Somos uma entidade da administração pública ao abrigo da NIS 2?
A administração pública situa-se no setor 10 do Anexo I da NIS 2 e no artigo 2.o, n.o 2, alínea f). O governo central está dentro independentemente da dimensão. O governo regional está dentro se o seu Estado-Membro tiver feito a avaliação baseada no risco. As exclusões dos artigos 2.o, n.os 5 a 7, são estreitas e funcionais, não institucionais.
A versão curta
A administração pública está no setor 10 do Anexo I da NIS 2. O teste de dimensão que deixa de fora as pequenas empresas privadas não se aplica aqui. O artigo 2.o, n.o 2, alínea f), diz que as entidades da administração pública do governo central estão dentro independentemente da dimensão, e que as entidades da administração pública ao nível regional estão dentro se o Estado-Membro as tiver identificado após uma avaliação baseada no risco.
A diretiva exclui depois atividades específicas, não instituições específicas. O artigo 2.o, n.o 5, deixa de fora a segurança nacional, a defesa, a segurança pública, a aplicação da lei e as atividades judiciais. O artigo 2.o, n.o 7, deixa de fora os parlamentos e os bancos centrais. Uma autoridade policial que corre o IT interno de RH e finanças está dentro para esse IT. A mesma autoridade está fora para os seus sistemas operacionais de aplicação da lei. A função decide, não o crachá na porta.
Na Alemanha, o §28 BSIG operacionaliza a regra para a Bundesverwaltung. O §29 BSIG dá aos Länder a base jurídica para trazer a sua Landes- e Kommunalverwaltung para o âmbito. Até um Land usar o §29 BSIG, os municípios desse Land estão formalmente de fora, ainda que toda a agenda de conferências de NIS 2 os trate como dentro. Leia a sua Landes-Cybersicherheitsgesetz antes de se classificar.
Artigo 2.o, n.o 2, alínea f), da Diretiva NIS 2 (2022/2555)
A presente diretiva aplica-se às entidades de um tipo referido no Anexo I ou no Anexo II, independentemente da sua dimensão, sempre que a entidade seja uma entidade da administração pública (i) do governo central, conforme definido por um Estado-Membro nos termos do direito nacional; ou (ii) ao nível regional, conforme definido por um Estado-Membro nos termos do direito nacional que, na sequência de uma avaliação baseada no risco, presta serviços cuja perturbação poderia ter um impacto significativo em atividades societais ou económicas críticas.
Literal do JO L 333/110. Duas metades. O governo central está dentro automaticamente. O governo regional está dentro apenas depois de o Estado-Membro ter feito a avaliação baseada no risco e identificado as entidades. O teste de dimensão do artigo 2.o, n.o 1, não se aplica a nenhum dos dois.
Artigo 2.o, n.o 5, da Diretiva NIS 2 (exclusões)
A presente diretiva não se aplica às entidades da administração pública que exercem as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, a investigação, a deteção e a repressão de infrações penais.
A exclusão é funcional. A exclusão segue a atividade, não a instituição. Uma autoridade policial federal está fora para os seus sistemas de aplicação da lei e dentro para o seu IT empresarial. O artigo 2.o, n.o 7, acrescenta os parlamentos e os bancos centrais. O artigo 2.o, n.o 6, permite aos Estados-Membros isentar as entidades que exercem atividades ao abrigo do artigo 2.o, n.o 5, apenas nesses domínios.
§28 e §29 BSIG (Alemanha)
O §28 BSIG transpõe a regra do governo central e vincula as Einrichtungen der Bundesverwaltung. O §29 BSIG habilita os Länder a trazer as Einrichtungen der Landes- und Kommunalverwaltung para o âmbito através das suas próprias Landes-Cybersicherheitsgesetze, na sequência da avaliação baseada no risco exigida pelo artigo 2.o, n.o 2, alínea f), subalínea ii), da NIS 2.
Dois pontos de ancoragem alemães, não um. A Bundesverwaltung está dentro por lei federal. A Landesverwaltung e a Kommunalverwaltung dependem da legislação dos Länder. Alguns Länder já publicaram projetos de Landes-Cybersicherheitsgesetze; outros não. O estatuto jurídico de um Kommune depende do Land em que se situa.
