11/09/2025
A diretiva revista da União Europeia sobre cibersegurança, NIS2, entrou em vigor em outubro de 2024. O seu objetivo é claro: reforçar a resiliência cibernética em setores críticos e economicamente significativos, alargar o âmbito das entidades abrangidas e introduzir mecanismos de aplicação e responsabilização mais rigorosos.
Na Alemanha, no entanto, a transposição nacional para a legislação continua incompleta. As transições políticas e os atrasos legislativos criaram incerteza para as organizações que podem estar abrangidas pelo âmbito de aplicação. Embora os prazos de aplicação ainda não estejam finalizados a nível nacional, as obrigações definidas a nível da UE já são conhecidas.
Para as empresas alemãs, a questão estratégica não é se a NIS2 será aplicada, mas como elas estarão preparadas quando a implementação nacional se tornar obrigatória. Esperar pela clareza legislativa total pode parecer conveniente, mas a preparação com base nos requisitos essenciais da diretiva pode e deve começar agora.
O que o NIS2 exige e a quem ele se aplica
A Diretiva NIS original (2016) se concentrava na infraestrutura crítica e nas empresas por trás dela, como grandes empresas de energia, transporte, bancos e saúde. Mas a NIS2 amplia drasticamente o escopo.
Desta vez, não são apenas as grandes empresas que precisam se mobilizar. Trata-se de qualquer organização que forneça serviços essenciais à economia ou à sociedade, o que inclui muitas empresas de pequeno e médio porte.
Em última análise, a NIS2 se aplica a dois níveis de empresas:
- Entidades essenciais, como grandes empresas em setores essenciais, como energia, saúde, transporte e infraestrutura digital. Essas empresas geralmente têm mais de 250 funcionários ou um volume de negócios superior a 50 milhões de euros.
- Entidades importantes, como empresas de médio porte em setores como a fabricação de produtos essenciais, produção de alimentos, serviços postais, produtos químicos e serviços digitais. Essas empresas geralmente têm mais de 50 funcionários ou um volume de negócios superior a 10 milhões de euros.
Os limites de tamanho acima fornecem apenas uma orientação geral. A classificação final depende de critérios específicos do setor, estrutura organizacional e, em certos casos, relevância estratégica. Uma entidade pode ser designada como essencial ou importante mesmo abaixo dos limites de tamanho se prestar um serviço único e crítico. Os limites específicos podem variar por setor e devem ser determinados com base no tamanho da organização e no setor em que opera. Uma entidade pode ainda ser considerada “essencial” ou “importante” mesmo que não cumpra os critérios de tamanho, em casos específicos, como quando é o único prestador de um serviço crítico para a atividade social ou econômica.
Então, quais são as expectativas?
O NIS2 exige que as empresas cobertas implementem práticas de segurança baseadas em riscos em todas as suas operações. Isso inclui:
- Gerenciamento de riscos: É necessário realizar avaliações regulares e implementar controles de segurança adequados.
- Tratamento de incidentes: Incluindo notificação de incidentes significativos aos órgãos reguladores em 24 horas e relatório completo em 72 horas.
- Continuidade dos negócios e resposta a crises: Planejamento de resiliência, recuperação de desastres, backups e processos de comunicação de crises.
- Segurança da cadeia de suprimentos: Você é responsável não apenas por suas próprias defesas, mas também pelo gerenciamento do risco cibernético de seus fornecedores e prestadores de serviços.
- Governança e responsabilidade: A NIS2 introduz a responsabilidade de cima para baixo. A gerência sênior deve aprovar as estratégias cibernéticas e pode ser responsabilizada pessoalmente por falhas.
As multas administrativas podem chegar a € 10 milhões ou 2% do faturamento anual global, o que for maior. Ao contrário dos regimes anteriores, a NIS2 também possibilita a aplicação de sanções pessoais aos executivos. Para muitas empresas alemãs, especialmente as de médio porte, esta é a primeira vez que são incluídas na regulamentação cibernética da UE.
A situação atual na Alemanha
Apesar de a NIS2 estar em vigor em toda a UE, a Alemanha ainda não aprovou sua lei de implementação nacional.
O plano original era transpor a NIS2 para a legislação nacional por meio da "Lei de Implementação da NIS2 e Fortalecimento da Segurança Cibernética" até o início de 2025. Um projeto de lei havia sido aprovado pelo governo anterior. Mas a dissolução do Bundestag no final de 2024, seguida de novas eleições, interrompeu o processo legislativo.
Agora, sob a nova coalizão, todo o processo deve começar novamente. A Lei de Implementação do NIS2 da Alemanha foi aprovada pelo Gabinete em 30 de julho, mas, de acordo com o procedimento parlamentar, o projeto de lei precisa ser reapresentado, revisado e debatido novamente. O melhor cenário seria uma nova lei nacional até o final de 2025, mas pode ser que ela não entre em vigor antes de 2028.
O atraso levou a Comissão Europeia a enviar lembretes formais aos Estados-Membros que ainda não concluíram a transposição. Embora não tenha sido indicado nenhum período de carência formal, os prazos de aplicação dependerão, em última instância, da lei de implementação final da Alemanha. O mais preocupante é que não há sinais de um período de carência. Assim que a lei for aprovada, as empresas deverão cumprir imediatamente. Não haverá um início gradual ou uma implementação faseada, como foi o caso em outros Estados-Membros da UE.
Na prática, isso significa que as empresas alemãs devem agir agora, antes que a lei chegue. Porque, quando isso acontecer, o relógio de contagem regressiva para compliance e multas já estará correndo.
O que outros países estão fazendo e por que a Alemanha deve tomar nota
Enquanto a Alemanha está atrasada, vários países vizinhos da UE já publicaram planos de implementação da NIS2 e começaram a trabalhar com o setor para se preparar. O progresso deles fornece uma janela útil para o que está por vir e ilustra por que as empresas alemãs não devem esperar.
