Empresas de TI de grupo como prestadores de serviços geridos ao abrigo da NIS 2
Quando a TI central do seu grupo presta serviços às filiais, essa empresa de TI pode estar no âmbito da NIS 2 por si só. O setor 9 do anexo I (gestão de serviços de TIC, de empresa a empresa) nomeia MSP e MSSP. O artigo 6.o, n.os 40 e 41, define-os. Os práticos alemães começaram a aplicar isto a estruturas de grupo.
A versão curta
Muitos grupos alemães e europeus concentram a sua TI num departamento central ou numa empresa de serviços que gere a infraestrutura, as aplicações e a segurança para o resto do grupo. A questão da NIS 2 é se essa empresa de TI conta, por si só, como prestador de serviços geridos (MSP), separadamente do que a empresa-mãe ou as filiais fazem.
Isto importa porque os MSP e os MSSP estão no setor 9 do anexo I da Diretiva (gestão de serviços de TIC, de empresa a empresa). Se aí se enquadra como MSP ou MSSP e atinge o limiar de dimensão de média empresa, é uma entidade importante. Por si só. Com o seu próprio registo, a sua própria gestão de riscos e o seu próprio dever de comunicação de incidentes. Fazer parte de um grupo não absorve nada disto.
A página percorre três camadas. Primeiro, o que a Diretiva diz efetivamente no setor 9 do anexo I e no artigo 6.o, n.os 40 e 41. Segundo, um teste de três partes que indica se uma empresa de TI de grupo está no âmbito. Terceiro, a leitura dos práticos alemães e as interpretações erradas que ouvimos com mais frequência.
Setor 9 do anexo I da Diretiva NIS 2 (2022/2555)
Gestão de serviços de TIC (de empresa a empresa): prestadores de serviços geridos; prestadores de serviços de segurança geridos.
O setor 9 do anexo I («Verwaltung von IKT-Diensten, Business-to-Business» no texto alemão) nomeia MSP e MSSP como tipos de entidade no âmbito. Estão no seu próprio setor, separados do setor 8 do anexo I (infraestrutura digital: nuvem, centros de dados, DNS, CDN, serviços de confiança).
Artigo 6.o, n.os 40 e 41, da Diretiva NIS 2
Por prestador de serviços geridos entende-se uma entidade que presta serviços relacionados com a instalação, gestão, exploração ou manutenção de produtos, redes, infraestruturas ou aplicações de TIC ou de quaisquer outras redes e sistemas de informação, mediante assistência ou administração ativa realizada nas instalações dos clientes ou à distância. Por prestador de serviços de segurança geridos entende-se um prestador de serviços geridos que realiza ou presta assistência a atividades relacionadas com a gestão de riscos de cibersegurança.
O artigo 6.o, n.o 40, define MSP. O artigo 6.o, n.o 41, define MSSP. O teste é o que a entidade faz (instalação, gestão, exploração, manutenção, administração ativa), não se fatura a clientes externos.
Leitura dos práticos alemães (Piltz Legal)
As empresas que operam exclusivamente as operações de TI central de um grupo empresarial enquadram-se tipicamente na definição de MSP.
A Piltz Legal leu a transposição alemã e chegou a esta conclusão: as empresas de serviços de TI central que prestam serviços às filiais do grupo enquadram-se na definição de MSP. Os materiais legislativos alemães que citam apontam no mesmo sentido: serviços a entidades de grupo juridicamente separadas são serviços geridos.
Pessoa jurídica própria
A TI central está constituída como pessoa jurídica própria (uma GmbH, uma AG ou o equivalente noutros Estados-Membros)? Se sim, a NIS 2 avalia-a por si só. Se a TI for apenas um centro de custos interno sem personalidade jurídica, o âmbito corre pela empresa-mãe que a opera.
Serviços geridos a terceiros
A entidade instala, gere, opera, mantém ou administra ativamente produtos, redes, infraestruturas, aplicações ou sistemas de TIC para terceiros? As filiais são juridicamente separadas da empresa de serviços de TI, mesmo dentro do mesmo grupo. Os serviços que lhes são prestados contam como serviços a terceiros nos termos do artigo 6.o, n.o 40.
Limiar de dimensão atingido
A entidade de TI atinge o limiar de média empresa (50 ou mais colaboradores, ou volume de negócios superior a 10 milhões de EUR com um balanço total superior a 10 milhões de EUR)? Atenção à regra das empresas associadas ao abrigo da Recomendação 2003/361/CE da Comissão: conta o pessoal e os dados financeiros de todo o grupo. Uma empresa de TI de 30 pessoas dentro de um grupo de 400 pessoas conta ao nível do grupo.
Cada pessoa jurídica é avaliada por si só
O âmbito da NIS 2 é decidido por pessoa jurídica. O facto de a empresa-mãe estar no âmbito (por exemplo, como fabricante) não arrasta automaticamente a filial de TI. O facto de a filial de TI estar no âmbito não arrasta a empresa-mãe. Cada entidade regista-se, faz gestão de riscos e comunica incidentes por dever próprio.
