NIS2 na Alemanha: o que o atraso na implementação nacional significa para as empresas e por que a preparação é fundamental

Na Alemanha, no entanto, a transposição da legislação para o direito nacional ainda está incompleta. As mudanças políticas e os atrasos legislativos geraram incerteza para as organizações que possam estar sujeitas ao âmbito de aplicação da legislação. Embora os prazos para a aplicação ainda não tenham sido definidos em nível nacional, as obrigações estabelecidas em nível da União Europeia já são conhecidas.

Para as empresas alemãs, a questão estratégica não é se a NIS2 será aplicada, mas sim em que medida elas estarão preparadas quando a implementação nacional se tornar obrigatória. Esperar pela clareza legislativa total pode parecer conveniente, mas a preparação com base nos requisitos essenciais da diretiva pode e deve começar agora.
 

O que a NIS2 exige e a quem se aplica
A Diretiva NIS original (2016) concentrava-se em infraestruturas críticas e nas empresas responsáveis por elas, como grandes players nos setores de energia, transporte, bancos e saúde. Mas a NIS2 amplia drasticamente esse escopo.  

Desta vez, não são apenas as grandes empresas que precisam se mobilizar. Trata-se de qualquer organização que preste serviços essenciais para a economia ou a sociedade, o que inclui muitas pequenas e médias empresas.

Em última análise, a NIS2 se aplica a dois níveis de empresas:

• Entidades essenciais, como grandes empresas em setores críticos, tais como energia, saúde, transporte e infraestrutura digital. Essas empresas geralmente têm mais de 250 funcionários ou faturamento superior a 50 milhões de euros.  
• Entidades importantes, como empresas de médio porte em setores como a fabricação de produtos essenciais, produção de alimentos, serviços postais, produtos químicos e serviços digitais. Essas empresas geralmente têm mais de 50 funcionários ou faturamento superior a €10 milhões.  
   

Os limites de tamanho acima servem apenas como orientação geral. A classificação final depende de critérios específicos do setor, da estrutura organizacional e, em certos casos, da relevância estratégica. Uma entidade pode ser designada como essencial ou importante mesmo abaixo dos limites de tamanho, caso preste um serviço de importância crítica única. Os limites específicos podem variar de acordo com o setor e devem ser determinados com base no tamanho da organização e no setor em que ela atua. Uma entidade ainda pode ser considerada “essencial” ou “importante” mesmo que não atenda aos critérios de tamanho, em casos específicos, como quando for a única prestadora de um serviço crítico para a atividade social ou econômica.  

Então, quais são as expectativas?
A NIS2 exige que as empresas abrangidas implementem práticas de segurança baseadas no risco em todas as suas operações. Isso inclui:

• Gestão de riscos: É necessário realizar avaliações regulares e implementar controles de segurança de acordo com os resultados. 
• Gestão de incidentes: Inclui a notificação 24 horas por dia de incidentes significativos às autoridades reguladoras e a apresentação de relatórios completos no prazo de 72 horas. 
• Continuidade dos negócios e resposta a crises: planejamento de resiliência, recuperação de desastres, backups e processos de comunicação em situações de crise. 
• Segurança da cadeia de suprimentos: você é responsável não apenas por suas próprias medidas de defesa, mas também pela gestão dos riscos cibernéticos envolvendo seus fornecedores e prestadores de serviços. 
• Governança e prestação de contas: A NIS2 introduz um sistema de prestação de contas de cima para baixo. A alta administração deve aprovar as estratégias cibernéticas e pode ser responsabilizada pessoalmente por falhas. 
   

As multas administrativas podem chegar a até €10 milhões ou 2% do faturamento anual global, o que for maior. Ao contrário dos regimes anteriores, a NIS2 também permite sancionar executivos pessoalmente. Para muitas empresas alemãs, especialmente as do Mittelstand, esta é a primeira vez que são abrangidas pela regulamentação de segurança cibernética em âmbito da União Europeia.

