Sou um fornecedor de telecomunicações ao abrigo da NIS 2?
A NIS 2 inclui as telecomunicações no setor 8 do Anexo I (Infraestrutura digital). O Artigo 2(2)(a) elimina depois o limiar de dimensão, pelo que os deveres se aplicam a todos os fornecedores virados para o público, grandes ou pequenos. As definições vêm do Código Europeu das Comunicações Eletrónicas, não do uso corrente.
A versão curta
Se opera uma rede pública de comunicações eletrónicas, ou se presta um serviço de comunicações eletrónicas acessível ao público, está no âmbito da NIS 2. O setor 8 do Anexo I nomeia-o diretamente em Infraestrutura digital.
O Artigo 2(2)(a) da Diretiva remove depois o limiar de dimensão habitual para as telecomunicações. Não importa se tem 5 ou 500 colaboradores. O fator desencadeador é o papel de serviço público, não o número de pessoas. Um pequeno ISP regional, um pequeno revendedor de VoIP e uma operadora móvel nacional estão todos no âmbito na mesma base.
A Alemanha passa isto para a lei nacional através do § 28 BSIG, em conjunto com a Telekommunikationsgesetz (TKG). Alguns deveres operacionais passam pela Bundesnetzagentur (BNetzA), e não diretamente pelo BSI. Esta página percorre a Diretiva, as definições setoriais da UE e a transposição alemã por essa ordem.
Diretiva NIS 2 (2022/2555), Anexo I Setor 8 e Art. 2(2)(a)
Setor 8 Infraestrutura digital: prestadores de redes públicas de comunicações eletrónicas; prestadores de serviços de comunicações eletrónicas acessíveis ao público. A presente diretiva aplica-se também às entidades, independentemente da sua dimensão, que se enquadrem em qualquer dos seguintes critérios: (a) prestadores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público.
Têm de ser lidas em conjunto duas peças. O setor 8 do Anexo I nomeia as telecomunicações como infraestrutura essencial. O Artigo 2(2)(a) cria depois uma inclusão independente da dimensão para esses mesmos fornecedores de telecomunicações. O limiar habitual de média empresa (50 colaboradores ou 10 milhões de EUR de volume de negócios) não se aplica aqui.
Diretiva (UE) 2018/1972 (Código Europeu das Comunicações Eletrónicas), Art. 2
Por «rede pública de comunicações eletrónicas» entende-se uma rede de comunicações eletrónicas utilizada total ou principalmente para a prestação de serviços de comunicações eletrónicas acessíveis ao público. Por «serviço de comunicações eletrónicas acessível ao público» entende-se um serviço normalmente prestado mediante remuneração através de redes de comunicações eletrónicas, que abrange o serviço de acesso à internet, o serviço de comunicações interpessoais e os serviços que consistem total ou principalmente na transmissão de sinais.
A NIS 2 não redefine estes termos. Toma-os emprestados do Código Europeu das Comunicações Eletrónicas (EECC). «Acessível ao público» é a palavra-chave: um serviço que vende ao público em geral conta, um VoIP corporativo interno que opera só para o seu próprio pessoal não conta.
§ 28 BSIG e a Telekommunikationsgesetz (TKG), Alemanha
Anbieter öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
A Alemanha transpõe os deveres de telecomunicações através do § 28 BSIG, em combinação com a TKG. O BSI é a autoridade central da NIS 2, mas a Bundesnetzagentur (BNetzA) trata da regulação setorial operacional para os fornecedores de telecomunicações (medidas de segurança ao abrigo do antigo § 109 TKG, notificações de incidentes, registo de serviços). Conte com lidar com ambos.
Opera uma rede pública?
Uma rede pública de comunicações eletrónicas é uma rede utilizada total ou principalmente para prestar serviços ao público: fibra, cabo, móvel, satélite, acesso sem fios fixo. Se opera o transporte subjacente para os clientes de outra pessoa, está no âmbito pelo lado do operador de rede.
Presta um serviço público?
Um serviço de comunicações eletrónicas acessível ao público é aquele que vende ao público: acesso à internet (ISP), comunicações interpessoais (telefone, SMS, email, VoIP, mensagens) ou pura transmissão de sinais. Revender a rede de outra pessoa sob a sua própria marca conta.
A dimensão não o tira do âmbito
O Art. 2(2)(a) remove o limiar habitual de 50 colaboradores / 10 milhões de EUR para as telecomunicações. Um ISP regional de fibra com 5 pessoas e um pequeno revendedor de telefonia IP estão no âmbito na mesma base jurídica que a Deutsche Telekom. Não há exceção para pequenas empresas neste setor.
Inclusão independente da dimensão (Art. 2(2)(a))
Para a maioria dos setores da NIS 2, só fica no âmbito se ultrapassar o limiar de média empresa. As telecomunicações são uma das exceções. A Diretiva aplica-se explicitamente independentemente da dimensão, porque o próprio papel de serviço público cria uma dependência social. Pequeno não significa fora.
As definições são as do EECC
O que conta como serviço «acessível ao público» é o teste jurídico do Código Europeu das Comunicações Eletrónicas, não o coloquial. Um serviço que vende ao público está dentro. Uma rede ou serviço que opera apenas para a sua própria organização, ou apenas como grupo de utilizadores fechado, normalmente não está. Na dúvida, as definições, os considerandos do EECC e a orientação do regulador nacional são a referência.
BSI / § 28 BSIG
O BSI é a autoridade central da NIS 2. O registo, o quadro de gestão de risco e a notificação de incidentes ao abrigo da NIS 2 passam todos pelo BSI. Para as telecomunicações, o § 28 BSIG nomeia os operadores de redes públicas e os prestadores de serviços públicos como «besonders wichtige Einrichtungen» diretamente, independentemente da dimensão.
