corretivas adotadas.
Dito isto, o quadro sancionatório não é teórico. O BSI tem poderes de aplicação, as coimas estão codificadas no §65 BSIG e a responsabilidade pessoal da gestão nos termos do §38 é um mecanismo jurídico autónomo. Ignorar o NIS2 não é uma estratégia viável de gestão de risco. Compreender a estrutura sancionatória real ajuda-o a tomar decisões proporcionadas sobre o investimento em conformidade, sem entrar em pânico nem desvalorizar os riscos.
Até 10.000.000 de euros ou 2% do volume de negócios anual mundial
Entidades essenciais, infrações às medidas de cibersegurança
Aplica-se a entidades essenciais (setores do Anexo I) que não implementem medidas de cibersegurança adequadas nos termos do §30 BSIG, que não reportem incidentes significativos nos termos do §32, ou que de outra forma violem obrigações materiais do NIS2. A coima é o MAIOR entre 10M de euros ou 2% do volume de negócios mundial do exercício anterior.
Até 7.000.000 de euros ou 1,4% do volume de negócios anual mundial
Entidades importantes, infrações às medidas de cibersegurança
Aplica-se às wichtige Einrichtungen (entidades importantes, setores do Anexo II) pelas mesmas infrações materiais. O limite inferior reflete o princípio da proporcionalidade da Diretiva NIS2: as entidades importantes situam-se em setores de menor criticidade. A coima é o MAIOR entre 7M de euros ou 1,4% do volume de negócios mundial do exercício anterior.
Até 500.000 euros
Infrações de registo
Sanção específica por não se registar junto do BSI nos termos do §33 BSIG ou por fornecer informação de registo incorreta. Trata-se de uma infração autónoma: pode ser coimado pela falta de registo mesmo que as suas medidas de cibersegurança sejam adequadas. A sanção de registo aplica-se tanto a entidades essenciais como a importantes.
Até 500.000 euros
Infrações de reporte
Sanção específica por não reportar incidentes significativos dentro dos prazos exigidos (alerta precoce em 24h, notificação em 72h, relatório final em 1 mês) ou por não fornecer a informação exigida durante investigações do BSI. Cada falha de reporte é uma potencial infração autónoma.
| Tipo de empresa | Volume de negócios anual | Coima máx. (essencial) | Coima máx. (importante) |
|---|---|---|---|
| Média dimensão pequena | 15.000.000 de euros | 10.000.000 de euros (aplica-se o limite fixo, 2% seriam apenas 300.000 euros) | 7.000.000 de euros (aplica-se o limite fixo, 1,4% seriam apenas 210.000 euros) |
| Média dimensão intermédia | 50.000.000 de euros | 10.000.000 de euros (aplica-se o limite fixo, 2% seriam apenas 1.000.000 de euros) | 7.000.000 de euros (aplica-se o limite fixo, 1,4% seriam apenas 700.000 euros) |
| Grande empresa | 200.000.000 de euros | 10.000.000 de euros (aplica-se o limite fixo, 2% seriam 4.000.000 de euros) | 7.000.000 de euros (aplica-se o limite fixo, 1,4% seriam 2.800.000 de euros) |
Quatro Cenários Realistas de Aplicação
O que realmente desencadeia a aplicação pelo BSI e como ficam as consequências na prática.
Registo tardio ou em falta junto do BSI
A sua empresa cumpre os critérios de âmbito do NIS2 mas não se registou junto do BSI nos termos do §33 BSIG. O BSI identifica-o através de bases de dados setoriais, listas de membros de associações do setor ou registos comerciais.
O BSI emite uma ordem de conformidade que exige o registo dentro de um prazo fixado. Se cumprir, o assunto pode terminar aí, sobretudo se conseguir demonstrar que genuinamente desconhecia. Se ignorar a ordem, podem ser aplicadas coimas até 500.000 euros. A lacuna de registo também cria documentação de que esteve em incumprimento desde o início, o que enfraquece a sua posição em qualquer outra infração ao NIS2.
Não reporte de um incidente significativo
A sua empresa sofre um ataque de ransomware que interrompe os serviços durante 48 horas. Trata a resposta técnica mas não reporta ao BSI. O incidente torna-se público através da cobertura mediática ou de queixas de clientes.
Não apresentar o alerta precoce inicial dentro de 24 horas é uma infração distinta de não apresentar a notificação de 72 horas e o relatório final: cada uma é um motivo de sanção independente. O BSI investiga e constata que não foi apresentado qualquer relatório. Para além da coima (até 500.000 euros por falha de reporte), o não reporte levanta questões sobre toda a sua postura de conformidade, podendo desencadear uma auditoria mais ampla.
Inexistência de processo de gestão de risco
Durante uma auditoria do BSI (para entidades essenciais) ou na sequência de um incidente (para entidades importantes), o BSI constata que a sua empresa não tem avaliação de risco documentada, não tem inventário de ativos e não tem medidas de cibersegurança para além da operação básica de TI.
Esta é a infração material mais grave: uma ausência total de conformidade com o §30 BSIG. Aplicam-se as sanções máximas (10M/2% para essenciais, 7M/1,4% para importantes). Na prática, o BSI emitiria provavelmente primeiro instruções vinculativas e imporia sanções pelo incumprimento dessas instruções. Mas a falta de qualquer processo de gestão de risco não deixa margem para a defesa de que se tentou de boa-fé.
