Často kladené otázky k NIS2

Bude Evropská unie směrnici NIS 2 ještě měnit nebo upravovat?

Směrnice NIS 2 (EU) 2022/2555 je platným právem EU od ledna 2023 a stanoví závazný rámec. Změna by byla možná pouze novým legislativním procesem EU a v současnosti se neplánuje. Upřesnění přicházejí místo toho prostřednictvím prováděcích aktů, jako je CIR (EU) 2024/2690, který pro určité subjekty rozvádí technická minimální opatření podle článku 21, nikoli přepracováním samotné směrnice. Pro firmy to znamená: obsah je dán, nečekejte na změny, ale plňte povinnosti podle platného práva.

Bude existovat federální podpora pro implementaci NIS 2 ve firmách?

Vyhrazená federální dotace konkrétně na implementaci NIS 2 se v současnosti neplánuje. Povinnosti podle článku 21 směrnice NIS 2 jsou založené na riziku a přiměřené: úsilí se odvíjí od velikosti, míry vystavení riziku a pravděpodobnosti výskytu, takže střední podnik nepotřebuje řešení pro velkou korporátní skupinu. Obecné dotace na digitalizaci a poradenství od federální vlády a spolkových zemí mohou jednotlivá opatření spolufinancovat podle daného programu, což je nejlépe ověřit u příslušného dotačního úřadu nebo hospodářské komory (IHK). Plánujte tedy implementaci vlastními silami, financování není zaručeno.

Jaký je aktuální stav BSIG a kdy nabývá účinnosti prováděcí zákon k NIS 2?

Prováděcí zákon k NIS 2 je již účinný: Bundestag jej přijal 13. listopadu 2025, Bundesrat jej schválil 21. listopadu 2025, vyhlášení ve Spolkové sbírce zákonů proběhlo 5. prosince 2025 a zákon platí od 6. prosince 2025. Tím nabývá účinnosti zásadně revidovaný zákon o BSI (BSIG v novém znění), který transponuje směrnici NIS 2 do německého práva. Tříměsíční registrační lhůta po nabytí účinnosti uplynula 6. března 2026. Kdo je dotčen a dosud se neregistroval, měl by tak učinit bezodkladně (viz ../anwendungsbereich/nis2-registrierung).

Kde najdu BSIG / prováděcí zákon k NIS 2?

Směrnici NIS 2 (EU) 2022/2555 najdete v plném znění na EUR-Lex (Úřední věstník L 333 ze dne 27. prosince 2022) a s ní související prováděcí nařízení jako CIR (EU) 2024/2690 rovněž tam. Německou transpozici, tedy platný zákon o BSI v novém znění, čtete v současnosti na gesetze-im-internet.de (BSIG). Text vyhlášení prováděcího zákona k NIS 2 (souhrnný zákon) je ve Spolkové sbírce zákonů ze dne 5. prosince 2025. Pro běžnou praxi je nejjednodušším zdrojem konsolidované znění BSIG na gesetze-im-internet.de.

Čím se prováděcí zákon k NIS 2 liší od BSIG?

BSIG je věcný zákon: samostatný jednotlivý zákon, který trvale upravuje úkoly BSI i povinnosti klíčových a důležitých subjektů. Prováděcí zákon k NIS 2 je naproti tomu souhrnný zákon, tedy legislativní obal, který přepracovává BSIG a zároveň mění další odvětvové zákony (například v oblasti telekomunikací, energetiky a sociálního pojištění), aby plně transponoval směrnici NIS 2 do německého práva. Stručně: prováděcí zákon k NIS 2 svou práci splnil nabytím účinnosti a své změny zavedl do platných zákonů. Vaše každodenní povinnosti tedy upravuje BSIG v novém znění, nikoli obal.

Může být firma regulována i tehdy, když dotčené služby nejsou poskytovány v Německu?

Ano. Nezáleží na tom, kde je služba poskytována, ale kde je subjekt usazen (článek 26 směrnice NIS 2, v Německu transponovaný v §59 a §60 BSIG). Kdo je usazen v Německu nebo zde jmenoval zástupce, může podléhat německému dozoru, i když se zákazníci nacházejí v zahraničí. Zvláštní pravidlo platí pro poskytovatele DNS, cloudu, datových center a podobné, jakož i pro poskytovatele veřejných sítí elektronických komunikací a služeb: pro ně je rozhodující hlavní provozovna v EU, tedy členský stát, v němž se převážně přijímají rozhodnutí o opatřeních k řízení rizik. Která provozovna se v daném případě počítá, je uvedeno na wiki stránce o sídle mimo EU.

Co přesně se rozumí pojmem „zanedbatelný“ v souvislosti s §28 odst. 3 BSIG a podle jakých kritérií se tato klasifikace provádí?

Zanedbatelná znamená činnost, jejíž rozsah je v celkovém obrazu firmy tak malý, že nehraje roli pro klasifikaci jako důležitý nebo klíčový subjekt. Ukazateli jsou počet osob zde zaměstnaných, obrat z této činnosti a s ním spojený podíl na rozvaze, vždy ve vztahu k celému podnikání. Žádný jednotlivý údaj nerozhoduje sám o sobě: záleží na celkovém pohledu. Pokud se navíc činnost objevuje i v předmětu podnikání (stanovy, společenská smlouva), hovoří to proti zanedbatelnosti. V případě pochybností by činnost měla být zdokumentována a konzervativně považována za nezanedbatelnou.

Jsou obecní vlastní provozy (Eigenbetriebe) dotčeny NIS 2?