Bundesnetzagentur (BNetzA) / TKG
A BNetzA é o regulador setorial das telecomunicações. Trata dos deveres operacionais da TKG (segurança das redes e dos serviços, notificação de incidentes na via das telecomunicações, registo de serviços). A NIS 2 assenta por cima do regime TKG existente, não o substitui. A maioria dos fornecedores de telecomunicações reporta pelos dois canais.
ENISA
A ENISA, a agência da UE para a cibersegurança, coordena entre os Estados-Membros e publica a Technical Implementation Guidance ao abrigo do CIR (UE) 2024/2690. Os operadores de redes públicas e os prestadores de serviços públicos constam do Anexo do CIR, o que significa que partes do CIR vinculam diretamente os fornecedores de telecomunicações sem necessidade de transposição nacional adicional.
Reguladores nacionais de telecomunicações
Cada Estado-Membro tem o seu próprio regulador de telecomunicações a tratar desta camada: ACM nos Países Baixos, ARCEP em França, RTR na Áustria, AGCOM em Itália. O dever da NIS 2 é o mesmo em toda a UE porque a Diretiva define um piso único. O que difere: junto de quem se regista, que formulário de incidente usa e como o equivalente ao BSI e o regulador de telecomunicações dividem o trabalho.
Só temos 5 colaboradores, por isso o limiar de dimensão tira-nos do âmbito.
Não no caso das telecomunicações. O Art. 2(2)(a) da NIS 2 inclui os operadores de redes públicas e os prestadores de serviços públicos como categoria independente da dimensão. O limiar de 50 colaboradores / 10 milhões de EUR que filtra a maioria dos outros setores não se aplica aqui. Um ISP regional de 5 pessoas está no âmbito da NIS 2 em pé de igualdade com uma operadora nacional.
Não somos um MSP, por isso o setor 8 não nos abrange.
Setor diferente, teste diferente. Os prestadores de serviços geridos enquadram-se no setor 8 do Anexo I, em «gestão de serviços de TIC (B2B)», e esses seguem o limiar de dimensão. Os operadores de redes públicas e os prestadores de serviços públicos são uma linha separada do mesmo setor, com as suas próprias definições do EECC, mais a regra de independência da dimensão do Art. 2(2)(a). Leia as duas linhas.
Operamos uma rede para o nosso grupo empresarial, por isso estamos no âmbito como fornecedor de telecomunicações.
Normalmente não, pelo lado das telecomunicações. O teste do EECC assenta no «acessível ao público». Uma rede empresarial privada usada apenas pela sua própria organização ou por um grupo de utilizadores fechado fica, em geral, fora das definições do EECC e, por isso, fora do setor 8 do Anexo I para telecomunicações. Pode ainda assim cair na NIS 2 por outro setor ou como entidade no âmbito, mas não como fornecedor de telecomunicações.
Um pequeno ISP regional de fibra com 8 colaboradores está, sem ambiguidades, no âmbito da NIS 2. O setor 8 do Anexo I nomeia os operadores de redes públicas e os prestadores de serviços públicos; o Art. 2(2)(a) elimina o limiar de dimensão; o teste do EECC para «acessível ao público» é cumprido porque o serviço é vendido ao público em geral. A mesma lógica abrange um pequeno revendedor de telefonia IP que serve clientes públicos. Não há leitura honesta do texto que tire qualquer um deles do âmbito.
O que vemos na prática: o operador elabora um quadro de gestão de risco do §2.1 em torno dos serviços virados para o público e da infraestrutura de suporte (rede de transporte, encaminhamento central, nós de acesso, OSS/BSS, autenticação de clientes). A proporcionalidade do Art. 21(1) aplica-se, pelo que um ISP de 8 pessoas não implementa à profundidade de uma operadora de primeira linha. O faseamento tem de ficar registado, justificado pelo quadro de risco e aprovado pelo órgão de gestão. Os deveres da TKG junto da BNetzA correm em paralelo e alimentam o mesmo registo de risco.
A nossa verificação de aplicabilidade percorre as definições do EECC passo a passo. Pergunta o que opera, a quem vende e se o serviço é «acessível ao público» no sentido do EECC. O resultado diz-lhe qual a linha do Anexo que se aplica, se o Art. 2(2)(a) o abrange independentemente da dimensão e qual o regulador nacional (BSI vs BNetzA na Alemanha, equivalente ao BSI vs regulador de telecomunicações noutros locais) com quem fala primeiro.
O módulo de ativos cobre o lado da rede (transporte, núcleo, acesso, OSS/BSS) e o lado virado para o serviço (gestão de assinantes, autenticação, plataformas de voz e mensagens) num só inventário. O quadro de gestão de risco do §2 CIR corre depois sobre esse inventário, para que a mesma lista de ativos alimente tanto a via BSIG / NIS 2 como a via TKG sem dupla manutenção.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I Setor 8 e Artigo 2(2)(a), eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2018/1972 (Código Europeu das Comunicações Eletrónicas), definições do Artigo 2, eur-lex.europa.eu/eli/dir/2018/1972/oj
- BSI-Gesetz (BSIG), § 28 na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- Telekommunikationsgesetz (TKG), § 165 e seguintes (segurança das redes e dos serviços)
- Bundesnetzagentur, orientação setorial sobre segurança e deveres de notificação da TKG, bundesnetzagentur.de
- Regulamento de Execução da Comissão (UE) 2024/2690 (CIR), Anexo (abrange DNS, TLD, nuvem, centros de dados, MSPs e outras categorias do setor 8), eur-lex.europa.eu/eli/reg_impl/2024/2690/oj