Perdeu o prazo de registo no BSI. E agora?
Cerca de 18.000 empresas alemãs perderam o prazo de registo do §33 BSIG. O portal do BSI continua aberto. Eis o que importa agora, e o que de facto acontece se agir depressa.
A resposta curta
Não entre em pânico. Não está sozinho, e não é tarde demais para resolver isto. O BSI estimou que cerca de 30.000 entidades estão abrangidas pela NIS2 na Alemanha. O prazo de registo terminou a 6 de março de 2026, mas um número significativo de empresas continua sem registo. Está longe de ser o único nesta situação.
O portal de registo ao abrigo do §33 BSIG continua aberto. Pode registar-se hoje. O BSI indicou que vai priorizar a fiscalização contra as empresas que ignoram por completo as suas obrigações, e não contra quem se registou tarde mas age de boa-fé. Tarde é melhor do que nunca, e "nunca" é a única opção verdadeiramente perigosa.
O essencial é agir agora, documentar que começou e iniciar o trabalho de conformidade efetivo. Um registo tardio com progresso visível parece fundamentalmente diferente, aos olhos de um regulador, de não haver registo nenhum.
1. Confirme que está mesmo no âmbito
Antes de se registar, verifique se a NIS2 se aplica à sua empresa. Os critérios constam do §28 BSIG: tem de operar num dos 18 setores listados E cumprir o limiar de dimensão (50 ou mais trabalhadores ou 10 milhões de euros ou mais de volume de negócios anual). Em caso de dúvida, consulte as listas de setores do BSI no Anexo I e no Anexo II da Diretiva NIS2. Muitas empresas assumem que estão fora do âmbito quando não estão, e vice-versa. Se estiver genuinamente incerto, obtenha um parecer jurídico antes de se registar, mas não use a incerteza como desculpa para adiar.
2. Registe-se de imediato através do portal do BSI
Aceda ao portal de registo NIS2 do BSI e conclua o seu registo ao abrigo do §33 BSIG. Vai precisar de: os dados da empresa, a classificação setorial, a pessoa de contacto para matérias de cibersegurança e os intervalos de endereços IP dos seus sistemas críticos. O registo em si demora cerca de 30 minutos se tiver a informação preparada. Faça-o hoje. Cada dia que espera aumenta o intervalo entre o prazo e a sua data de registo.
3. Documente que começou
Crie um registo escrito, ainda que uma simples nota interna, que documente quando tomou conhecimento das suas obrigações NIS2, quando se registou e que passos está a dar. Isto cria um rasto documental que demonstra boa-fé. Se o BSI alguma vez perguntar porque se atrasou, "identificámos a obrigação, registámo-nos de imediato e iniciámos o trabalho de conformidade em [data]" é uma resposta forte.
4. Inicie o trabalho de conformidade efetivo
O registo é apenas o primeiro passo. O §30 BSIG exige que implemente medidas de gestão de risco de cibersegurança. Comece pelas bases: inventário de ativos, metodologia de avaliação de risco e procedimentos de notificação de incidentes. Não precisa de estar totalmente conforme de um dia para o outro, mas precisa de estar visivelmente a trabalhar para lá chegar. O BSI olha para a trajetória, não só para o estado atual.
5. Considere aconselhamento jurídico se o âmbito for pouco claro
Se a sua empresa estiver perto do limiar (próxima dos 50 trabalhadores ou dos 10 milhões de euros de volume de negócios), operar num setor que pode ser interpretado de várias formas, ou tiver uma estrutura societária complexa, consulte um advogado especializado em regulação de TI. O custo de um parecer jurídico (2.000 a 5.000 euros) é insignificante face ao custo da não conformidade ou de uma conformidade desnecessária. Algumas associações setoriais (como a Bitkom ou a BDI) também oferecem orientação sobre o âmbito da NIS2 aos seus associados.
Quais são os riscos reais de um registo tardio?
Ser honesto quanto aos riscos ajuda-o a tomar decisões proporcionadas. As consequências são reais, mas não catastróficas, se agir agora.
Coimas administrativas
O §65 BSIG prevê coimas até 500.000 euros especificamente para infrações de registo. Na prática, o BSI tem capacidade de fiscalização limitada e está focado em trazer as empresas para o sistema, não em punir os retardatários. É improvável que uma empresa que se regista tarde e demonstra esforços ativos de conformidade enfrente a sanção máxima. Uma empresa que nunca se regista é outra história.
