Contexto: o BSI Act e o prazo de registo
A Alemanha transpôs a Diretiva NIS2 atraves do NIS2UmsuCG (Umsetzungsgesetz), que publicou o novo BSI Act (Bundes-CyberSicherheitsgesetz) em 5 de dezembro de 2025. A lei obrigou as entidades abrangidas a registarem-se junto do Bundesamt fur Sicherheit in der Informationstechnik (BSI) num prazo que terminou a 6 de marco de 2026.
O registo e obrigatorio para todas as entidades essenciais e importantes nos setores cobertos pelo BCSIG, incluindo energia, saude, infraestrutura digital, telecomunicacoes e administracao publica. A lei alinha-se com a Diretiva NIS2 (UE 2022/2555) mas inclui especificidades do sistema federal alemao.
Prazo ja decorrido: O registo no BSI era obrigatorio ate 6 de marco de 2026. Entidades que ainda nao se registaram estao ja em situacao de infracão punivel.
O enforcement: o que esta a acontecer
Apos o termino do prazo, o BSI iniciou verificacoes de conformidade. O registo tardio constitui a primeira infracão objetiva prevista no BCSIG, com moldura de coima ate 500 000 euros. Nao e necessario provar dano ou incidente para a coima ser aplicada: o mero facto de nao estar registado dentro do prazo e suficiente.
Segundo informacao recolhida em maio de 2026 por fontes especializadas, as primeiras sancoes formais comecaram a ser publicadas a partir desse mes. A fase de enforcement inclui nao apenas o registo, mas tambem a verificacao das medidas tecnicas e organizacionais exigidas pelo Art. 30 do BCSIG (equivalente ao Art. 21 da Diretiva NIS2 / Art. 27 do DL 125/2025 em Portugal).
Moldura de coimas no regime alemao
| Infracão | Coima maxima |
|---|---|
| Falta de registo no BSI (entidade essencial ou importante) | ate 500 000 euros |
| Incumprimento de medidas de gestao de risco (Art. 30 BCSIG) | Ate 10 000 000 euros ou 2% do volume de negocios global (entidades essenciais) |
| Incumprimento de obrigacoes de reporte de incidentes | Ate 7 000 000 euros ou 1,4% do volume de negocios global (entidades importantes) |
Implicacoes para Portugal: o paralelo com o registo no CNCS
Em Portugal, o Decreto-Lei n.o 125/2025, em vigor desde 3 de abril de 2026, estabelece um regime identico. O Art. 14.o determina o registo obrigatorio de entidades essenciais e importantes na plataforma eletrónica do CNCS (MyCiber). O prazo concreto depende da publicacao do regulamento do CNCS, que foi a consulta publica em marco de 2026.
A experiencia alema e um sinal claro: o registo nao e uma formalidade burocratica de baixo risco. E a primeira linha de enforcement, verificavel de forma automatica pelo regulador, e a primeira infracão a ser documentada e sancionada.
Atenção: O regime sancionatorio do DL 125/2025 (Arts. 61.o a 63.o) preve coimas ate 10 milhoes de euros ou 2% do volume de negocios global para entidades essenciais, e ate 7 milhoes de euros ou 1,4% para entidades importantes. O registo tardio no CNCS sera, por analogia com a Alemanha, a infracão mais diretamente verificavel e sancionavel.
Prazos relevantes em Portugal
| Marco | Prazo | Referencia legal |
|---|---|---|
| DL 125/2025 em vigor | 3 de abril de 2026 | Art. 1.o DL 125/2025 |
| Nomeacao do responsavel de seguranca da informacao | 20 dias uteis apos entrada em vigor (ate aprox. 4 maio 2026) | Art. 25.o DL 125/2025 |
| Registo na plataforma MyCiber do CNCS | 60 dias apos disponibilizacao da plataforma (data a confirmar pelo CNCS) | Art. 14.o DL 125/2025 |
| Conformidade tecnica plena | Abril de 2028 | Disposicoes transitorias DL 125/2025 |
O que fazer agora
- Verificar se a organizacao esta abrangida (Anexos I ou II do DL 125/2025) usando a calculadora de classificacao.
- Acompanhar a publicacao do regulamento do CNCS relativo ao portal de registo.
- Iniciar a gap analysis face ao Art. 27.o DL 125/2025 com a checklist do Art. 21.
- Estimar o impacto financeiro potencial com a calculadora de coimas.
- Preparar o processo de notificacao de incidentes com o simulador de notificacao CNCS.