Art. 41 NIS 2 + NIS2UmsuCG

NIS2UmsuCG: a lei alemã de transposição da NIS 2

A NIS 2 é uma diretiva da UE. O Artigo 41.o determinou que cada Estado-Membro a escrevesse no direito nacional até 17 de outubro de 2024. A Alemanha falhou esse prazo. A NIS2UmsuCG acabou por ser aprovada e inseriu os deveres numa BSIG alterada. A diretiva continua a ser a fonte.

Simon OrzelSimon Orzel·

A versão curta

A NIS 2 é uma diretiva, não um regulamento. As diretivas vinculam os Estados-Membros a um resultado. Cada país tem de escrever a sua própria lei nacional que atinja esse resultado. A NIS 2 fixa uma norma única, à escala da UE, para os deveres de cibersegurança ao longo de 27 leis de transposição.

A lei de transposição da Alemanha chama-se NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Não existe como um diploma autónomo. É uma lei de alteração que reescreve a Lei do BSI (BSIG). Quando os profissionais alemães dizem 'BSIG' hoje, referem-se à BSIG conforme alterada pela NIS2UmsuCG.

A Alemanha falhou o prazo de 17 de outubro de 2024 fixado pelo Artigo 41.o da NIS 2. A NIS2UmsuCG foi aprovada mais tarde. Em meados de 2026, a lei está em vigor. Os deveres das entidades essenciais e importantes constam da BSIG alterada.

A fonte jurídica
Três camadas. A diretiva (direito da UE, fixa a norma). A obrigação de transposição (Artigo 41.o da NIS 2, manda os Estados-Membros agir). A própria transposição (NIS2UmsuCG → BSIG alterada).

Diretiva NIS 2 (UE) 2022/2555

A presente diretiva estabelece medidas destinadas a alcançar um elevado nível comum de cibersegurança na União.

A NIS 2 é uma diretiva. Foi adotada em 14 de dezembro de 2022 e entrou em vigor em 16 de janeiro de 2023. Vincula cada Estado-Membro à mesma norma. A substância de todas as leis nacionais de NIS 2 na UE vem deste texto.

Artigo 41.o, n.o 1, NIS 2

Até 17 de outubro de 2024, os Estados-Membros adotam e publicam as medidas necessárias para dar cumprimento à presente diretiva. Do facto informam imediatamente a Comissão. Aplicam essas medidas a partir de 18 de outubro de 2024.

O Artigo 41.o é a cláusula de transposição. Fixou duas datas. As leis nacionais tinham de estar em vigor até 17 de outubro de 2024. Os deveres tinham de aplicar-se a partir de 18 de outubro de 2024. A Alemanha falhou ambas. A Comissão abriu processos por infração contra os Estados-Membros em atraso na transposição em novembro de 2024.

NIS2UmsuCG → BSIG alterada (Alemanha)

A NIS2UmsuCG altera a Lei do BSI para aplicar a Diretiva (UE) 2022/2555.

A NIS2UmsuCG é a lei alemã de alteração. Reescreve a BSIG. A BSIG alterada é aquilo a que um auditor ou o BSI o vinculam na Alemanha. A redação segue de perto a diretiva, por vezes palavra por palavra.

As seis secções da BSIG que realmente importam
A BSIG alterada tem muitas secções. Seis delas carregam os deveres que toda a entidade essencial ou importante precisa de conhecer. Cada uma transpõe um artigo específico da NIS 2.
§28 + §30 BSIG

Âmbito e as dez medidas

O §28 BSIG define quem está abrangido: entidades 'particularmente importantes' e 'importantes', avaliadas por setor (Anexos I e II da NIS 2) e dimensão (50 ou mais colaboradores ou mais de 10 milhões de euros de volume de negócios, com sobreposições). O §30 BSIG lista as dez medidas de cibersegurança que toda a entidade abrangida tem de implementar. O §30 transpõe o Artigo 21.o, n.o 2, da diretiva.

§32 + §33 BSIG

Notificação de incidentes e registo

O §32 BSIG fixa a cascata de notificação de incidentes: 24 horas para um aviso prévio, 72 horas para uma notificação de incidente, um mês para um relatório final. Transpõe o Artigo 23.o. O §33 BSIG exige o registo junto do BSI. O prazo de registo foi 6 de março de 2026. O §33 transpõe o Artigo 27.o.

§38 + §65 BSIG

Órgão de direção e coimas

O §38 BSIG responsabiliza pessoalmente o órgão de direção pela conformidade e exige formação regular. Transpõe o Artigo 20.o. O §65 BSIG fixa os escalões de coimas: até 10 milhões de euros ou 2% do volume de negócios mundial para as entidades particularmente importantes, até 7 milhões de euros ou 1,4% para as entidades importantes. O §65 transpõe o Artigo 34.o.

Duas regras para ler os dois textos em conjunto
Quando a diretiva e a BSIG estão lado a lado, dois princípios dizem-lhe qual prevalece e como lê-los.

A NIS 2 é a fonte; a BSIG copia-a

A substância de cada dever vem da diretiva. A NIS2UmsuCG copia o Artigo 21.o para o §30 BSIG quase palavra por palavra. O mesmo vale para os Artigos 20.o, 23.o, 27.o e 34.o. Se quer saber o que significa um dever, leia primeiro a diretiva. Leia a secção da BSIG para os pormenores específicos alemães (que autoridade, que portal, que escalão de coimas).

