Análise de Lacunas no Registo NIS2
O BSI estimou cerca de 30 000 entidades sujeitas à NIS2 na Alemanha. O prazo de registo terminou a 6 de março de 2026. Uma parte significativa das empresas no âmbito ainda não se registou, ficando exposta à execução ao abrigo do §65 BSIG.
O §33 BSIG exige que todas as entidades abrangidas pela NIS2, sejam entidades essenciais ou importantes, se registem no Bundesamt für Sicherheit in der Informationstechnik (BSI). Isto não é opcional. A obrigação de registo existe independentemente de a empresa ter implementado quaisquer medidas de cibersegurança. Tem de se registar primeiro e só depois cumprir.
O portal de registo do BSI (muk.bsi.bund.de) entrou em funcionamento a 6 de janeiro de 2026, um mês após a entrada em vigor da BSIG. O prazo de registo ao abrigo do §33 BSIG foi 6 de março de 2026 (3 meses após a entrada em vigor). Apesar de uma obrigação legal clara e de uma janela de dois meses, uma parte significativa das estimadas 29 000 a 30 000 entidades no âmbito não se registou dentro do prazo. Um inquérito da G DATA concluiu que 44% das empresas afetadas desconheciam por completo as suas obrigações NIS2.
A lacuna de registo é particularmente preocupante porque o registo é uma condição prévia para o regime de supervisão do BSI. As entidades não registadas não são invisíveis: estão em incumprimento por defeito. Quando o BSI iniciar a execução sistemática (que sinalizou para 2026), as empresas não registadas enfrentam sanções não só por falta de medidas de cibersegurança, mas também pela própria violação do registo, uma infração separada ao abrigo do §65 BSIG.
~29 000-30 000
Entidades estimadas no âmbito
Estimativa do próprio BSI das entidades sujeitas às obrigações NIS2 ao abrigo da NIS2UmsuCG, abrangendo entidades essenciais e importantes.
44%
Desconhecem as obrigações NIS2
Inquérito da G DATA (2024): 44% das empresas alemãs do mid-market não sabiam que a NIS2 se lhes aplicava, antes mesmo de a lei entrar em vigor.
2 meses
Janela de registo
O portal do BSI entrou em funcionamento a 6 de janeiro de 2026. O prazo de registo foi 6 de março de 2026, uma janela de dois meses para cerca de 30 000 entidades se registarem.
§33 BSIG
Base legal do registo
O registo é exigido sem demora injustificada (unverzüglich) após determinar que a entidade está dentro do âmbito. Não há período de tolerância, a obrigação é imediata a partir da entrada em vigor da lei.
Porque Existe a Lacuna
Quatro fatores estruturais explicam por que razão a maioria das entidades NIS2 alemãs não se registou.
Falta de sensibilização
Um inquérito da G DATA realizado em 2024 concluiu que 44% das empresas alemãs do mid-market desconheciam que a NIS2 se lhes aplicava. Os critérios de âmbito, mais de 50 trabalhadores ou 10 milhões de euros de volume de negócios em 18 setores abrangidos, não são evidentes para empresas que nunca lidaram com regulação de segurança das TI. Muitas empresas de setores como a gestão de resíduos, a produção alimentar e o fabrico de produtos químicos não se veem como 'infraestrutura crítica'.
Complexidade do âmbito
Determinar se uma empresa está abrangida pela NIS2 exige mapear o negócio em relação aos Anexos I e II da Diretiva NIS2 (transpostos para o §28 BSIG). As definições de setor remetem para códigos NACE, limiares de volume de negócios e número de trabalhadores, mas abundam os casos-limite. As empresas com linhas de negócio mistas, cobertura setorial parcial ou estruturas de grupo enfrentam incerteza genuína sobre se estão no âmbito.
Restrições de recursos
As empresas do Mittelstand alemão na faixa dos 50 a 250 trabalhadores carecem normalmente de pessoal dedicado de conformidade ou de segurança da informação. A pessoa responsável pelas 'TI' é muitas vezes também responsável pelas instalações, pelas compras e por tudo o mais que envolva um computador. O registo NIS2 exige compreender texto regulamentar, classificar o setor da empresa e navegar num portal governamental, tarefas que ficam fora das operações normais.
Incerteza legislativa
A NIS2UmsuCG passou por múltiplos projetos e foi adiada várias vezes antes da aprovação final. Muitas empresas adotaram uma abordagem de 'esperar para ver', à espera de mais alterações ou de prazos alargados. Foi uma aposta racional mas errada, a lei foi aprovada, a obrigação de registo está em vigor e o BSI não está a conceder prorrogações.
Coimas administrativas
O §65 BSIG prevê coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial para as entidades essenciais, e até 7 milhões de euros ou 1,4% para as wichtige Einrichtungen. A não registo é uma violação separada do incumprimento das medidas de segurança substantivas, o que significa que as empresas podem enfrentar sanções por ambas.
Responsabilidade pessoal da gestão
Ao abrigo do §38 BSIG, a Geschäftsleitung é pessoalmente responsável por assegurar o cumprimento das obrigações NIS2, incluindo o registo. Um gerente que não registe a empresa está em violação pessoal dos seus deveres legais, criando exposição a pedidos de responsabilidade pessoal por parte da empresa ou dos seus sócios.
Prioridade de execução
O BSI indicou que dará prioridade à execução contra entidades que não se registaram, porque a não registo sinaliza incumprimento total. Uma empresa que se registou mas está a trabalhar nas medidas demonstra boa-fé. Uma empresa que nem sequer se registou não tem qualquer defesa de esforços de implementação em curso.
Impacto reputacional e comercial
Os requisitos NIS2 de cadeia de abastecimento (§30(2)(4) BSIG) significam que as empresas no âmbito têm de avaliar a postura de cibersegurança dos seus fornecedores. Uma empresa não registada não consegue demonstrar conformidade NIS2 aos seus clientes, podendo perder contratos ou ser sinalizada em auditorias à cadeia de abastecimento. Esta pressão comercial vai acelerar à medida que mais empresas implementarem a diligência devida na cadeia de abastecimento.
- BSI - estatísticas de registo NIS2, declarações públicas (2025)
- G DATA CyberDefense - inquérito de sensibilização à NIS2: 44% das empresas do mid-market desconhecem as obrigações (2024)
- G DATA CyberDefense - inquérito de sensibilização à NIS2 junto de empresas alemãs do mid-market (2024)
- BSIG - §33 (obrigação de registo), §65 (coimas administrativas), §38 (responsabilidade da gestão)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie (Lei de Implementação da NIS2)
- BMI - Referentenentwürfe e documentação parlamentar da NIS2UmsuCG