A função decide o âmbito, não a finalidade
O artigo 6.o, n.o 40, descreve o que a entidade faz, não porquê. Os serviços não precisam de ser comerciais, faturados em condições de mercado ou vendidos a clientes externos. Uma empresa de TI que existe apenas para servir o seu próprio grupo presta ainda assim serviços geridos nos termos da definição. O que faz decide o âmbito. Porque o faz, não.
Análise dos práticos da Piltz Legal
A leitura publicada da Piltz Legal: as empresas de TI de grupo alemãs enquadram-se tipicamente na definição de MSP quando gerem a TI central para o resto do grupo. Os materiais legislativos alemães em torno da Lei de Implementação da NIS2 apontam no mesmo sentido: serviços a filiais de grupo juridicamente separadas são serviços geridos para efeitos do artigo 6.o, n.o 40.
O artigo 6.o é igual em toda a UE
O artigo 6.o da Diretiva é um conjunto único de definições que vincula todos os Estados-Membros. As leis nacionais copiam o texto quase palavra por palavra. As transposições alemã, neerlandesa, austríaca e belga espelham todas o artigo 6.o, n.os 40 e 41, pelo que o teste de três partes dá a mesma resposta em toda a parte.
Transposições espelhadas
Os Países Baixos (Cyberbeveiligingswet), a Áustria (NISG) e a Bélgica (NIS2-Wet) inscreveram as definições de MSP e MSSP no direito nacional. Uma empresa de TI de grupo que opera além-fronteiras pode estar no âmbito em vários Estados-Membros ao mesmo tempo, com um registo separado junto de cada autoridade nacional competente.
A TI interna não conta como MSP.
Depende de como está estruturada. Se a TI central é uma pessoa jurídica própria e presta serviços a outras empresas de grupo juridicamente separadas, esses são serviços geridos a terceiros nos termos do artigo 6.o, n.o 40. Um mero centro de custos interno sem personalidade jurídica não está no âmbito por si só. Uma GmbH de serviços dentro do grupo geralmente está.
Só os MSP comerciais com clientes externos contam.
O artigo 6.o, n.o 40, descreve uma função (instalação, gestão, exploração, manutenção, administração ativa de produtos, redes, infraestruturas, aplicações ou sistemas de TIC), não uma finalidade comercial. As empresas de TI cativas que só servem as suas próprias filiais cumprem na mesma a definição se desempenharem essa função. A leitura da Piltz Legal e os materiais legislativos alemães dizem o mesmo.
O âmbito da empresa-mãe cobre automaticamente a filial de TI.
A NIS 2 olha para cada pessoa jurídica por si só. A empresa-mãe pode estar no âmbito como fabricante ao abrigo do anexo II, enquanto a filial de TI está no âmbito ao abrigo do setor 9 do anexo I como MSP. O registo, a gestão de riscos e a comunicação de incidentes ligam-se a cada entidade separadamente. O único ponto em que o grupo é tratado como um todo é o teste de dimensão.
Durante duas décadas, os grupos alemães fundiram a sua TI numa única empresa de serviços. Operações mais limpas, melhor tratamento de IVA, menos duplicação. A NIS 2 inverte em parte esse incentivo. Uma GmbH de TI de grupo consolidada que antes passava ao lado do radar regulatório pode agora ser uma entidade importante NIS 2 por si só, com o seu próprio registo, o seu próprio quadro de gestão de riscos e a sua própria linha de incidentes para o BSI.
O que isto significa na prática: as decisões estruturais que tomou por razões fiscais ou operacionais precisam de uma segunda análise com a NIS 2 à frente. Se a entidade de TI está no âmbito como MSP, assume também os deveres de cadeia de abastecimento ao abrigo do artigo 21.o, n.o 2, alínea d), perante os seus clientes do grupo. Esses clientes podem, eles próprios, estar no âmbito ao abrigo do anexo I ou II. O mesmo contrato interno passa então a estar sob a NIS 2 por ambos os lados.
A verificação de aplicabilidade percorre o teste de três partes em voz alta: pessoa jurídica sim ou não, serviços a outras pessoas jurídicas (dentro ou fora do grupo), dimensão incluindo a regra das empresas associadas. A resposta é transportada para o módulo de registo, de modo que a entidade de TI se registe separadamente onde tem de o fazer.
O portal de fornecedores cobre o outro lado do contrato. As filiais que compram serviços geridos a uma empresa de TI irmã podem aplicar-lhes o questionário de fornecedor como a qualquer outro fornecedor. Ambos os lados do negócio acabam documentados com as mesmas provas do artigo 21.o, n.o 2, alínea d).
- Diretiva (UE) 2022/2555 (NIS 2), artigo 6.o, n.os 40 e 41, e setor 9 do anexo I (gestão de serviços de TIC B2B). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Piltz Legal, «Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie». piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
- BSIG (transposição alemã da NIS2), §2 n.o 26 (definição de MSP) e §28 (âmbito). gesetze-im-internet.de
- Recomendação 2003/361/CE da Comissão relativa à definição de micro, pequenas e médias empresas (regra das empresas associadas). eur-lex.europa.eu/eli/reco/2003/361/oj
- FAQ setorial do BSI sobre os tipos de entidade NIS 2. bsi.bund.de