Ne automaticky. Čistě správní činnost na obecní úrovni se v zásadě řídí zemským právem (Landesrecht), nikoli BSIG; rada pro plánování IT (IT-Planungsrat) zde obecní úroveň výslovně vyloučila. Obecní vlastní provoz se stane dotčeným teprve tehdy, pokud sám spadá do některého z pokrytých odvětví (například energetika, voda, odpadní voda, odpady) a buď provozuje kritické zařízení, nebo dosahuje velikostních prahů pro důležité či klíčové subjekty. Rozhodující je tedy konkrétní činnost jednotlivého provozu, nikoli právní forma vlastního provozu (Eigenbetrieb). Pro provozovatele inženýrských sítí a odpadového hospodářství pomohou wiki testy, například obecní vodárenský podnik nebo provozovatel likvidace odpadních vod.

Spadá moje firma do působnosti BSIG / prováděcího zákona k NIS 2?

To závisí na třech otázkách: odvětví, velikost a zvláštní případy. Zaprvé musí vaše činnost spadat do jednoho z odvětví uvedených v příloze I nebo II směrnice NIS 2 (v Německu přílohy 1 a 2 k BSIG). Zadruhé musíte zpravidla mít alespoň 50 zaměstnanců nebo více než 10 milionů eur ročního obratu a roční bilanční sumy (střední podnik podle doporučení 2003/361/ES); menší firmy jsou pokryty jen ve výslovně určených výjimečných případech. Zatřetí existují konstelace platné bez ohledu na velikost, například provozovatelé kritických zařízení nebo někteří poskytovatelé v odvětví digitální infrastruktury. Klasifikace je sebezařazení; BSI nezasílá rozhodnutí. Kompletní test je k dispozici na wiki stránce Kdo je dotčen.

Jak se mají klasifikovat pojmy klíčový, důležitý a zvláště důležitý subjekt?

Směrnice NIS 2 zná dvě třídy: klíčové subjekty (příloha I) a důležité subjekty (příloha II), článek 3 směrnice NIS 2. Německý BSIG to přebírá, ale horní třídu nazývá zvláště důležitý subjekt (§28 odst. 1 BSIG) a druhou důležitý subjekt (§28 odst. 2 BSIG); klíčový a zvláště důležitý tedy znamenají stejnou úroveň. Rozdíl nespočívá v bezpečnostních povinnostech, které jsou v podstatě stejné, ale v dozoru: zvláště důležité subjekty podléhají proaktivnímu dozoru, důležité subjekty pouze následnému dozoru vyvolanému konkrétní událostí. Zda spadáte do horní či dolní třídy, vyplývá z odvětví, velikosti a postavení provozovatele kritického zařízení.

Jak se posuzuje dotčenost subjektů podle §28 odst. 1 č. 4 BSIG?

§28 odst. 1 č. 4 BSIG se vztahuje na subjekty typů z přílohy 1, které za úplatu nabízejí jiné osobě zboží nebo služby a mají roční obrat vyšší než 50 milionů eur a zároveň roční bilanční sumu vyšší než 43 milionů eur (transpozice čl. 3 odst. 1 směrnice NIS 2). Posouzení se proto provádí ve dvou krocích: patří vaše činnost do odvětví přílohy 1 a překračujete kumulativně oba finanční prahy? Do výpočtu je třeba zahrnout propojené a partnerské podniky podle doporučení 2003/361/ES. Pokud jsou oba prahy překročeny, počítáte se mezi zvláště důležité subjekty, aniž by záležel počet zaměstnanců.

Na čem jsou založeny prahy pro počet zaměstnanců, roční obrat a roční bilanční sumu, které se používají ke klasifikaci kategorií podniků v čl. 2 odst. 1 směrnice NIS 2, zejména s ohledem na odkaz na článek 2 přílohy doporučení 2003/361/ES?

Směrnice NIS 2 velikostní kategorie sama nedefinuje, ale odkazuje na definici EU pro malé a střední podniky v článku 2 přílohy doporučení 2003/361/ES. Podle ní: střední podnik má méně než 250 zaměstnanců a buď nejvýše 50 milionů eur ročního obratu, nebo nejvýše 43 milionů eur roční bilanční sumy; malý podnik je pod 50 zaměstnanci a nejvýše 10 milionů eur pro obě hodnoty. NIS 2 v zásadě pokrývá podniky od střední velikosti výše, tedy od 50 zaměstnanců nebo více než 10 milionů eur obratu a bilanční sumy. Při výpočtu platí pravidla propojení a partnerství podle doporučení, s výjimkou čl. 3 odst. 4 jeho přílohy.

Vztahuje se počet zaměstnanců a výše obratu na jednotlivý (pobočkový) provoz, nebo případně na celou firmu?

Záleží na celé firmě, nikoli na jednotlivé pobočce či provozovně. Počet zaměstnanců, obrat a bilanční suma se zjišťují na úrovni právního subjektu, včetně partnerských a propojených podniků, které je třeba zohlednit podle doporučení 2003/361/ES (§28 odst. 4 BSIG). Pobočku tedy nelze posuzovat samostatně, ale jako součást celku. Něco jiného může platit pouze tehdy, pokud část provozu prokazatelně pracuje zcela nezávisle z hlediska systémů IT, komponent a procesů.

Musí být propojené podniky, které nepůsobí v Německu nebo ne v EU, zahrnuty do výpočtu metrik pro velikostní hranici?

Ano. Do výpočtu prahů je třeba plně zahrnout partnerské a propojené podniky podle doporučení 2003/361/ES bez ohledu na to, zda se nacházejí v Německu, v jiném členském státě EU nebo mimo EU (§28 odst. 4 BSIG ve spojení s doporučením). Zaměstnanci, obrat a bilanční suma propojených podniků se tedy připočítávají poměrně nebo zcela na celosvětovém základě. Zeměpisné umístění mateřského nebo sesterského podniku nemění nic na jeho zahrnutí. Zda vaše firma poté skutečně podléhá německému dozoru, se určuje samostatně otázkou usazení (článek 26 směrnice NIS 2).