Ordens de conformidade
O BSI pode emitir ordens de conformidade vinculativas que o obrigam a registar-se e a implementar medidas específicas dentro de um prazo fixado. O incumprimento de uma ordem destas agrava significativamente a situação jurídica. Registar-se proativamente, ainda que tarde, evita por completo esta via de escalada.
Responsabilidade pessoal da gestão
O §38 BSIG torna a Geschäftsführung pessoalmente responsável por assegurar a conformidade com a NIS2. Se a sua empresa estiver no âmbito e o senhor, enquanto gestão, tiver atrasado conscientemente o registo, isto cria uma exposição pessoal. A responsabilidade não pode ser afastada por deliberação dos sócios. Documentar que agiu assim que tomou conhecimento é uma proteção importante.
Maior escrutínio em auditorias futuras
Para as entidades essenciais, o BSI conduz auditorias periódicas. Um registo tardio ficará visível na sua cronologia de conformidade. No entanto, um processo de recuperação bem documentado que mostre uma melhoria sistemática é visto de forma muito diferente de um padrão de negligência. Os auditores avaliam a trajetória, não apenas o ponto de partida.
O atraso no registo NIS2 não decorre, sobretudo, de negligência. O processo legislativo alemão sofreu atrasos repetidos. O NIS2UmsuCG foi aprovado meses depois do prazo original de transposição da UE. Muitas empresas, com razão, esperaram pela finalização da lei alemã antes de agir. Outras desconheciam que estavam no âmbito porque as definições de setor alargaram-se drasticamente face ao antigo regime KRITIS.
O próprio BSI reconheceu publicamente a dimensão do atraso no registo. A agência adotou uma postura pragmática: a prioridade é registar todas as 30.000 entidades e trazê-las para o sistema de conformidade, não punir a primeira vaga de registos tardios. Este pragmatismo tem limites. Aplica-se às empresas que estão ativamente a trabalhar para a conformidade, não às que usam a paciência do BSI como desculpa para nada fazer.
Perguntas frequentes
O portal de registo do BSI ainda está aberto?
Sim. O portal de registo do §33 BSIG continua aberto. Não há um prazo após o qual deixe de se poder registar. A obrigação é contínua. O prazo era quando deveria ter-se registado, não quando podia. Registe-se agora.
Qual é a coima por registo tardio?
O §65 BSIG prevê coimas até 500.000 euros por infrações de registo. Contudo, as coimas são avaliadas caso a caso, ponderando a gravidade, a duração e se a empresa agiu de boa-fé. Uma empresa que se regista com alguns meses de atraso e mostra esforços ativos de conformidade enfrenta um perfil de risco muito diferente de uma que ignora a obrigação por completo.
O registo tardio afeta as minhas outras obrigações NIS2?
Não. As suas obrigações ao abrigo do §30 BSIG (medidas de cibersegurança), do §32 (notificação de incidentes) e do §38 (responsabilidade da gestão) existem independentemente de se ter registado. O registo não cria as obrigações: cumpre uma delas. As restantes obrigações aplicam-se a partir do momento em que cumpre os critérios de âmbito, independentemente do estado do registo.
Posso registar-me se não tiver a certeza de estar no âmbito?
Sim, e o BSI recomenda que peque por excesso de registo se estiver incerto. Registar-se e vir a ficar fora do âmbito não tem consequências negativas: o registo pode ser corrigido. Não se registar quando está no âmbito acarreta um risco jurídico real. Na dúvida, registe-se.
E se nos registámos mas não iniciámos o trabalho de conformidade?
Registo sem trabalho de conformidade é como entregar uma declaração de impostos mas não pagar o imposto: cumpriu uma obrigação, mas não as substantivas. Comece já com as medidas do §30 BSIG: inventário de ativos, avaliação de risco, procedimentos de notificação de incidentes. O BSI espera que as entidades registadas estejam ativamente a trabalhar para a conformidade, e não apenas sentadas sobre um número de registo.
- BSI, estatísticas de registo NIS2 e declarações públicas sobre a abordagem de fiscalização (2025)
- G DATA CyberDefense, inquérito de sensibilização NIS2: 44% das empresas de médio mercado desconhecem as obrigações (2024)
- BSIG, §33 (obrigação de registo), §65 (coimas administrativas), §38 (responsabilidade da gestão)
- NIS2UmsuCG, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI, documentação parlamentar e orientação sobre a implementação do NIS2UmsuCG