A situação atual na Alemanha
Apesar de a NIS2 já estar em vigor em toda a UE, a Alemanha ainda não aprovou sua lei nacional de implementação.

O plano original era transpor a NIS2 para a legislação nacional por meio da “Lei de Implementação da NIS2 e Fortalecimento da Segurança Cibernética” até o início de 2025. Um projeto de lei havia sido aprovado pelo governo anterior. No entanto, a dissolução do Bundestag no final de 2024, seguida por novas eleições, interrompeu o processo legislativo.

Agora, sob a nova coalizão, todo o processo precisa recomeçar. A Lei de Implementação da NIS 2 da Alemanha foi aprovada pelo Conselho de Ministros em 30 de julho, mas, de acordo com o procedimento parlamentar, o projeto de lei precisa ser reapresentado, analisado e debatido novamente. Na melhor das hipóteses, uma nova lei nacional entraria em vigor até o final de 2025, mas ela só poderia entrar em vigor em 2026.  

O atraso levou a Comissão Europeia a enviar lembretes formais aos Estados-Membros que ainda não concluíram a transposição. Embora não tenha sido indicado nenhum prazo de carência formal, os prazos para a aplicação da lei dependerão, em última instância, do ato de implementação final da Alemanha. O que é mais preocupante é que não há sinais de que haja um prazo de carência. Assim que a lei for aprovada, espera-se que as empresas cumpram as exigências imediatamente. Não haverá um início gradual ou uma implementação em fases, como ocorreu em outros Estados-Membros da UE.  

Na prática, isso significa que as empresas alemãs devem agir agora, antes que a lei entre em vigor. Pois, assim que isso acontecer, o relógio já estará correndo para o prazo de adequação e para a aplicação de multas.

O que outros países estão fazendo e por que a Alemanha deveria prestar atenção
Enquanto a Alemanha fica para trás, vários vizinhos da UE já publicaram planos de implementação da NIS2 e começaram a trabalhar com o setor para se preparar. O progresso deles oferece uma visão útil do que está por vir e ilustra por que as empresas alemãs não devem esperar.  

Áustria: Atrasos, mas transparência
A Áustria publicou uma versão revisada do projeto de lei e deu início a processos de consulta após atrasos políticos. As autoridades forneceram orientações setoriais preliminares para ajudar as organizações a iniciar as avaliações preparatórias.

Países Baixos: Prazos claros e início antecipado
Os Países Baixos avançaram desde cedo com rascunhos para consulta e definiram prazos-alvo para a aplicação da legislação, oferecendo às empresas orientações regulatórias antes da implementação formal.

É fundamental ressaltar que os órgãos reguladores holandeses publicaram orientações antecipadas, ajudando as empresas a avaliar seus riscos, adequar sua governança e testar os protocolos de resposta a incidentes bem antes da entrada em vigor da lei.

França: Indo mais longe, mais rápido
A França integrou a NIS2 em um quadro nacional mais amplo de resiliência, juntamente com as diretivas relacionadas da UE, enfatizando a proteção de infraestruturas críticas e o planejamento de continuidade.

Na primavera de 2025, a lei já estava em fase de finalização no Parlamento. O modelo francês dá ênfase especial às infraestruturas críticas, ao planejamento de continuidade e à coordenação nacional. É importante ressaltar que a França também está ampliando as obrigações do tipo NIS2 para além dos requisitos mínimos da UE, incluindo alguns municípios e instituições de pesquisa.