Áustria: Atrasos, mas transparência
A Áustria publicou um projeto de lei revisto e iniciou processos de consulta após atrasos políticos. As autoridades forneceram orientações preliminares ao setor para ajudar as organizações a iniciar as avaliações preparatórias.
Holanda: Cronogramas claros e um início precoce
A Holanda avançou rapidamente com projetos de consulta e definiu prazos para a aplicação das metas, oferecendo às empresas orientações regulatórias antes da implementação formal.
Crucialmente, os órgãos reguladores holandeses publicaram orientações antecipadas, ajudando as empresas a avaliar seus riscos, alinhar sua governança e testar protocolos de resposta a incidentes bem antes de a lei entrar em vigor.
França: Indo mais longe, mais rápido
A França integrou a NIS2 num quadro nacional de resiliência mais amplo, a par das diretivas da UE relacionadas, enfatizando a proteção das infraestruturas críticas e o planejamento da continuidade.
Na primavera de 2025, a lei já estava sendo finalizada no Parlamento. O modelo francês dá ênfase especial à infraestrutura crítica, ao planejamento de continuidade e à coordenação nacional. É importante ressaltar que a França também está estendendo as obrigações de estilo NIS2 para além do mínimo na UE, incluindo alguns municípios e instituições de pesquisa.
Como as empresas alemãs podem agir agora
Embora a lei nacional da Alemanha esteja atrasada, a diretiva da UE está em vigor, e a espera pela legislação final o deixa exposto a possíveis multas. Veja a seguir o que as empresas alemãs (especialmente as que operam em setores regulamentados) devem fazer agora:
1. Avalie se você está no escopo
Comece pelo básico: como critério de triagem inicial, as organizações com 50 ou mais funcionários que operam nos setores listados nos anexos I ou II da NIS2 devem presumir a potencial aplicabilidade. Mesmo que você seja um fornecedor de uma entidade abrangida, pode ser indiretamente afetado. Comece agora a mapear as funções, dependências e classificações setoriais da sua empresa. Os reguladores na Áustria e na Holanda estão trabalhando com as empresas com base em rascunhos. Você também pode fazer o mesmo.
2. Conduzir uma análise de gap
A NIS2 exige uma abordagem documentada de gestão da segurança cibernética baseada no risco. As organizações devem comparar sistematicamente os controles existentes com os requisitos da diretiva, incluindo procedimentos de notificação de incidentes, segurança da cadeia de abastecimento, estruturas de governança e planejamento de continuidade dos negócios.
3. Fortalecer a conscientização da equipe
A NIS2 torna a segurança cibernética uma responsabilidade de cima para baixo. A liderança deve entender suas obrigações e assumir a responsabilidade pela estratégia cibernética. Agora é o momento de informar as diretorias, treinar os chefes de departamento e realizar workshops de conscientização em toda a empresa. O treinamento deve ser personalizado porque diferentes funções estão expostas a diferentes riscos. A comunicação de incidentes, a identificação de phishing e o manuseio seguro de dados confidenciais são tarefas de todos.
4. Obter suporte externo, se necessário
Nem todas as empresas dispõem de recursos internos para atender às exigências da NIS2. Consultores externos ou parceiros de segurança gerenciada podem fornecer suporte estruturado na realização de avaliações, no fortalecimento dos recursos de monitoramento e no alinhamento da documentação com as expectativas regulatórias. Seja um provedor de serviços de segurança gerenciada (MSSP) para monitorar ameaças e responder a incidentes, ou uma consultoria para orientar a preparação para a conformidade, não há necessidade de reinventar a roda.
Ferramentas como o Navegador NIS2 - desenvolvidas pela Deutschland sicher im Netz e.V. e financiadas pelo Ministério de Assuntos Econômicos da Alemanha - podem ajudar as empresas a determinar se são afetadas pela diretiva, avaliar seu status atual e identificar as próximas etapas.
Além disso, as câmaras de comércio regionais (IHKs), as associações específicas do setor e o BSI (Escritório Federal de Segurança da Informação) estão oferecendo cada vez mais orientações, modelos e listas de verificação para ajudar as PMEs a navegar na NIS2.
A preparação para a NIS2 deve ser abordada como uma iniciativa estruturada de resiliência, e não como uma lista de verificação de conformidade. As organizações que agirem antecipadamente poderão alinhar a governança da segurança cibernética, a gestão de riscos e a continuidade operacional bem antes do início da aplicação formal.
O atual atraso legislativo não reduz a exposição às ameaças cibernéticas — nem elimina obrigações regulatórias futuras. As empresas que tratarem esse período como um tempo de preparação estarão melhor posicionadas quando a aplicação nacional entrar em vigor.
Aja agora para evitar multas
A NIS2 é uma peça importante da legislação que reconhece que, em nosso mundo digital de alto risco, a resiliência é essencial (e, se você estiver no escopo, obrigatória).
Sim, a Alemanha está atrasada na implementação, mas isso não significa que você pode se dar ao luxo de atrasar os preparativos. A diretriz da UE é obrigatória. Outros países estão se movimentando. E, o mais importante, os agentes de ameaças não estão esperando, nem seus concorrentes.
A Getronics apoia empresas em toda a Alemanha com as ferramentas e orientações necessárias para avançarem com confiança. Com nossos serviços gerenciados e consultoria estratégica, ajudamos as empresas a transformar incertezas em clareza.Solicite um retorno de chamada para iniciar uma conversa conosco e saber como podemos ajudá-lo.
Webinar: NIS2 para PMEs - Por que um MSP vale seu peso em ouro agora
(Em alemão)