Pokud mateřská a dceřiná firma se sdíleným IT mají být každá přiřazena k jednomu z pokrytých typů subjektů a (společně) splňují pravidlo velikostní hranice, jsou pak pokryty obě firmy, nebo postačí, pokud požadavky splňuje mateřská skupina?

Pokryty jsou obě. NIS 2 se váže na jednotlivý právní subjekt: pokud mají být mateřská i dceřiná firma každá přiřazena k pokrytému odvětví a dosáhnou prahů, je každá sama o sobě subjektem s vlastními povinnostmi podle §30 a násl. BSIG. Společně využívané IT na tom nic nemění a dceřinou firmu neosvobozuje. V praxi lze řízení rizik, ohlašování a důkazy organizovat a sdílet centrálně, ale právní odpovědnost zůstává pro každý subjekt oddělená. Registrace a soulad musí být proto zajištěny nezávisle pro každou dotčenou firmu.

Na koho se lze obrátit, pokud přes kontrolu dotčenosti BSI zůstávají otázky k dotčenosti v konkrétním jednotlivém případě?

BSI zveřejňuje online sebetest (kontrolu dotčenosti) pro základní klasifikaci, ale neposkytuje právně závazné poradenství k jednotlivým případům a nevydává deklaratorní rozhodnutí. Pokud po sebetestu zůstávají pochybnosti, je čistou cestou právní posouzení konkrétního jednotlivého případu, například právníky nebo poradci specializovanými na NIS 2. Svou klasifikaci a podkladová čísla zdokumentujte srozumitelně, protože v případě pochybností musíte sebezařazení sami zdůvodnit. Jak tuto klasifikaci čistě zaznamenat, ukazuje wiki stránka o sebezařazení.

Rád bych požádal o výjimku z NIS 2. Je to možné?

Ne. Neexistuje žádné řízení na žádost, kterým by se subjekt mohl nechat vyjmout z NIS 2. Těch několik výjimek je stanoveno přímo v zákoně (§37 BSIG na základě článku 2 směrnice NIS 2) a leží výhradně v iniciativě tam jmenovaných federálních orgánů, například pro určité činnosti v oblasti národní bezpečnosti, obrany nebo vymáhání práva. BSI takové výjimky nemůže ani požadovat, ani udělit. Pokud se domníváte, že nejste dotčeni, není správnou cestou žádost, ale čisté, zdokumentované sebezařazení prokazující, že prahy odvětví nebo velikosti nejsou splněny.

Klíčové a důležité subjekty musí mimo jiné podle prováděcího zákona k NIS 2 předkládat své veřejné rozsahy IP adres. Jaké informace je zde třeba uvést?

Při registraci vyžaduje článek 27 směrnice NIS 2 (v Německu transponovaný v §33 BSIG) název a právní formu, adresu, aktuální kontaktní údaje, příslušné odvětví, seznam členských států, v nichž jsou služby poskytovány, a skutečně i veřejné rozsahy IP adres. To se týká pouze statických, veřejně směrovaných rozsahů adres, pod nimiž je váš subjekt dosažitelný zvenčí nebo provozuje kritické systémy. Dynamické adresy a rozsahy IP, které přidělujete svým koncovým zákazníkům, sem nepatří. V praxi tedy uvádíte své vlastní registrované sítě (často v notaci CIDR), nikoli každou jednotlivou adresu. Postup a lhůty jsou vysvětleny na /wiki/anwendungsbereich/nis2-registrierung.

Jak jsou definovány digitální služby?

Směrnice NIS 2 nezavádí jediný zastřešující pojem „digitální služba“, ale jmenuje tři konkrétní typy v článku 6: online tržiště, internetový vyhledávač a platforma služeb sociálních sítí. Každá z nich je službou ve smyslu směrnice (EU) 2015/1535, tedy službou poskytovanou zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce. Tito tři poskytovatelé patří do odvětví digitálních služeb v příloze I směrnice. Cloud computing, datová centra, CDN a srovnatelné služby jsou samostatné kategorie digitální infrastruktury, nikoli součást této definice. Svůj konkrétní případ ověřte na /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Které strategie jsou nutné k tomu, aby se případně rozdílné právní požadavky na implementaci NIS 2, jaké existují v Německu a jinde v Evropě, integrovaly do jediného systému řízení bezpečnosti informací (ISMS) způsobem souladným s právem a aby to bylo trvale zajištěno?

Postavte svůj ISMS na společném základu EU: povinnosti podle článku 21 směrnice NIS 2 a technické minimální požadavky prováděcího nařízení CIR 2024/2690 platí shodně ve všech členských státech a tvoří jádro. Na toto jádro přidáte jako vrstvu národní specifika zemí, v nichž působíte, například odlišná pravidla pro oznamování nebo dodatečné povinnosti. V praxi to znamená: jeden soubor opatření a důkazů plus registr, který pro každou zemi dokumentuje odchylku a příslušný orgán. Tam, kde jsou země různě přísné, splníte v rámci skupiny nejvyšší úroveň, a pak jste v souladu všude. Společný rámec k tomu poskytují uznávané standardy jako ISO 27001 nebo BSI IT-Grundschutz.

Co znamená „stav techniky“? Existuje pro to definice?

Neexistuje žádná pevná právní definice, a to záměrně: stav techniky popisuje to, co je v současnosti zavedeno a osvědčeno v praxi jako účinná bezpečnostní opatření, a vyvíjí se v čase. Čl. 21 odst. 1 směrnice NIS 2 (v Německu §30 BSIG) vyžaduje, abyste jej zohlednili a vycházeli přitom z příslušných evropských a mezinárodních standardů. Měřítkem jsou tedy uznávaná díla jako ISO/IEC 27001, BSI IT-Grundschutz nebo pokyny ENISA, nikoli to, co je na trhu nejnovější. Opatření musí být také přiměřená: zohledňuje se riziková situace, velikost subjektu a náklady na implementaci. Orientujete se podle aktuálních standardů a dokumentujete, proč vaše volba odpovídá riziku.

