A NIS 2 e os organismos de investigação
O setor 10 do anexo II abrange os organismos de investigação que trabalham em investigação aplicada ou desenvolvimento experimental para uso comercial. As universidades ficam de fora por defeito. Os Estados-Membros podem alargar o âmbito.
Porque existe este artigo
O anexo II da Diretiva NIS 2 ((UE) 2022/2555) lista os organismos de investigação como setor 10. A categoria consta do anexo II, pelo que as entidades qualificadas são classificadas como entidades importantes (wichtige Einrichtungen).
O âmbito é mais estreito do que o significado corrente de investigação. A NIS 2 olha para um tipo específico de atividade: investigação aplicada ou desenvolvimento experimental destinados a produzir resultados que são depois explorados comercialmente. A investigação fundamental, o trabalho académico puro e as atividades educativas não estão abrangidos por defeito.
A página apresenta primeiro a camada da UE (anexo II, artigo 6.º, ponto 41, considerando 39, teste de dimensão do artigo 2.º, n.º 1), depois a implementação alemã no §28 BSIG e as armadilhas práticas que vemos com mais frequência quando os organismos de investigação fazem uma verificação de aplicabilidade.
Anexo II, setor 10 (Diretiva (UE) 2022/2555)
Organismos de investigação
O ponto 10 do anexo II lista o setor com o único tipo de entidade organismos de investigação. A definição substantiva reside no artigo 6.º, ponto 41, e é reforçada pelo considerando 39.
Artigo 6.º, ponto 41, considerando 39 (Diretiva (UE) 2022/2555)
Por organismo de investigação entende-se uma entidade cujo objetivo principal é realizar investigação aplicada ou desenvolvimento experimental com vista à exploração comercial dos resultados dessa investigação, e que não inclui estabelecimentos de ensino.
O considerando 39 acrescenta que a presente diretiva não deverá aplicar-se a estabelecimentos de ensino, em especial universidades ou centros de investigação que realizem atividades de investigação numa base não comercial. Os Estados-Membros podem decidir que os estabelecimentos de ensino fiquem abrangidos pela presente diretiva com base nas suas políticas e abordagens nacionais.
§28 BSIG (NIS2UmsuCG, Alemanha)
Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.
A Alemanha transpõe o setor 10 do anexo II para o §28 BSIG. A entidade mantém-se como entidade importante (wichtige Einrichtung) e cai na banda de coimas do §65 BSIG de até 7 milhões de euros ou 1,4 por cento do volume de negócios anual global, consoante o que for mais elevado.
Investigação aplicada com finalidade comercial
A atividade principal é investigação aplicada ou desenvolvimento experimental, com a intenção de que os resultados sejam explorados comercialmente. Licenciamento, spin-offs, investigação por contrato para a indústria, ou venda de protótipos são sinais típicos. Investigação pura movida pela curiosidade, ensino e divulgação não são.
Média dimensão ou superior
O artigo 2.º, n.º 1, da NIS 2 aplica o limiar da Recomendação 2003/361/CE da UE. A entidade atinge-o com pelo menos 50 colaboradores ou volume de negócios anual e total do balanço acima de 10 milhões de euros. Abaixo do limiar, a entidade não está abrangida, salvo se um Estado-Membro aplicar uma derrogação independente da dimensão.
Extensão nacional às universidades
Os Estados-Membros podem decidir trazer os estabelecimentos de ensino, incluindo as universidades, para o âmbito através do direito nacional. Sem tal extensão, as universidades ficam de fora, mesmo que tenham grandes unidades de investigação aplicada. Se o país alargou ou não é uma questão do ato de transposição nacional.
Os estabelecimentos de ensino estão excluídos por defeito
O considerando 39 é explícito: a NIS 2 não se aplica a estabelecimentos de ensino, em especial universidades ou centros de investigação que realizem atividades de investigação numa base não comercial. Uma unidade de investigação universitária que faz trabalho por contrato para a indústria não é automaticamente apanhada. A exclusão situa-se ao nível da instituição, não do projeto.
A fonte de financiamento não decide o âmbito
A definição depende da atividade (investigação aplicada, exploração comercial), não de quem paga. Uma GmbH de investigação financiada por privados e um instituto Fraunhofer financiado por fundos públicos estão ambos abrangidos se cumprirem a definição e o teste de dimensão. Um instituto de investigação fundamental financiado exclusivamente por fundos públicos não está abrangido, porque a atividade é a errada, não porque o financiamento é público.
