NIS 2 quando a sua sede está fora da UE
A NIS 2 segue o serviço, não o timbre. Se vende para dentro da UE num dos setores abrangidos, o Artigo 26 da diretiva decide qual o Estado-Membro que o supervisiona e se precisa de um representante designado dentro da União.
A versão curta
Muitos fundadores presumem que uma empresa-mãe nos EUA, no Reino Unido ou na Suíça os coloca fora da NIS 2. Não é assim que a diretiva funciona. O Artigo 26 da NIS 2 liga a jurisdição ao local onde o serviço é oferecido e onde as decisões de cibersegurança são tomadas, não ao local onde a empresa está constituída.
Se é uma entidade setorial normal (energia, água, transportes, fabrico, alimentação, saúde, resíduos, administração pública e por aí adiante), a supervisão segue os estabelecimentos que de facto opera na União. Se tem uma filial alemã, o BSI supervisiona essa filial. Se tem escritórios em três Estados-Membros, cada um é supervisionado localmente.
Se se enquadra num dos setores digitais enumerados no Artigo 26(3) (DNS, registos de TLD, prestadores de nuvem, prestadores de centros de dados, redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, mercados em linha, motores de pesquisa em linha, serviços de redes sociais), as regras são mais rigorosas. Um estabelecimento principal supervisiona-o em toda a União, e se a sua sede estiver fora da UE tem de designar um representante dentro da União ao abrigo do Artigo 26(4).
Artigo 26(2) Diretiva NIS 2 (2022/2555)
For the purposes of this Directive, an essential or important entity shall be deemed to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity risk-management measures are predominantly taken. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where cybersecurity operations are carried out. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where the entity concerned has the establishment with the highest number of employees in the Union.
Esta é a cascata que decide quem o supervisiona quando mais do que um Estado-Membro poderia plausivelmente reivindicar jurisdição. Aplica-se às entidades dos setores digitais nomeados no Artigo 26(3). As decisões de cibersegurança vêm primeiro, as operações de cibersegurança em segundo, o número de efetivos em terceiro.
Artigo 26(4) Diretiva NIS 2 (2022/2555)
Where an entity referred to in paragraph 1, point (b), is not established in the Union but offers services within the Union, it shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. Such an entity shall be deemed to be under the jurisdiction of the Member State where the representative is established. In the absence of a representative within the Union designated under this Article, any Member State in which the entity provides services may take legal actions against the entity for the infringement of this Directive.
Lê-se como um dever para as entidades de fora da UE nos setores digitais do Artigo 26(3). O representante torna-se o ponto de contacto e ancora a jurisdição. O Artigo 27 acrescenta depois o dever de registo: o representante inscreve a entidade no registo operado pela ENISA em nome da entidade.
§28 BSIG (Alemanha)
Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.
O BSIG reproduz a diretiva: o BSI supervisiona-o na Alemanha se o Artigo 26 da NIS 2 aí colocar a jurisdição. Não há um teste de jurisdição nacional separado. A cascata da diretiva é o teste.
Regra geral: a jurisdição segue o estabelecimento
Fora dos setores digitais, é supervisionado em cada Estado-Membro onde tem um estabelecimento jurídico. Um grupo dos EUA com uma GmbH alemã e uma GmbH austríaca é supervisionado pelo BSI quanto à entidade alemã e pela autoridade austríaca quanto à entidade austríaca. O Artigo 26(2) só resolve o desempate entre Estados-Membros para os setores digitais abrangidos pelo Artigo 26(3).
Regra especial para os setores digitais
Os prestadores de serviços de DNS, os registos de TLD, os serviços de computação em nuvem, os serviços de centros de dados, as redes de distribuição de conteúdos, os prestadores de serviços geridos, os prestadores de serviços de segurança geridos, os mercados em linha, os motores de pesquisa em linha e as plataformas de redes sociais têm um estabelecimento principal na União. Esse único Estado-Membro supervisiona-o em toda a UE. A cascata do Artigo 26(2) decide qual é esse Estado-Membro.
Dever de representante para prestadores de fora da UE
Se se enquadra num dos setores digitais do Artigo 26(3) e não está estabelecido na União, tem de designar um representante dentro da União. O representante tem de estar num Estado-Membro onde de facto oferece o serviço. A jurisdição segue então o representante. Sem ele, qualquer Estado-Membro onde serve clientes pode intentar uma ação judicial ao abrigo da diretiva.
Um supervisor, não cinco
Para os setores digitais do Artigo 26(3), a regra do estabelecimento principal significa um supervisor para toda a União. Isso evita a situação em que um prestador de nuvem com clientes em todos os Estados-Membros é auditado vinte e sete vezes pelos mesmos controlos. A cascata do Artigo 26(2) escolhe o supervisor por uma ordem previsível: decisões de cibersegurança primeiro, operações de cibersegurança em segundo, número de efetivos na UE em terceiro.
Sem rota de fuga por uma sede estrangeira
O Artigo 26(4) fecha o círculo. Um prestador de fora da UE nos setores digitais abrangidos não pode oferecer serviços para dentro da União sem um representante designado dentro dela. Sem ele, qualquer Estado-Membro onde o serviço é vendido pode intentar uma ação judicial. Constituir-se nos EUA, no Reino Unido ou na Suíça não o tira do âmbito se o serviço tocar a União.