Otázky ke klasifikaci skupinových firem a IT služeb, které poskytují, v souvislosti s klasifikací jako poskytovatel řízených služeb (MSP)

Řízená služba existuje podle čl. 6 bodu 39 směrnice NIS 2, když poskytovatel pro jiného instaluje, provozuje, spravuje nebo udržuje systémy IT či aplikace a nese přitom provozní odpovědnost. Rozhodující je tato provozní odpovědnost, nikoli příslušnost ke skupině. Centrální IT firma, která aktivně spravuje systémy sesterských firem, se proto sama může kvalifikovat jako MSP a spadat samostatně do působnosti. Čistě holdingová společnost, která jen řídí podnikání, aniž by provozně provozovala systémy jiné strany, naproti tomu MSP není. Pro každou skupinovou firmu zvlášť zkontrolujte, kdo které služby skutečně provozuje: /wiki/anwendungsbereich/bin-ich-msp-managed-service-provider.

Jsou firmy, které provozují kritická zařízení podle starého právního rámce (BSIG před 6. prosincem 2025 ve spojení s BSI-KritisV) a mají sídlo v zahraničí, po nabytí účinnosti BSIG (nové znění) stále provozovateli KRITIS?

Ano. Pro provozovatele KRITIS je rozhodující, kde se kritické zařízení nachází a poskytuje zásobovací služby v Německu, nikoli kde je sídlo skupiny. Kdo provozuje zařízení dosahující prahů nařízení o KRITIS v Německu, zůstává proto provozovatelem KRITIS i podle nového BSIG, bez ohledu na sídlo v zahraničí. Situace se liší pouze u určitých přeshraničních služeb (jako jsou části digitální infrastruktury), pro něž článek 26 směrnice NIS 2 stanoví vlastní pravidlo příslušnosti. Více k otázce sídla na /wiki/anwendungsbereich/nis2-hauptsitz-ausserhalb-eu.

Provozuji DNS server soukromě. Musím se registrovat v portálu BSI a podávat oznámení?

Ne. Směrnice NIS 2 se obrací na subjekty, které pokrytou službu nabízejí komerčně, nikoli na soukromé hobby provozovatele. V odvětví digitální infrastruktury jsou regulováni poskytovatelé služeb DNS a registry jmen TLD, kteří tyto služby poskytují jako organizace pro třetí strany (článek 3 a příloha I směrnice). Soukromě provozovaný DNS server bez komerčního poskytování služby pokryt není, takže neexistuje registrace ani ohlašovací povinnosti. Jakmile se z toho stane služba nabízená třetím stranám, klasifikace se mění.

Má být firma, která v zásadě podléhá NIS 2, ale je v krátké době likvidována a již nevykonává žádnou významnou podnikatelskou činnost, stále klasifikována jako důležitý nebo klíčový subjekt?

Dokud firma právně existuje a stále poskytuje pokrytou službu, zůstává důležitým nebo klíčovým subjektem, a to i během likvidace. Klasifikace podle článku 3 směrnice NIS 2 se váže na skutečnou činnost, nikoli na úmysl ukončit. Pokud subjekt trvale ukončí pokrytou podnikatelskou činnost, podmínka odpadá a s ní i pokrytí působnosti; do té doby povinnosti dále platí. Pouhé ohlášené, ale dosud nedokončené ukončení provozu nestačí. Dokud běží systémy hodné ochrany, registrace a řízení rizik zůstávají povinné.

Mají se nezávisle nabízené služby SaaS klasifikovat jako služby cloud computingu ve smyslu BSIG, pokud běží na infrastruktuře externích poskytovatelů cloudu a poskytovatel SaaS sám výpočetní prostředky neprovozuje?

Rozhodující je definice služby cloud computingu v čl. 6 bodu 30 směrnice NIS 2: služba umožňující správu na vyžádání a široký vzdálený přístup ke škálovatelnému a elastickému souboru sdílených výpočetních prostředků. Záleží na tom, co nabízíte navenek, nikoli na tom, zda vám patří podkladový hardware. Nabídka SaaS může tyto vlastnosti splňovat, i když běží na cizí infrastruktuře. Pokud naproti tomu váš SaaS nabízí jasně vymezenou specializovanou aplikaci bez těchto cloudových vlastností, službou cloud computingu ve smyslu směrnice není. Konkrétní vlastnosti zkontrolujte na /wiki/anwendungsbereich/bin-ich-cloud-anbieter-nis2.

Je rozlišení mezi obchodní a provozní odpovědností, které je rozhodující pro MSP, přenositelné i na další služby v odvětví digitální infrastruktury (nebo další odvětví BSIG)?

Rozlišení mezi obchodní a provozní odpovědností je užitečná testovací myšlenka, ale nenahrazuje příslušnou právní definici. Pro každý typ služby platí nejprve znění článku 6 směrnice NIS 2, například pro službu cloud computingu, službu datového centra nebo poskytovatele služby DNS. U mnoha těchto služeb připadá klasifikace na toho, kdo službu skutečně poskytuje a provozuje, tedy kdo nese provozní odpovědnost. Pouhá obchodní nebo smluvní odpovědnost bez vlastního provozu zpravidla roli subjektu nezakládá. Kritérium tedy uplatňujte podle typu služby na základě tamní definice, nikoli jako paušální pravidlo.

Spadám pod definici poskytovatele služby vytvářející důvěru?

