Cybersecurity

O seu dever de ciberseguranca agora e pessoal

A lei NIS2 da Alemanha torna a gestao pessoalmente responsavel pela ciberseguranca, fixa um prazo rigido de registo e atribui ao BSI poderes de auditoria e de aplicacao de coimas. O que os proprietarios devem fazer agora.

Por Leon Soliman · 2026-06-30 · 3 min de leitura

Por que esta lei vai mais longe do que pensa

A Lei de Transposição da NIS2 aplica-se na Alemanha desde dezembro de 2025, e não abrange apenas centrais elétricas e bancos. Abrange cerca de 29.500 empresas em 18 setores, da logística e produção alimentar à construção de máquinas, gestão de resíduos e serviços digitais. O limiar é baixo. Uma empresa com 50 ou mais trabalhadores, ou 10 milhões de euros de receita, num destes setores está abrangida por defeito.

A maioria dos proprietários no Mittelstand nunca pensou no seu negócio como infraestrutura crítica. A lei não pede essa autoimagem. Olha para o setor e para a dimensão, classifica-o como entidade importante ou especialmente importante, e atribui obrigações de segurança vinculativas que não existiam há um ano.

O dever que recai pessoalmente sobre o proprietário

A mudança mais acentuada é quem suporta o dever. Ao abrigo da nova lei alemã, o órgão de gestão tem de aprovar as medidas de gestão do risco de cibersegurança e fiscalizar que estão efetivamente implementadas. Esta não é uma tarefa que possa entregar a um fornecedor de TI e esquecer. Quando a liderança atua com negligência grave ou dolo, a lei permite coimas contra as pessoas e, em casos graves, uma proibição temporária de exercer um cargo de gestão.

Para uma empresa gerida pelo proprietário, esta é a parte que importa. Quem assina pela empresa assina agora pela sua postura cibernética. Um contrato de subcontratação bem feito não transfere a responsabilidade para fora da administração. Só muda a quem liga quando algo corre mal, e nessa altura o dever já foi posto à prova.

A lista de registo de que ninguém o avisou

Estar bem defendido não basta por si só. As empresas afetadas têm de se registar junto do Serviço Federal de Segurança da Informação, o BSI, e identificar-se. O prazo legal foi março de 2026 e, até essa data, apenas cerca de 11.500 das aproximadamente 29.500 empresas o tinham feito. Mais de metade faltava na lista.

O BSI fixou uma prorrogação final para 31 de julho de 2026 e sinalizou que irá examinar as primeiras sanções após este verão. A falta de registo é, em si mesma, uma infração passível de coima, até 500.000 euros, separada de qualquer violação. O risco silencioso não é um ciberataque. É ser uma empresa que o regulador não consegue encontrar numa lista que agora verifica ativamente.

O que pôr em marcha neste trimestre

Três passos suportam quase todo o peso. Confirme se a sua empresa está abrangida, porque o teste de setor e dimensão é mecânico e fácil de ler mal. Registe-se junto do BSI antes do limite de julho se estiver abrangido. Depois apresente um processo documentado de gestão do risco ao seu órgão de gestão, para que o dever de aprovação e fiscalização seja cumprido e registado, e não presumido.

Nada disto exige um grande departamento de segurança. Exige uma leitura clara de onde se encontra, prova de que a liderança olhou para o risco, e um registo que possa mostrar se o regulador perguntar. As empresas que vão ter dificuldades serão as que trataram uma lei nacional de cibersegurança como uma nota de rodapé de TI.

Leia a seguir: O Seu Hardware é Agora Software Regulado · A sua defesa cibernética está preparada para ataques à velocidade da máquina?

Perguntas frequentes

A NIS2 aplica-se à minha empresa se não formos uma empresa de serviços públicos nem um banco?

Muito possivelmente. A lei abrange 18 setores, incluindo logística, alimentação, indústria transformadora, resíduos e serviços digitais, e aplica-se a qualquer empresa neles com 50 ou mais trabalhadores ou 10 milhões de euros de receita. Muitas empresas do Mittelstand estão abrangidas sem o saberem.

Posso delegar este dever no meu fornecedor de TI?

Não. Pode subcontratar o trabalho técnico, mas a lei alemã coloca o dever de aprovar e fiscalizar as medidas de cibersegurança no próprio órgão de gestão. A responsabilidade, e a responsabilidade pessoal, permanecem na liderança.

Qual é o risco imediato se ainda não nos registámos?

A falta de registo junto do BSI é uma infração autónoma passível de coima até 500.000 euros, e o prazo final é 31 de julho de 2026. Após essa data, o BSI declarou que irá examinar sanções, começando pelas falhas claras de registo.

Uma lei que nomeia o seu órgão de gestão por função não espera por um incidente para se tornar real. O dever já está em vigor, e a única questão em aberto é se a sua prova também está.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola

Mais do Servola Journal

Cybersecurity

O Seu Hardware é Agora Software Regulado

2026-06-28 · 3 min de leitura

Ler o artigo →

Cybersecurity

A sua defesa cibernética está preparada para ataques à velocidade da máquina?

2026-06-23 · 2 min de leitura

Ler o artigo →

AI Regulation

A Alemanha Tem Agora um Regulador de IA Nomeado

2026-06-29 · 3 min de leitura

Ler o artigo →

Servola

A Servola ajuda proprietários e administrações do Mittelstand a ler onde a NIS2 os coloca e a construir a governação que a lei agora exige.

Solicitar uma apresentação privada Sobre a Servola →

A Servola é aconselhamento tecnológico para um pequeno número de famílias e family offices. Quando uma decisão não pode ser delegada, sentamo-nos do seu lado da mesa.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Todos os artigos