Onde divergem, prevalece a diretiva

Se a redação da BSIG divergir da diretiva e a diferença importar, a diretiva prevalece. É um princípio geral do direito da UE: um Estado-Membro não pode subimplementar uma diretiva escrevendo um texto nacional mais brando. Os tribunais nacionais leem o direito nacional à luz da diretiva. As autoridades nacionais não podem aplicar a lei contra a diretiva.

A Alemanha ao lado das outras 26 transposições
Cada Estado-Membro tem a sua própria lei de transposição da NIS 2. A da Alemanha é a NIS2UmsuCG. Os deveres são os mesmos porque a diretiva fixa a norma. A redação, os prazos e a autoridade com quem fala diferem.
Alemanha

NIS2UmsuCG → BSIG, supervisionada pelo BSI

A NIS2UmsuCG altera a BSIG. O Bundesamt für Sicherheit in der Informationstechnik (BSI) é a autoridade nacional competente. O registo decorre através do portal do BSI. O BSI publica também Infopakete e aponta o IT-Grundschutz como o caminho prático para a implementação.

À escala da UE

Monitor de transposição da ENISA

A ENISA, a agência de cibersegurança da UE, publica um panorama do estado de transposição. Mostra que Estados-Membros já transpuseram, quais estão em atraso e quais continuam em processo legislativo. Use-o para verificar o estado de qualquer lei nacional de NIS 2, não só a alemã.

Outros Estados-Membros

Leis de transposição equivalentes

Países Baixos: Cyberbeveiligingswet. Áustria: NISG. França: ordonnance n.o 2024-1184. Bélgica: NIS2-Wet. Cada uma transpõe a mesma diretiva para a sua língua e estilo jurídico nacionais. Um dever do §30 BSIG tem um equivalente exato em cada uma destas leis. A redação difere; a obrigação é a mesma.

Três armadilhas que vemos a toda a hora
Três leituras erradas da relação entre diretiva e transposição que aparecem nas chamadas de preparação para auditoria. As três conduzem a lacunas.

  • A diretiva não me vincula, só a BSIG é que vincula.

    Os deveres operam através da BSIG, sim. Mas a BSIG é lida à luz da diretiva. Se uma autoridade ou um tribunal nacional estiver a interpretar uma cláusula ambígua da BSIG, olha para a diretiva. Para questões à escala da UE (contratos de fornecedores transfronteiriços, política de risco multijurisdicional), a diretiva é a referência certa. A BSIG é a implementação alemã, não um código fechado e autossuficiente.

  • Esperamos que a lei esteja em vigor antes de cumprir.

    A diretiva aplicou-se a partir de 18 de outubro de 2024. A transposição tardia da Alemanha não adiou o seu dever substantivo. As seguradoras de risco cibernético, os grandes clientes e os organismos de auditoria começaram a pedir provas de NIS 2 em 2025, antes de a NIS2UmsuCG ser aprovada. Depois de a BSIG ter sido alterada, os deveres tornaram-se diretamente exigíveis. A transposição tardia encurtou a pista, não a prolongou.

  • A NIS2UmsuCG é uma lei alemã única.

    Cada Estado-Membro tem uma transposição equivalente. Os deveres são os mesmos. Só a redação, a autoridade de supervisão e o escalão de coimas diferem. Se opera em três países da UE, não precisa de três quadros de risco. Precisa de um quadro que satisfaça a diretiva, e de três anexos nacionais curtos para os mecanismos locais (que portal, que formato de prazo, que autoridade).

Como ler de facto os dois textos

A maioria dos operadores do Mittelstand deve ler ambos. A diretiva para a substância. A BSIG para os aspetos processuais. Leia o Artigo 21.o da NIS 2 para o que significa a gestão de risco. Leia o §30 BSIG para a forma como a Alemanha o formula e para a orientação do BSI aplicável. Os dois em conjunto dizem-lhe o que deve.

Para operações multipaís, a diretiva é o texto de trabalho. Construa o seu registo de risco, o seu plano de resposta a incidentes e os seus contratos de fornecedores com base na diretiva. Depois mantenha um anexo nacional curto por país: junto de que autoridade se regista, através de que portal notifica, que escalão de coimas se aplica. Assim, mantém um quadro substantivo único com finas camadas nacionais, em vez de 27 quadros paralelos.

Como tratamos isto na plataforma

Mapeamos a diretiva e a BSIG lado a lado. Cada requisito na plataforma mostra o artigo da NIS 2 que transpõe, ao lado da secção do §30 / §32 / §33 / §38 BSIG que o operacionaliza na Alemanha. A mesma obrigação, duas leituras. Lê o nível que corresponde ao que está a fazer neste momento.

Se opera em mais do que um país da UE, a vista da diretiva mantém-se constante. A camada nacional (que autoridade, que portal, que escalão de coimas) muda por país. Estendemos o mesmo modelo a outros Estados-Membros (NL, AT, FR) à medida que acrescentamos conteúdo nacional.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Artigo 41.o (transposição). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestag-Drucksache e Bundesgesetzblatt
  • Lei do BSI (BSIG), §§28, 30, 32, 33, 38, 65 conforme alterada pela NIS2UmsuCG
  • Pacote de infrações da Comissão Europeia de novembro de 2024, cartas de notificação formal por transposição tardia da NIS 2
  • Panorama do estado de transposição da NIS 2 da ENISA
Use a NIS 2 e a BSIG lado a lado
Cada requisito na plataforma mostra o artigo da diretiva e a secção da BSIG. Gratuito, open source, sem lock-in.
Abrir a plataforma gratuita