O BSI como autoridade competente
O Bundesamt für Sicherheit in der Informationstechnik (BSI) é a autoridade competente para os organismos de investigação ao abrigo do §28 BSIG. O registo corre pelo portal do BSI; as obrigações são idênticas às das demais entidades importantes ao abrigo dos §§30 a 32 BSIG.
Orientação da ENISA
O Guia de Implementação Técnica da ENISA (v1.2, agosto de 2025) trata os organismos de investigação da mesma forma que as outras entidades do anexo II no que respeita às medidas de gestão de risco do artigo 21.º. Não há nenhuma exclusão específica para a investigação no regulamento de execução. As especificidades setoriais surgem apenas nos limiares de comunicação de incidentes através da prática de supervisão nacional.
Sem extensão geral às universidades no §28 BSIG
A Alemanha não fez, na NIS2UmsuCG, uma extensão geral da NIS 2 às universidades. As Hochschulen e os centros de investigação universitários permanecem, por isso, fora do âmbito da NIS 2 a nível federal, embora outras leis federais ou estaduais (por exemplo, leis de segurança informática de cada Land) ainda possam aplicar-se.
As universidades também são investigação, por isso têm de estar abrangidas.
Por defeito, não. O considerando 39 exclui os estabelecimentos de ensino, em especial as universidades e os centros de investigação não comerciais. Só estão abrangidos se o Estado-Membro tiver expressamente alargado a NIS 2 a eles por direito nacional. Na Alemanha, essa extensão não foi feita.
Só os institutos de investigação financiados por fundos públicos estão abrangidos.
Direção errada. A definição olha para a atividade e a intenção de exploração comercial, não para a fonte de financiamento. Uma empresa privada de investigação por contrato pode estar plenamente abrangida. Um organismo de investigação fundamental financiado exclusivamente por fundos públicos fica de fora porque a atividade é não comercial, não porque os fundos são públicos.
Somos uma organização sem fins lucrativos, por isso a NIS 2 não se aplica.
A forma jurídica não decide o âmbito. Uma gemeinnützige GmbH ou e.V. que realize investigação aplicada para exploração comercial pode cumprir a definição. O teste é a atividade e o limiar de dimensão, não o estatuto fiscal.
Nas verificações de aplicabilidade que fazemos, o caso limítrofe é quase sempre um braço de investigação por contrato de uma universidade ou um instituto financiado por fundos públicos com um forte canal de transferência de tecnologia. A pergunta certa não é se a entidade faz investigação, mas se o seu objetivo principal é investigação aplicada ou desenvolvimento experimental com uma via de exploração comercial.
Se a resposta for sim e a entidade cumprir o limiar de dimensão do artigo 2.º, n.º 1, está na NIS 2 como entidade importante, independentemente de se ver a si própria como parte do panorama da investigação pública. A verificação de aplicabilidade da plataforma percorre explicitamente o artigo 6.º, ponto 41, e o artigo 2.º, n.º 1, para que isto não fique entregue à interpretação.
As entidades do setor 10 utilizam o mesmo registo de obrigações da NIS 2 que qualquer outra entidade importante: registo ao abrigo do artigo 27.º, governação ao abrigo do artigo 20.º, as dez áreas de gestão de risco do artigo 21.º, n.º 2, e comunicação de incidentes ao abrigo do artigo 23.º. A plataforma estrutura todas estas como obrigações contínuas, e não como um projeto pontual.
Quando um organismo de investigação tem um padrão de prova específico (por exemplo, contratos de transferência de tecnologia que têm de satisfazer as cláusulas de cadeia de fornecimento do artigo 21.º, n.º 2, alínea d)), isto vive nos módulos de fornecedores e contratos. Não há um módulo de investigação separado, porque as medidas do artigo 21.º são neutras em relação ao setor.
- Diretiva (UE) 2022/2555 (NIS 2), anexo II ponto 10 (Investigação)
- Diretiva (UE) 2022/2555 (NIS 2), artigo 6.º, ponto 41, definição de organismo de investigação
- Diretiva (UE) 2022/2555 (NIS 2), considerando 39, exclusão dos estabelecimentos de ensino e extensão facultativa pelos Estados-Membros
- Diretiva (UE) 2022/2555 (NIS 2), artigo 2.º, n.º 1, âmbito e limiar de dimensão através da Recomendação 2003/361/CE
- BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), §28, âmbito setorial incluindo os organismos de investigação
- BSIG §65, banda de coimas para entidades importantes (até 7 milhões de euros ou 1,4 por cento do volume de negócios anual global)
- Guia de Implementação Técnica da ENISA para o artigo 21.º da NIS 2, v1.2 (agosto de 2025)