HinSchG + NIS 2

Denúncias sobre falhas na NIS 2

A Diretiva (UE) 2019/1937 protege as denúncias de violações da segurança das redes e da informação. A Hinweisgeberschutzgesetz alemã (HinSchG) é a transposição nacional. Esta página descreve o quadro, não é aconselhamento jurídico para um caso concreto.

Simon OrzelSimon Orzel·

O que esta página é

A denúncia é uma via jurídica distinta da comunicação de incidentes da NIS 2. Um colaborador, prestador de serviços ou candidato a emprego que denuncie uma falha de conformidade com a NIS 2 está protegido pela Diretiva (UE) 2019/1937. A diretiva enumera explicitamente a segurança das redes e da informação no anexo, parte I.B, como uma área de denúncia protegida.

Na Alemanha, a Hinweisgeberschutzgesetz (HinSchG, em vigor desde 2 de julho de 2023) transpõe a diretiva. O Bundesamt für Justiz aloja o canal externo central. As entidades com 50 ou mais colaboradores são obrigadas a manter um canal de denúncia interno ao abrigo do §12 da HinSchG.

Uma denúncia a uma autoridade externa não substitui a notificação de incidente da própria entidade ao abrigo do artigo 23.º da NIS 2 (§32 BSIG na Alemanha). Ambos os deveres podem ser desencadeados pelo mesmo evento e ambos correm nos seus próprios prazos.

Âncora jurídica
Primeiro a camada da UE, depois a transposição alemã. Apenas citações textuais.

Diretiva (UE) 2019/1937, anexo, parte I.B

Segurança das redes e dos sistemas de informação, na aceção do artigo 4.º, ponto 1, da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho.

O anexo enumera as áreas de política em que uma denúncia é protegida. A segurança das redes e da informação consta da parte I.B, a par da segurança dos transportes e da proteção do ambiente. A NIS 2 (Diretiva 2022/2555) substitui a Diretiva 2016/1148, pelo que as denúncias sobre falhas de conformidade com a NIS 2 cabem neste âmbito.

Diretiva (UE) 2019/1937, artigo 4.º (âmbito de aplicação pessoal)

A presente diretiva é aplicável aos denunciantes que trabalhem no setor privado ou público e que tenham obtido informações sobre violações num contexto profissional.

O âmbito de aplicação pessoal abrange trabalhadores, trabalhadores por conta própria, acionistas, membros de órgãos de administração, voluntários, estagiários remunerados ou não, prestadores de serviços, subcontratantes e fornecedores. Os candidatos a emprego e os antigos trabalhadores também estão protegidos. As denúncias anónimas são permitidas pelo §16(1) da HinSchG, mas o seguimento pode ser limitado.

HinSchG §12 (canais de denúncia internos)

Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschäftigte zur Abgabe von Meldungen nach diesem Gesetz wenden können.

O limiar de 50 colaboradores é, em regra, um valor de efetivos, não um número diário exato. As entidades com menos de 50 colaboradores podem criar um canal interno voluntariamente; as entidades com 50 ou mais têm de o fazer. O Bundesamt für Justiz opera o canal externo.

Três blocos de construção
A arquitetura da HinSchG em três peças.
Matéria

O que pode ser denunciado

O §2 da HinSchG enumera as matérias de denúncia protegidas. Entre elas: violações do direito da UE, incluindo a segurança das redes e da informação. Uma denúncia sobre uma obrigação da NIS 2, por exemplo o incumprimento na implementação das medidas do artigo 21.º ou a falta de notificação de incidente ao abrigo do artigo 23.º, está abrangida.

Canais

Interno primeiro, externo em paralelo

Canal interno ao abrigo do §12 da HinSchG (50 ou mais colaboradores). Canais externos ao abrigo do §19 da HinSchG: o Bundesamt für Justiz como serviço externo central, mais autoridades específicas do setor. O denunciante pode escolher qualquer um; o considerando 33 da diretiva exprime uma preferência pelo interno em primeiro lugar, mas não faz disso uma condição prévia.

Conservação

Dever de documentação

§11 da HinSchG: as denúncias são documentadas de forma duradoura e recuperável. A documentação é eliminada três anos após o encerramento do procedimento; é permitida uma conservação mais longa quando necessária para processos judiciais. Os dados pessoais seguem os princípios do GDPR.

Dois pontos inegociáveis
Estes dois princípios são a espinha dorsal da Diretiva (UE) 2019/1937.

Confidencialidade da identidade

§8 da HinSchG: a identidade do denunciante, das pessoas referidas na denúncia e de terceiros mencionados é mantida confidencial. A divulgação só é permitida em exceções estritas, por exemplo um pedido escrito de uma autoridade de ação penal. Os responsáveis pelo tratamento dos casos têm de ser independentes e isentos de conflitos de interesse.

Proibição de retaliação

§36 da HinSchG proíbe a retaliação contra o denunciante. Isto abrange o despedimento, a despromoção, a recusa de formação, a avaliação de desempenho negativa e medidas semelhantes. O §36(2) inverte o ónus da prova: se uma pessoa sofrer uma desvantagem após uma denúncia, presume-se que a desvantagem é uma retaliação, salvo se o empregador provar o contrário.