BSI / §28 e §33 BSIG
O BSI é a autoridade de supervisão para as entidades cujo estabelecimento principal ou filial alemã as coloca sob jurisdição alemã. O registo faz-se através do portal nacional do BSI, que alimenta o registo da ENISA ao abrigo do Artigo 27. Para as entidades dos setores digitais com o seu estabelecimento principal na Alemanha, o BSI é o ponto único de contacto para toda a União.
Registo da ENISA ao abrigo do Artigo 27
A ENISA opera o registo central para os setores digitais nomeados no Artigo 27(2): prestadores de DNS, registos de TLD, nuvem, centros de dados, redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, mercados em linha, motores de pesquisa em linha, serviços de redes sociais. Os Estados-Membros alimentam-no com dados das entidades. O registo é o que torna a supervisão transfronteiriça praticável.
Leis nacionais de transposição
Cada Estado-Membro tem uma lei de transposição (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet) e uma autoridade nacional competente. A cascata do Artigo 26 é idêntica em toda a União porque consta da diretiva. O que difere é o portal, a língua e o supervisor local com quem de facto fala.
Somos uma empresa dos EUA, por isso a NIS 2 não se aplica a nós.
A NIS 2 segue o serviço para dentro da União, não o timbre. Se está num dos setores digitais nomeados no Artigo 26(3) e oferece o serviço a clientes na UE, o Artigo 26(4) exige que designe um representante na União. Se opera através de uma filial na UE em qualquer outro setor abrangido, a própria filial está no âmbito. A constituição da empresa-mãe não é o teste.
Temos escritórios em seis Estados-Membros, por isso registamo-nos seis vezes.
Para os setores digitais do Artigo 26(3), tem um estabelecimento principal e um supervisor em toda a União. A cascata do Artigo 26(2) escolhe-o: onde as decisões de cibersegurança são tomadas primeiro, onde estão as operações de cibersegurança em segundo, o estabelecimento na UE com mais efetivos em terceiro. Fora desses setores digitais, regista-se por cada Estado-Membro onde está estabelecido, mas dentro deles não.
Estamos sediados na Suíça, por isso estamos fora da NIS 2 porque a Suíça não está na UE.
A Suíça não é um Estado-Membro da UE, mas a diretiva alcança na mesma as empresas suíças que vendem para dentro da União num setor abrangido. Um MSP suíço que serve clientes alemães ou opera através de uma filial na UE que se torna a entidade regulada, ou, para os setores digitais do Artigo 26(3), tem de designar um representante na UE ao abrigo do Artigo 26(4). A mesma lógica aplica-se a prestadores do Reino Unido, dos EUA e de outros países terceiros.
O padrão limpo: descobrir se o seu setor consta da lista do Artigo 26(3) antes de fazer qualquer outra coisa. Se constar, o seu trabalho é escolher um estabelecimento principal, documentar a cascata do Artigo 26(2) por escrito (decisões, operações, efetivos), e registar-se através do portal desse Estado-Membro ou designar um representante se for de fora da UE. Se não constar, mapeia os seus estabelecimentos na UE e regista cada um junto da sua autoridade nacional.
O padrão confuso que vemos com mais frequência são empresas-mãe a tentar manter toda a tomada de decisões de cibersegurança na sede fora da União, alegando que a filial na UE é autónoma. A cascata do Artigo 26(2) não se importa com organogramas. Olha para o local onde as decisões são de facto tomadas. Se a resposta for 'na sede em Boston', a filial na UE continua no âmbito pelo seu próprio estabelecimento, e as entidades dos setores digitais continuam a precisar do representante do Artigo 26(4). O caminho mais limpo é decidir onde na União se situam as decisões, documentá-lo, e deixar de manter estruturas de controlo paralelas.
Captamos a cascata do Artigo 26 como parte do fluxo de trabalho de aplicabilidade e registo. A plataforma faz as perguntas pela ordem da própria diretiva: que setor, que Estados-Membros com estabelecimentos, onde são tomadas as decisões de cibersegurança, onde estão as operações de cibersegurança, efetivos na UE. O resultado é um estabelecimento principal documentado com o raciocínio escrito uma vez, não rederivado em cada auditoria.
Para os grupos de fora da UE nos setores do Artigo 26(3), a plataforma acompanha o representante designado como uma entidade separada com os seus próprios dados de contacto e país de estabelecimento. Os dados de registo do Artigo 27 saem do mesmo registo, de modo que a submissão no portal nacional e o registo da ENISA são alimentados pela mesma fonte, em vez de uma folha de cálculo paralela.
- Diretiva (UE) 2022/2555 (NIS 2), Artigos 26 e 27. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Lei do BSI (BSIG), §28 e §33 na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR) sobre requisitos técnicos e metodológicos específicos do setor. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Registo da ENISA ao abrigo do Artigo 27(2) NIS 2. enisa.europa.eu
- BSI Infopakete sobre âmbito e registo da NIS 2. bsi.bund.de/dok/nis-2-infopakete