Governo central
As entidades da administração pública do governo central, conforme definidas pelo direito nacional, estão dentro independentemente da dimensão. Ministérios federais, agências federais, autoridades federais. Sem limiar de dimensão. Na Alemanha, isto é a Bundesverwaltung ao abrigo do §28 BSIG. O rótulo 'central' é fixado pelo direito nacional, pelo que a lista difere entre Estados-Membros, mas a regra estrutural é a mesma.
Governo regional
As entidades da administração pública ao nível regional só estão dentro se o Estado-Membro as tiver identificado na sequência de uma avaliação baseada no risco. A diretiva não as designa automaticamente. Na Alemanha, os Länder usam o §29 BSIG e as suas Landes-Cybersicherheitsgesetze para fazer essa identificação e vincular a Landesverwaltung e a Kommunalverwaltung. Até o Land relevante ter atuado, as entidades regionais estão formalmente fora da diretiva.
Exclusões funcionais
O artigo 2.o, n.o 5, exclui as atividades na segurança nacional, na segurança pública, na defesa e na aplicação da lei. O artigo 2.o, n.o 7, exclui os parlamentos e os bancos centrais. A exclusão liga-se à atividade, não à instituição. O IT administrativo geral de um ministério mantém-se dentro. O sistema de gestão de processos de uma força policial está fora. Documente que sistemas ficam de que lado da linha.
A dimensão não se aplica
O teste de dimensão do artigo 2.o, n.o 1 (50 colaboradores, 10 milhões de euros), não se aplica à administração pública. O artigo 2.o, n.o 2, alínea f), é uma exceção independente da dimensão. Uma autoridade federal de 12 pessoas está dentro. Uma Bundesoberbehörde de 4 pessoas está dentro. Os únicos filtros são 'isto é governo central', 'isto é governo regional que o Estado-Membro identificou' e 'esta atividade está excluída pelo artigo 2.o, n.o 5, ou n.o 7'.
As exclusões seguem a função, não a instituição
O considerando 8 torna isto explícito. As exclusões do artigo 2.o, n.o 5, não são um passe livre para a polícia, a defesa e os serviços de informações. Abrangem as atividades nesses domínios. A mesma autoridade pode estar fora para os seus sistemas operacionais e dentro para o seu IT empresarial, sistemas de RH, sistemas financeiros e sistemas voltados para fornecedores. Mapeie as suas atividades e depois mapeie os seus sistemas face a elas.
BSI / §28 BSIG
O BSI é a autoridade competente para a Bundesverwaltung ao abrigo do §28 BSIG. Os ministérios e agências federais estão dentro por lei federal, sem teste de dimensão, sem adesão voluntária. O BSI publica Verwaltungsvorschriften específicas e perfis de IT-Grundschutz para as autoridades federais (Mindeststandards nach §8 BSIG).
Landes-Cybersicherheitsgesetze
O §29 BSIG habilita cada Land a legislar sobre que entidades da Landes- e Kommunalverwaltung estão no âmbito. O Land faz a avaliação baseada no risco que o artigo 2.o, n.o 2, alínea f), subalínea ii), exige. Até essa legislação existir, o BSIG federal não vincula as entidades regionais. Verifique se o seu Land publicou um projeto de Cybersicherheitsgesetz antes de classificar um Kommune.
Rastreador de transposição da NIS 2 da ENISA
A ENISA publica uma página de transposição da NIS 2 que enumera as leis nacionais, as autoridades competentes por Estado-Membro e as decisões nacionais de âmbito para a administração pública. É a fonte única mais limpa para autoridades transfronteiriças ou organizações de serviços partilhados que apurem o regulador junto do qual apresentam processos em cada país.