Poskytovatelé služeb vytvářejících důvěru jsou definováni v článku 3 nařízení eIDAS (EU) č. 910/2014: poskytovatelé elektronických služeb vytvářejících důvěru, jako jsou elektronické podpisy a pečetě, časová razítka, elektronické služby doporučeného doručování nebo certifikáty pro autentizaci internetových stránek. Pokud takovou službu nabízíte komerčně, spadáte pod tuto definici, a tedy do působnosti NIS 2. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru se v tomto ohledu počítají jako klíčové subjekty bez ohledu na svou velikost. Kdo podpisy nebo certifikáty používá jen interně, aniž by je nabízel jako službu, poskytovatelem služby vytvářející důvěru není. Podrobnou kontrolu najdete na /wiki/anwendungsbereich/bin-ich-vertrauensdiensteanbieter-nis2.

Spadá v odvětví „výroba, zpracování a obchod s chemickými látkami“ s ohledem na „obchod s chemickými látkami“ do působnosti jakýkoli obchod s konečnými výrobky tvořenými chemickými látkami?

Ne, ne každý obchod s výrobky obsahujícími chemikálie. Příloha II směrnice NIS 2 zahrnuje výrobu a obchod s chemickými látkami a směsmi i výrobu předmětů z těchto látek, vždy ve smyslu nařízení REACH (ES) č. 1907/2006. Míní se tedy látky a směsi jako takové, nikoli každý konečný výrobek, který byl kdysi z chemikálií vyroben. Kdo obchoduje s hotovými výrobky (jako je nábytek nebo elektronika), neprovozuje v tomto smyslu obchod s chemickými látkami. Kromě toho musí být pro vznik pokrytí působnosti splněna velikostní kritéria.

Jak určím kód NACE své firmy?

Kód NACE (v Německu mapovaný jako kód WZ, aktuálně WZ 2025) určíte podle své hlavní ekonomické činnosti, tedy činnosti, kterou vytváříte největší podíl přidané hodnoty nebo obratu. Vodítky jsou váš zápis v obchodním nebo živnostenském rejstříku a kód vedený Spolkovým statistickým úřadem nebo vaší IHK. Pokud vaše firma vykonává více činností, přiřaďte každou k příslušné třídě a každou jednotlivě zkontrolujte na pokrytí působnosti. Kód najdete také prostřednictvím klasifikační databáze Spolkového statistického úřadu. Pro NIS 2 je rozhodující, co skutečně děláte, nikoli samotný registrovaný kód.

Jakou roli hrají kódy NACE při určování, zda subjekt spadá do působnosti?

Kódy NACE jsou orientační pomůckou, nikoli právním kritériem. Zda spadáte do působnosti, se řídí odvětvími a typy subjektů v přílohách I a II směrnice NIS 2 spolu s velikostními prahy, nikoli pouhým přiřazením kódu. Kód NACE nebo WZ vám pomáhá přiřadit vaši činnost k jednomu z těchto odvětví, ale nenahrazuje věcné posouzení. Může se stát, že kód zhruba sedí, ale činnost nespadá pod právní definici, a naopak. Rozhodující zůstává vaše skutečná činnost měřená podle definice: kompletní test najdete na /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Musí firmy zřídit krizový tým pro řešení incidentů?

Ne, formální krizový tým zákon nevyžaduje. Čl. 21 odst. 2 písm. c) směrnice NIS 2 (transponovaný v §30 BSIG) vyžaduje opatření pro kontinuitu provozu a krizové řízení, ale ponechává otevřené, jak to uspořádáte. Záleží na tom, aby byly definovány a nacvičeny odpovědnosti, dosažitelnost a postupy pro mimořádnou situaci. V dvoučlenném provozu to může být krátký soubor pokynů, ve větších organizacích určený tým. Měřítkem je přiměřenost podle čl. 21 odst. 1.

Vztahuje se analýza rizik vyžadovaná podle prováděcího zákona k NIS 2 na celou firmu, nebo konkrétně na kybernetické hrozby a jejich dopad na systémy IT?

Vztahuje se na rizika pro vaše sítě a informační systémy, nikoli na obecnou podnikovou analýzu rizik. Čl. 21 odst. 2 písm. a) směrnice NIS 2 (§30 BSIG) výslovně jmenuje politiky pro analýzu rizik a bezpečnost informačních systémů. Tím se míní systémy, s nimiž zpracováváte, ukládáte nebo přenášíte informace, a hrozby ohrožující jejich dostupnost, integritu a důvěrnost. Rozsah není rigidní: řídí se skutečným rizikem a významem systémů pro váš provoz (čl. 21 odst. 1).

Moje firma splňuje kritéria pro klíčový subjekt nebo provozovatele KRITIS, případně pro důležitý subjekt. Které povinnosti je třeba splnit?

Pro obě kategorie platí stejně tři soubory povinností. Zaprvé registrace u BSI včetně kontaktních údajů (článek 27, §33 BSIG). Zadruhé opatření k řízení rizik z katalogu v čl. 21 odst. 2 (§30 BSIG), od analýzy rizik přes řešení incidentů a dodavatelský řetězec až po kryptografii a řízení přístupu. Zatřetí stupňovité ohlašování významných bezpečnostních incidentů podle článku 23 (§32 BSIG): včasné varování do 24 hodin, potvrzení do 72 hodin, závěrečná zpráva po jednom měsíci. Rozdíl spočívá v dozoru: klíčové subjekty jsou dozorovány proaktivně, důležité subjekty na následném základě. Kompletní klasifikační test najdete na Kdo je dotčen.

Od kdy platí povinnosti BSIG / prováděcího zákona k NIS 2?

Povinnosti platí přímo, jakmile německá transpozice nabude účinnosti. Prováděcí zákon k NIS 2 byl vyhlášen 5. prosince 2025 a nabyl účinnosti 6. prosince 2025. Povinnosti řízení rizik a ohlašování proto platí od tohoto okamžiku; samostatné přechodné období pro věcná opatření se nestanoví. Pouze registrace má vlastní lhůtu (§33 BSIG), viz Registrace.

Bude existovat přechodné období?