Lacunas de segurança na cadeia de abastecimento
A sua empresa subcontrata as operações de TI a um prestador de serviços geridos. O prestador sofre uma violação de dados que expõe os dados dos seus clientes. O BSI investiga e constata a inexistência de avaliação de segurança do fornecedor, de requisitos contratuais de cibersegurança e de monitorização da postura de segurança do prestador.
É responsável pela segurança da sua cadeia de abastecimento nos termos do §30(2)(4) BSIG, independentemente de onde ocorreu a violação. A ausência de diligência devida sobre o fornecedor significa que não implementou as medidas exigidas. Isto pode desencadear sanções ao abrigo do quadro de medidas de cibersegurança (até 10M/7M de euros consoante o tipo de entidade), e o próprio incidente desencadeia obrigações de reporte. Se também falhar o reporte, as sanções acumulam-se.
O §38 BSIG cria um mecanismo de responsabilidade pessoal para a gestão da empresa, distinto das coimas administrativas contra a empresa. A Geschäftsführung tem de aprovar as medidas de gestão de risco de cibersegurança, fiscalizar a sua implementação e concluir a formação de cibersegurança. Se estes deveres forem negligenciados e a empresa sofrer danos em consequência, a gestão pode ser responsabilizada pessoalmente por esses danos. Trata-se de responsabilidade civil: o pedido de indemnização parte da empresa (ou do seu administrador de insolvência) contra os gestores individuais.
É decisivo que o §38 BSIG estabeleça que esta responsabilidade não pode ser objeto de renúncia por deliberação dos sócios. Mesmo numa GmbH gerida pelo proprietário, em que o Geschäftsführer é também o sócio único, a responsabilidade existe. As apólices de seguro D&O excluem tipicamente coimas e sanções regulatórias, e a cobertura de responsabilidade específica do NIS2 é uma área em evolução. Verifique a sua apólice concreta em vez de presumir cobertura. A implicação prática: a conformidade com o NIS2 é agora uma questão de gestão de risco pessoal para cada Geschäftsführer, e não apenas uma caixa a assinalar de governação corporativa.
Perguntas Frequentes
Qual é a coima máxima para a minha empresa?
Depende da classificação da sua entidade. Entidades essenciais (setores do Anexo I): o maior entre 10M de euros ou 2% do volume de negócios anual mundial. Entidades importantes (setores do Anexo II): o maior entre 7M de euros ou 1,4% do volume de negócios anual mundial. Para a maioria das empresas de média dimensão (abaixo de 500M de volume de negócios), aplica-se o montante fixo porque 2% do volume de negócios é inferior a 10M de euros. Aplicam-se sanções autónomas até 500.000 euros por infrações de registo e de reporte.
Posso ser coimado pessoalmente como Geschäftsführer?
As coimas administrativas nos termos do §65 BSIG são aplicadas à empresa, não ao indivíduo. Contudo, o §38 BSIG cria responsabilidade civil pessoal por danos resultantes da falta de aprovação e fiscalização das medidas de cibersegurança. Isto significa que enfrenta responsabilidade pessoal pelas perdas da empresa: não uma coima do Estado, mas potencialmente um pedido de indemnização. Num cenário de insolvência, o administrador de insolvência pode mover esse pedido contra si pessoalmente.
O seguro D&O cobre as sanções do NIS2?
A maioria das apólices D&O exclui coimas regulatórias e sanções administrativas, que tipicamente não são seguráveis ao abrigo do direito alemão. A responsabilidade civil nos termos do §38 BSIG (pedidos de indemnização) pode estar coberta pelo seguro D&O, consoante os termos da sua apólice. Reveja a sua apólice concreta e discuta a exposição ao NIS2 com o seu corretor. Não presuma que existe cobertura. Peça confirmação por escrito do que está e não está coberto.
O que desencadeia a aplicação pelo BSI?
Para entidades essenciais: o BSI pode realizar auditorias e inspeções proativas sem um motivo específico. Para entidades importantes: a aplicação é tipicamente reativa, desencadeada por um incidente reportado, uma queixa de terceiros, cobertura mediática de uma violação ou falta de registo. O BSI também cruza dados do registo comercial e de bases de dados setoriais para identificar entidades que deviam estar registadas mas não estão.
As sanções são proporcionais à dimensão da empresa?
Sim, por desenho. O cálculo da percentagem do volume de negócios assegura que as sanções escalam com a dimensão da empresa. Para uma empresa com 15M de volume de negócios, a coima máxima de entidade essencial é 10M de euros (o limite fixo, dado que 2% são apenas 300.000 euros). Para uma empresa de 600M, o máximo é 12M de euros (2% do volume de negócios excede o piso de 10M de euros). Além disso, o BSI é obrigado a considerar a proporcionalidade ao avaliar as sanções: a dimensão da empresa, a gravidade da infração, a duração e os esforços de boa-fé pesam todos no montante efetivo da sanção.
- BSIG, §38 (Responsabilidade da gestão), §65 (Coimas administrativas e quadro sancionatório)
- Diretiva NIS2 (UE) 2022/2555, Artigo 34.º (Medidas de supervisão para entidades essenciais), Artigo 35.º (Medidas de supervisão para entidades importantes), Artigo 36.º (Sanções)
- NIS2UmsuCG, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI, documentação parlamentar sobre o desenho do quadro sancionatório e as considerações de proporcionalidade
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft), análise de cobertura do seguro D&O para responsabilidade regulatória (2025)