Como as empresas alemãs podem agir agora
Embora a legislação nacional da Alemanha esteja atrasada, a diretiva da UE já está em vigor, e esperar pela aprovação da legislação definitiva pode expor sua empresa a possíveis multas. Veja o que as empresas alemãs (especialmente aquelas que atuam em setores regulamentados) devem fazer agora:

1. Avalie se você está dentro do escopo
Comece pelo básico: como critério de triagem inicial, as organizações com 50 ou mais funcionários que atuam nos setores listados nos Anexos I ou II da NIS2 devem considerar a possibilidade de estarem sujeitas à regulamentação. Mesmo que você seja um fornecedor de uma entidade abrangida pela regulamentação, pode ser afetado indiretamente. Comece agora a mapear suas funções de negócios, dependências e classificações setoriais. Órgãos reguladores na Áustria e na Holanda estão trabalhando com as empresas com base em minutas. Você também pode fazer o mesmo.

2. Realizar uma análise de lacunas
A NIS2 exige uma abordagem de gestão de segurança cibernética documentada e baseada em riscos. As organizações devem comparar sistematicamente os controles existentes com os requisitos da diretiva, incluindo procedimentos de notificação de incidentes, segurança da cadeia de suprimentos, estruturas de governança e planejamento de continuidade de negócios.

3. Fortalecer a conscientização dos funcionários
A NIS2 torna a segurança cibernética uma responsabilidade que parte da alta administração. A liderança deve compreender suas obrigações e assumir a responsabilidade pela estratégia cibernética. Agora é o momento de informar os conselhos de administração, treinar os chefes de departamento e realizar workshops de conscientização em toda a empresa. O treinamento deve ser personalizado, pois diferentes funções estão expostas a riscos distintos. O relato de incidentes, a identificação de phishing e o manuseio seguro de dados confidenciais são responsabilidade de todos.

4. Recorra a apoio externo, se necessário
Nem toda empresa dispõe de recursos internos para atender às exigências da NIS2. Parceiros externos de consultoria ou de segurança gerenciada podem oferecer apoio estruturado na realização de avaliações, no fortalecimento das capacidades de monitoramento e no alinhamento da documentação às expectativas regulatórias. Seja um Provedor de Serviços de Segurança Gerenciada (MSSP) para monitorar ameaças e responder a incidentes, ou uma consultoria para orientar a preparação para a conformidade, não há necessidade de reinventar a roda.

Ferramentas como o NIS2 Navigator — desenvolvido pela Deutschland sicher im Netz e.V. e financiado pelo Ministério da Economia da Alemanha — podem ajudar as empresas a determinar se são afetadas pela diretiva, avaliar sua situação atual e identificar os próximos passos.

Além disso, as câmaras de comércio regionais (IHKs), as associações setoriais e o BSI (Escritório Federal de Segurança da Informação) vêm oferecendo cada vez mais orientações, modelos e listas de verificação para ajudar, em especial, as PMEs a se orientarem em relação à NIS2.

A preparação para a NIS2 deve ser encarada como uma iniciativa estruturada de resiliência, e não como uma simples lista de verificação de conformidade. As organizações que agirem antecipadamente poderão alinhar a governança de segurança cibernética, a gestão de riscos e a continuidade operacional bem antes do início da aplicação formal da norma.

O atual adiamento legislativo não reduz a exposição a ameaças cibernéticas — nem elimina futuras obrigações regulatórias. As empresas que encararem esse período como um tempo de preparação estarão melhor posicionadas quando a fiscalização nacional entrar em vigor.

Aja agora para evitar multas
A NIS2 é uma importante lei que reconhece que, em nosso mundo digital de alto risco, a resiliência é essencial (e, se você estiver sujeito à lei, obrigatória).  

Sim, a Alemanha está atrasada na implementação, mas isso não significa que você possa se dar ao luxo de adiar os preparativos. A diretiva da UE é vinculativa. Outros países já estão agindo. E, o mais importante, os agentes maliciosos não estão esperando, nem seus concorrentes.

A Getronics apoia empresas em toda a Alemanha, oferecendo as ferramentas e a orientação necessárias para que sigam em frente com confiança. Com nossos serviços gerenciados e consultoria estratégica, ajudamos as empresas a transformar a incerteza em clareza. Solicite um retorno de chamada para iniciar uma conversa conosco e saber como podemos ajudá-lo.