Quem recebe as denúncias externas sobre a NIS 2
A Alemanha tem mais do que um canal externo. O endereço certo depende da matéria da denúncia.
DE

O BSI como autoridade setorial

O Bundesamt für Sicherheit in der Informationstechnik (BSI) é a autoridade competente para a supervisão da NIS 2 ao abrigo do §61 BSIG. Uma denúncia que alegue que uma entidade não cumpre as medidas do artigo 21.º ou que não se registou ao abrigo do artigo 27.º acabará tipicamente no BSI através do encaminhamento do canal externo, mesmo que seja primeiro apresentada junto do Bundesamt für Justiz.

DE

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

O BfDI é o canal externo específico do setor para violações de proteção de dados federais. A NIS 2 e o GDPR sobrepõem-se quando um incidente envolve dados pessoais. Uma denúncia pode nomear ambas as bases jurídicas; a autoridade recetora encaminha as partes para o organismo competente.

DE

Bundesamt für Justiz como canal externo central

O Bundesamt für Justiz opera o serviço de denúncia externo central ao abrigo do §19 da HinSchG. É o endereço externo por defeito se nenhum canal específico do setor for aplicável, e encaminha as denúncias para o supervisor competente (BSI, BNetzA, BaFin, BfDI) quando a matéria aí se situa.

Mal-entendidos frequentes
Três padrões que surgem na prática.

  • Uma denúncia ao BSI substitui a nossa notificação de incidente do artigo 23.º.

    Não substitui. O artigo 23.º da NIS 2 e o §32 BSIG colocam o dever de notificar na entidade. Uma denúncia de terceiros abre um processo de supervisão distinto. O alerta precoce e as notificações de 24 horas e de 72 horas da própria entidade correm de forma independente.

  • Temos 60 colaboradores, mas ninguém nunca denunciou nada, por isso não precisamos de um canal.

    O §12 da HinSchG liga o dever ao número de efetivos, não ao facto de terem ou não sido apresentadas denúncias. O §40 da HinSchG associa uma coima até 20.000 EUR à falta de operação de um canal interno. A coima começa em 1 de dezembro de 2023 para entidades com 50 a 249 colaboradores.

  • Podemos dispensar a pessoa que apresentou a denúncia porque o desempenho caiu.

    O §36 da HinSchG presume que a medida é uma retaliação a partir do momento em que uma denúncia é apresentada. O ónus da prova recai sobre o empregador para demonstrar uma razão não relacionada e documentada. As decisões sobre o denunciante tomadas após uma denúncia ficam sob escrutínio reforçado.

Perspetiva do profissional

Dois relógios correm em paralelo após uma denúncia sobre uma falha na NIS 2. O relógio um é o prazo de resposta da HinSchG: aviso de receção no prazo de sete dias ao abrigo do §17(1)(1), retorno ao denunciante no prazo de três meses ao abrigo do §17(1)(4). O relógio dois é qualquer dever de incidente da NIS 2 que a matéria da denúncia desencadeie, que é a obrigação do artigo 23.º da própria entidade e não do denunciante.

O padrão mais limpo em entidades de média dimensão: um responsável de caso nomeado em compliance ou RH, um segundo nomeado como suplente, um formulário de entrada escrito que capta a matéria sem forçar a divulgação da identidade, e um registo escrito que documenta cada passo com data e hora. O registo é a única prova que existe mais tarde se um tribunal perguntar como a denúncia foi tratada.

Como isto se liga ao seu registo de obrigações

As denúncias não fazem parte do próprio registo de obrigações da NIS 2. São um dever de governação paralelo ao abrigo da HinSchG, com o seu próprio canal, a sua própria conservação e a sua própria regra de não retaliação.

O registo de obrigações responde à pergunta sobre quais medidas da NIS 2 a entidade implementou e como isso está documentado. O canal de denúncia responde à pergunta sobre como a entidade recebe e processa as denúncias de lacunas nessas medidas. Ambos são registos independentes e ambos podem ser solicitados por um supervisor.

Fontes
  • Diretiva (UE) 2019/1937, de 23 de outubro de 2019, relativa à proteção das pessoas que denunciam violações do direito da União (JO L 305, de 26.11.2019, p. 17). Anexo, parte I.B, e artigo 4.º.
  • Hinweisgeberschutzgesetz (HinSchG), de 31 de maio de 2023, BGBl. 2023 I Nr. 140. §§ 2, 8, 11, 12, 16, 17, 19, 36, 40.
  • Diretiva (UE) 2022/2555 (NIS 2), de 14 de dezembro de 2022, artigos 21.º, 23.º, 27.º.
  • BSI-Gesetz (BSIG), §§ 32, 33, 61, 65.
  • Bundesamt für Justiz, serviço de denúncia externo ao abrigo do §19 da HinSchG.
Verifique primeiro a aplicabilidade da NIS 2
Antes de mapear o seu canal de denúncia para a NIS 2, confirme se a sua entidade está, à partida, abrangida pela NIS 2.
Faça a verificação de aplicabilidade