BSIG / NIS2UmsuCG

NIS2 na Alemanha

A Alemanha transpôs a Diretiva NIS2 para o direito nacional através do NIS2UmsuCG, revendo a Lei Federal de Cibersegurança (BSIG). Todas as obrigações aplicam-se desde 6 de dezembro de 2025.

Simon OrzelSimon Orzel·Laufend geprüft
Cronologia Alemã
DataEvento
27 dez 2022Diretiva NIS2 publicada no Jornal Oficial da UE L 333 (adotada em 14 dez 2022)
16 jan 2023NIS2 entra em vigor ao nível da UE
17 out 2024Prazo de transposição da UE (a Alemanha não o cumpriu)
13 nov 2025Bundestag aprova o NIS2UmsuCG
21 nov 2025Bundesrat aprova
5 dez 2025Publicado no Bundesgesetzblatt
6 dez 2025A nova BSIG entra em vigor, todas as obrigações aplicam-se de imediato
6 jan 2026Portal de registo do BSI entra em funcionamento
6 mar 2026Prazo para o registo junto do BSI
~2028Operadores KRITIS: primeira prova de conformidade devida

Não há período de transição. As medidas de gestão de risco, o reporte de incidentes e a responsabilidade da gestão aplicaram-se desde o dia em que a lei entrou em vigor.

Ver a cronologia NIS2 completa
Categorias de Entidades
A Alemanha usa terminologia diferente da diretiva da UE. Cerca de 29.500 empresas na Alemanha são afetadas.
Termo UETermo AlemãoAbreviatura
Entidade essencialBesonders wichtige EinrichtungbwE
Entidade importanteWichtige EinrichtungwE
Operador de infraestrutura críticaBetreiber kritischer AnlagenKRITIS

A hierarquia: KRITIS ⊂ entidades essenciais ⊂ todas as entidades NIS2. Os operadores KRITIS são automaticamente classificados como entidades essenciais.

Sanções

Por Categoria de Entidade
CategoriaCoima MáximaAlternativa Baseada no Volume de Negócios
Entidades essenciaisEUR 10.000.0002% do volume de negócios anual mundial do grupo
Entidades importantesEUR 7.000.0001,4% do volume de negócios anual mundial do grupo
Por Tipo de Infração
InfraçãoCoima Máxima
Não implementação de medidas de cibersegurança (§30)EUR 10M / EUR 7M
Não reporte de incidentes (§32)EUR 10M / EUR 7M
Incumprimento de diretivas do BSIEUR 10M / EUR 7M
KRITIS: falha no reporte de componentes críticosEUR 5.000.000
KRITIS: falha nos procedimentos de prova de auditoriaEUR 2.000.000
Infrações de registo, não notificação ao BSIEUR 500.000
Obstrução de inspeções do BSIEUR 500.000
Falhas de acessibilidade do contactoEUR 100.000
Responsabilidade da Gestão (Secção 38 BSIG)
Uma das disposições de maior impacto da implementação alemã. Os órgãos de gestão respondem pessoalmente pela conformidade com a cibersegurança.

Três Deveres Fundamentais

Aprovação (Billigung)

A gestão tem de aprovar formalmente as medidas de gestão de risco de cibersegurança nos termos da Secção 30 BSIG.

Fiscalização (Überwachung)

Acompanhamento ativo da implementação, não conhecimento passivo. A gestão tem de verificar que as medidas estão efetivamente a ser implementadas.

Formação (Schulung)

Participação pessoal obrigatória em formação de cibersegurança, no mínimo a cada 3 anos. Este dever não pode ser delegado.

Os administradores respondem pessoalmente perante a sua própria empresa quando violam culposamente estes deveres. A delegação de tarefas operacionais é permitida, mas a responsabilidade estratégica e a fiscalização permanecem com a gestão. A gestão não pode invocar falta de conhecimento técnico como defesa.

A Secção 38 BSIG proíbe expressamente renúncias contratuais de responsabilidade por parte dos sócios que sejam desproporcionadas face à incerteza existente quanto aos direitos.

Registo junto do BSI
Todas as entidades classificadas como essenciais ou importantes têm de se registar junto do BSI.

Prazo: 6 de março de 2026 (3 meses após a entrada em vigor da BSIG).

O registo segue um processo de dois passos: primeiro criar uma conta através do Mein Unternehmenskonto (MUK/ELSTER), depois registar-se através do portal do BSI (em funcionamento desde 6 de janeiro de 2026).

O registo é uma obrigação de autoidentificação, não há notificação do BSI. As empresas têm de determinar por si próprias se estão no âmbito. O BSI também pode ordenar a uma empresa que se registe se determinar que esta se enquadra no âmbito.

Modelo de Supervisão
AspetoEssencialImportante
SupervisãoProativa (ex ante), o BSI pode auditar a qualquer momentoReativa (ex post), apenas mediante prova de incumprimento
Coima máximaEUR 10M ou 2% do volume de negócios mundialEUR 7M ou 1,4% do volume de negócios mundial
Requisitos de auditoriaVerificações pontuais baseadas no risco pelo BSIApenas mediante suspeita fundamentada
Ciclo de auditoria KRITISA cada 3 anos (se for operador KRITIS)N/A