Leis de transposição nacionais
O artigo 2.o, n.o 2, alínea f), vincula a administração pública em toda a UE. Os Países Baixos cobrem-na através da Cyberbeveiligingswet, a França através da Ordonnance n.o 2024-1093, a Áustria através da NISG. A regra independente da dimensão da diretiva é a mesma em todo o lado. Cada Estado-Membro decide o que conta como central e que entidades regionais passam na avaliação baseada no risco.
Somos um Kommune, por isso estamos automaticamente na NIS 2.
Não só por lei federal. O §28 BSIG vincula a Bundesverwaltung. A Landes- e Kommunalverwaltung entram no âmbito através do §29 BSIG e da Landes-Cybersicherheitsgesetz relevante, depois de o Land ter feito a avaliação baseada no risco que o artigo 2.o, n.o 2, alínea f), subalínea ii), exige. Verifique o estatuto do seu Land antes de presumir.
Fazemos trabalho de aplicação da lei, por isso estamos fora da NIS 2.
A exclusão do artigo 2.o, n.o 5, é funcional. Abrange as atividades de aplicação da lei, não toda a instituição. Uma autoridade policial está fora para os seus sistemas de gestão de processos e de vigilância, e dentro para o seu IT de RH, finanças, contratação pública e administrativo geral. Mesma autoridade, dois âmbitos. Documente a linha por sistema.
A nossa empresa municipal é de propriedade municipal, por isso cai sob a administração pública no setor 10.
A propriedade não move uma empresa municipal para o setor 10. Uma empresa de serviços de propriedade municipal está na NIS 2 através dos setores 1 (energia), 6 (água potável), 7 (águas residuais) ou 8 (infraestrutura digital) do Anexo I, com o teste de dimensão ordinário do artigo 2.o, n.o 1. O setor 10 é para entidades da administração pública conforme definidas pelo Estado-Membro, não para operadores comerciais de propriedade estatal.
Caso típico: uma agência federal com 90 colaboradores. O artigo 2.o, n.o 2, alínea f), subalínea i), aplica-se (Bundesverwaltung), pelo que o teste de dimensão nunca corre. A agência corre o IT administrativo geral e uma plataforma especializada que apoia a coordenação federal de aplicação da lei. O artigo 2.o, n.o 5, exclui a plataforma de aplicação da lei. O IT administrativo mantém-se dentro. Resultado: uma única Anwendbarkeitsprüfung que enumera os sistemas que caem sob o §30 BSIG e os que ficam atrás da exclusão, com a assinatura do órgão de gestão.
Caso típico ao nível regional: um Kommune de 220 colaboradores num Land que ainda não adotou a sua Landes-Cybersicherheitsgesetz. Formalmente fora da NIS 2 hoje. Os profissionais ainda assim constroem a base (registo de risco, lista de fornecedores, processo de incidentes), porque o projeto de lei está em consulta e as obrigações chegarão em 2026 ou 2027. Trate o ano de intervalo como preparação, não como férias.
A verificação de aplicabilidade percorre os três elementos por ordem: é governo central, é uma entidade regional que o seu Estado-Membro identificou e quais das suas atividades ficam atrás de uma exclusão do artigo 2.o, n.o 5, ou n.o 7. Responde às perguntas uma vez e obtém uma Anwendbarkeitsprüfung escrita que designa o fundamento legal (§28 BSIG, §29 BSIG mais a sua Landesgesetz, ou fora do âmbito) e os sistemas excluídos.
O resultado não é um sim ou não. É uma justificação: que disposição se aplica, o que o Estado-Membro decidiu sobre as entidades regionais e que sistemas ficam de que lado da exclusão funcional. Assinado pelo órgão de gestão, guardado com rasto de auditoria, com versão fixada ao texto da UE e do BSIG que citamos.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 2.o, n.o 2, alínea f), artigo 2.o, n.os 5 a 7, considerandos 7 e 8, Anexo I, setor 10. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Lei do BSI (BSIG), §28 (Bundesverwaltung) e §29 (Länder), com a redação dada pela NIS2-Umsetzungsgesetz
- Rastreador de transposição da NIS 2 da ENISA. enisa.europa.eu/topics/nis-directive
- Landes-Cybersicherheitsgesetze (por Land, projetos e leis adotadas)