Pro věcné bezpečnostní povinnosti neexistuje žádné obecné přechodné období. Kdo spadá do působnosti, musí opatření podle článku 21 (§30 BSIG) splnit od okamžiku, kdy platí. Pouze registrace je časově odstupňována: musí být provedena do tří měsíců od okamžiku, kdy se kvalifikujete jako subjekt (§33 BSIG). Provozovatelé KRITIS, jejichž stávající lhůta pro předložení důkazů spadla do prvních dvanácti měsíců po nabytí účinnosti, mohou podle své volby použít svůj původní termín.

Jaké požadavky jsou kladeny na dosažitelnost důležitých a klíčových subjektů?

Musíte poskytnout BSI dosažitelné kontaktní místo, zpravidla telefonní číslo a e-mailovou adresu, a tyto údaje udržovat aktuální (článek 27, §33 BSIG). Tímto kanálem BSI doručuje hlášení incidentů, varování a doplňující dotazy. Zákon nepředepisuje žádnou konkrétní kvalifikaci osob v pozadí. Záleží jen na tom, aby kontaktní místo bylo skutečně dosažitelné a aby bylo možné hlášení rychle zpracovat, aby 24hodinové včasné varování podle článku 23 fungovalo. Pro provozovatele KRITIS navíc platí přísnější požadavky na dosažitelnost.

Plně jsme předali naše IT externím poskytovatelům služeb. Které povinnosti pak my jako důležitý subjekt vůbec ještě musíme plnit?

Provoz lze předat, odpovědnost ne. Povinnosti podle §30 BSIG zůstávají adresovány vašemu subjektu, nikoli poskytovateli služby. Konkrétně to znamená: musíte řídit bezpečnost dodavatelského řetězce (čl. 21 odst. 2 písm. d), tedy smluvně zajistit, aby váš poskytovatel služby zaváděl vhodná opatření a hlásil vám incidenty. Registrace, ohlašování významných incidentů podle článku 23 a schvalování a dozor nad opatřeními ze strany vedení (článek 20, §38 BSIG) zůstávají na vás. Více k tomu na Jsem zákazník MSP.

Od kdy se fotovoltaický systém na střeše firmy počítá jako kritická infrastruktura?

Střešní systém pro vlastní zásobování zpravidla není kritickou infrastrukturou. Status KRITIS vzniká teprve tehdy, když zařízení pro výrobu elektřiny dosáhne prahu BSI-KritisV, aktuálně 104 megawattů instalovaného čistého jmenovitého výkonu (příloha 1, odvětví energetiky). Rozhodující je dodávka do obecné soustavy, nikoli vlastní spotřeba. Klasifikace jako kritické zařízení navíc nabývá účinku až 1. dubna roku následujícího po prvním dosažení prahu. Typický střešní systém leží o řády níže.

Musí firmy prokazovat soulad s požadavky?

Ano, implementaci musíte umět doložit, ale forma důkazu se podle kategorie liší. Klíčové a důležité subjekty podléhají dozoru BSI (články 32 a 33, §61 a násl. BSIG): BSI si může vyžádat informace, dokumenty a kontroly, ale pravidelná povinná certifikace pro ně předepsána není. Měli byste tedy dokumentovat politiky, opatření a řešení incidentů tak, abyste je na vyžádání mohli předložit. Periodická povinnost předkládat důkazy v užším smyslu platí pouze pro provozovatele KRITIS.

Jsem provozovatel KRITIS. Kdy musím předložit své důkazní dokumenty podle BSIG / prováděcího zákona k NIS 2?

Provozovatelé KRITIS prokazují splnění požadavků BSI každé tři roky (§39 BSIG); auditní cyklus byl prodloužen ze dvou na tři roky. BSI registrovaným provozovatelům individuálně oznámilo jejich nové termíny předložení. Pokud váš předchozí termín spadl do prvních dvanácti měsíců po nabytí účinnosti, můžete podle své volby použít původní termín. Rozhodující je vždy termín konkrétně sdělený vám, nikoli paušální mezní datum.

Jak mohu prokázat, že moje firma zavádí požadovaná opatření?

Důkazy poskytujete prostřednictvím vlastní dokumentace: vaše řízení rizik, technická a organizační opatření, která jste přijali, a doklad, že jsou účinná (politiky, konfigurace, auditní zprávy, záznamy o školeních). Rozhodujícím ustanovením je článek 21 směrnice NIS 2 (EU) 2022/2555, transponovaný v Německu v § 30 BSIG; CIR (EU) 2024/2690 rozvádí opatření podrobněji pro určité typy subjektů. Certifikát vydaný externím orgánem může tuto dokumentaci podpořit, ale nenahrazuje ji: záleží na tom, aby vaše záznamy pokrývaly konkrétní právní požadavky. Povinnost předkládat důkazy BSI vzniká teprve tehdy, když BSI nařídí kontrolu (§ 61 BSIG) nebo když spadáte pod pravidelnou důkazní povinnost jako provozovatel kritických zařízení (§ 39 BSIG).

Je BSI IT-Grundschutz povinný pro všechny subjekty pokryté NIS 2?

Ne. Článek 21 směrnice NIS 2 a § 30 BSIG nepředepisují žádný konkrétní postup, ale vyžadují vhodná, přiměřená a účinná opatření odpovídající stavu techniky. IT-Grundschutz je metodika zveřejněná BSI, kterou lze tyto požadavky čistě splnit, a posuzovací orgány ji uznávají. Povinnosti můžete splnit stejně dobře prostřednictvím ISO 27001 nebo jiného uznávaného ISMS, pokud opatření pokrývají vaše konkrétní rizika. Nezáleží na názvu standardu, ale na tom, aby body uvedené v § 30 byly skutečně zavedeny a zdokumentovány.

Postačí kromě ISO 27001 a BSI Grundschutz ke splnění požadavků prováděcího zákona k NIS 2 také certifikace firmy podle VdS 10000?

VdS 10000 může být rozumným výchozím bodem, ale sama o sobě automaticky nepokrývá všechny požadavky § 30 BSIG a článku 21 směrnice NIS 2. Žádný certifikát, ani ISO 27001 nebo IT-Grundschutz, není paušálním důkazem souladu: rozhodující zůstává, zda vaše opatření pokrývají zákonem požadované oblasti úplně a způsobem přiměřeným riziku. Použijte tedy VdS 10000 jako jeden stavební kámen svého řízení rizik a konkrétně jej porovnejte s požadavky § 30, abyste uzavřeli případné mezery (například v dodavatelském řetězci nebo ohlašování).

Pokud certifikace ISO 27001 nestačí ke splnění požadavků podle BSIG, jak lze zákazníky ujistit, že moje firma je v souladu s NIS 2? Musí být za tím účelem zveřejněn celý ISMS?

Ne, svůj celý ISMS zveřejňovat nemusíte. Vůči zákazníkům soulad s článkem 21 směrnice NIS 2 a § 30 BSIG obvykle prokazujete cílenými důkazy: certifikátem ISO 27001 spolu s odpovídajícím prohlášením o aplikovatelnosti, prohlášením o shodě s NIS 2, vyplněnými dodavatelskými dotazníky nebo jednotlivými shrnutími auditů. Záleží na tom, aby tyto důkazy odrážely opatření relevantní pro daný obchodní vztah, nikoli váš celý interní soubor pravidel. Formální důkazní povinnost vůči BSI existuje pouze pro provozovatele kritických zařízení (§ 39 BSIG) nebo na příkaz (§ 61 BSIG); vůči zákazníkům platí to, co si smluvně dohodnete.

Existují povinné certifikační požadavky pro poradenství firmám a subjektům v kontextu NIS 2 a jak se to uplatňuje při provádění kontrol za účelem doložení důkazů?

Pro samotnou poradenskou činnost neuvádí ani směrnice NIS 2, ani BSIG povinnou certifikaci: poradit může kdokoli a akreditace poradců není zákonem vyžadována. Jinak je tomu u formálních důkazních kontrol pro provozovatele kritických zařízení podle § 39 BSIG: ty se provádějí prostřednictvím bezpečnostních auditů, prověrek nebo certifikací každé tři roky a BSI stanoví požadavky na orgány, které je provádějí. Pokud BSI nařídí kontrolu u jiných klíčových subjektů (§ 61 BSIG), platí jeho požadavky odpovídajícím způsobem. Dbejte tedy na kvalifikaci kontrolujícího orgánu tam, kde zákon vyžaduje formální kontrolu, nikoli již v případě pouhého poradenství.

Lze požadavek podle § 30 odst. 2 č. 4 BSIG na bezpečnost dodavatelského řetězce splnit tím, že se od přímých dodavatelů nebo poskytovatelů služeb vyžadují certifikáty (ISO 27001, TISAX atd.)?

Ne, certifikát sám o sobě požadavek nesplňuje. Čl. 21 odst. 2 písm. d) směrnice NIS 2, transponovaný v Německu v § 30 odst. 2 č. 4 BSIG, vyžaduje vaši vlastní koncepci pro bezpečnost dodavatelského řetězce: musíte posoudit rizika každého přímého dodavatele, definovat výběrová kritéria a celé to monitorovat po dobu trvání smlouvy. Certifikát ISO 27001 nebo TISAX je zde užitečným stavebním kamenem a může posouzení usnadnit, ale nenahrazuje vaše vlastní hodnocení založené na riziku, protože rozsah certifikátu často pokrývá jen části dodavatele. Zkontrolujte tedy přesně, co je certifikováno, a zdokumentujte, proč certifikát pro službu, kterou odebíráte, postačuje.

Co radíte firmám dotčeným podle BSIG požadovat od výrobců softwaru a poskytovatelů služeb?

Definujte konkrétní, ověřitelné bezpečnostní požadavky a zaneste je do smluv, místo abyste se spoléhali na obecná ujištění. Rozumné položky jsou: ověřitelné důkazy výrobce o bezpečnosti produktu (například strategie záplatování, řešení zranitelností, doba podpory), povinnost poskytovatele hlásit bezpečnostní incidenty, která zajistí vaši vlastní 24hodinovou lhůtu podle článku 23 NIS 2 (§32 BSIG), jakož i vyplněný standardizovaný dodavatelský dotazník. Pro odvětvově sladěné katalogy otázek a minimální požadavky odkazuje BSI na práci v UP KRITIS. Pro silně propojené poskytovatele služeb, jako jsou poskytovatelé řízených služeb, platí dodatečná očekávání (viz ./bin-ich-msp-managed-service-provider).

Kdy je registrace podle § 33 odst. 1 BSIG v portálu BSI možná, jak se registrace provádí a jak funguje ohlašovací proces podle § 32 BSIG?

Registrace je možná, jakmile se kvalifikujete jako dotčený subjekt, a musí proběhnout do tří měsíců poté, co poprvé nebo znovu spadnete do působnosti (článek 27 NIS 2, v Německu § 33 odst. 1 BSIG). Proces má dvě fáze: nejprve si vytvoříte účet u Mein Unternehmenskonto (MUK) pomocí organizačního certifikátu ELSTER, poté zaregistrujete subjekt v portálu BSI. Bezpečnostní incidenty následně rovněž hlásíte prostřednictvím portálu BSI podle třístupňového postupu včasného varování, navazujícího hlášení a závěrečné zprávy (článek 23 NIS 2, v Německu § 32 BSIG). Postup krok za krokem najdete na Registrace.

Co dělá BSI pro podporu firem ohledně nevyřízených registrací NIS 2?

BSI poskytuje kontrolu použitelnosti, sekci FAQ, informační balíčky a webináře, aby subjekty mohly samy posoudit a splnit svou registrační povinnost (základ: článek 27 NIS 2, § 33 BSIG). Zda jste vůbec dotčeni, si nejprve vyjasníte na základě odvětví a velikosti. Kompletní sebetest najdete na Kdo je dotčen.

Jak může firma registrovat kritické komponenty?

Kritické komponenty se týkají pouze provozovatelů kritických zařízení (dřívější logika KRITIS), nikoli každého subjektu NIS 2, a hlásí se odvětvově specificky. Odvětví energetiky k tomu používá šifrované šablony Excel, odvětví telekomunikací používá vlastní šablony se šifrováním PGP. Pokud nejste provozovatelem kritického zařízení, tento krok pro vás není relevantní; pak záleží výhradně na registraci subjektu podle § 33 BSIG.

Lze registraci v portálu BSI provést pro subjekt, který nemá německé daňové číslo?

Ano. Mein Unternehmenskonto sice vyžaduje německé daňové číslo, ale zahraniční subjekty o něj mohou požádat na finančním úřadě v Neubrandenburgu (referát RAB). Žádost zašlete na uvedenou adresu a daňové číslo obdržíte poštou; při vytváření účtu zvolíte jako spolkovou zemi Mecklenbursko-Přední Pomořansko. Pokud se vaše sídlo nachází mimo EU, měli byste navíc zkontrolovat povinnost jmenovat zástupce v EU na Sídlo mimo EU.

Při registraci v portálu BSI musíte uvést členské státy EU, v nichž poskytujete „službu“. Co se tím míní?

Míní se činnost, která vašemu subjektu vůbec zakládá pokrytí působnosti, tedy vaše hlavní služba v příslušném odvětví, nikoli každá vedlejší služba a ne každé místo, kde se pouze používají vaše produkty. Musíte uvést členské státy, v nichž tuto službu skutečně poskytujete (vázáno na článek 26 NIS 2 o příslušnosti). Pokud působíte ve více zemích, pomůže klasifikace na Sebezařazení.

Mohou mezinárodně působící firmy provést svou registraci a ohlašování bezpečnostních incidentů centrálně u BSI a tím zároveň splnit své povinnosti podle prováděcího zákona k NIS 2 pro všechny členské státy EU?

Zásada jediné příslušnosti v sídle platí pouze pro úzce vymezenou skupinu digitálních služeb: služby DNS, registry TLD, poskytovatelé cloudu a datových center, poskytovatelé řízených služeb, sítě pro doručování obsahu a online platformy se registrují centrálně u orgánu svého sídla (články 26 a 27 NIS 2, v Německu § 60 BSIG). Všechny ostatní subjekty podléhají dozoru každého členského státu, v němž působí, a musí se v každém z těchto států registrovat a ohlašovat samostatně. Jediná registrace u BSI proto zpravidla nepokrývá vaše povinnosti v ostatních zemích.

Mám otázky k portálu BSI a registraci. Poskytuje k tomu informace i BSI?

Ano. BSI vede vlastní sekci FAQ konkrétně k portálu BSI a registračnímu postupu a poskytuje tam návody a pomoc. Pro technické otázky k Mein Unternehmenskonto se obraťte na jeho podporu; pro obsahové otázky k registraci NIS 2 využijte kontaktní kanály BSI. Registrační proces shrnujeme na Registrace.

Jako subjekt regulovaný DORA, musím se registrovat u BSI?

Ano, registrační povinnost podle § 33 BSIG zůstává v platnosti, i když jako finanční podnik spadáte pod DORA. DORA je lex specialis pro věcné bezpečnostní a ohlašovací povinnosti: jako podnik regulovaný DORA jste osvobozeni od § 30, 31, 32, 35, 36, 38 a 39 BSIG a incidenty, které se týkají výhradně subjektů DORA, hlásíte podle pravidel DORA místo podle § 32 BSIG (základ: článek 4 NIS 2). Zápis v portálu BSI nicméně provést musíte.

Jaký cíl BSI ohlašovací povinností sleduje? Co nejrychlejší oznámení s rizikem, že incident, který nastal, nevedl ke skutečné hrozbě, nebo skutečně jen ohlašování relevantních incidentů, kde se hrozba naplnila? Jak jsou pro ohlašovací povinnost konkrétně definovány pojmy zjištění (Kenntniserlangung) a bezpečnostní incident?

Cílem je rychlost před úplností: článek 23 směrnice NIS 2 (transponovaný v § 32 BSIG) vyžaduje včasné varování do 24 hodin, oznámení do 72 hodin a závěrečnou zprávu nejpozději po jednom měsíci. Krátká 24hodinová lhůta má orgánu poskytnout včasný obraz situace, aby bylo možné varovat ostatní subjekty. Je lepší ohlásit příliš brzy a s nejistotou než příliš pozdě. Zjištění znamená okamžik, od kterého může váš subjekt incident s rozumnou jistotou posoudit jako významný (nikoli teprve po dokončené analýze hlavní příčiny), a 24hodinová lhůta běží od tohoto okamžiku. Bezpečnostní incident je významný podle čl. 23 odst. 3 směrnice NIS 2, pokud způsobil nebo je schopen způsobit závažné narušení provozu nebo finanční ztrátu, nebo pokud postihl či je schopen postihnout jiné osoby tím, že způsobil značnou hmotnou nebo nehmotnou újmu.

Bude možné podávat dobrovolná oznámení o bezpečnostních incidentech?

Ano. Článek 30 směrnice NIS 2 (transponovaný v § 35 BSIG) výslovně počítá s dobrovolnými oznámeními, a to i pro subjekty, které pod NIS 2 vůbec nespadají, a pro incidenty pod prahem významnosti. Dobrovolná oznámení se zpracovávají stejným způsobem jako povinná oznámení, ale s nižší prioritou: povinná oznámení mají přednost. Dobrovolné oznámení nezakládá žádné další povinnosti a nesmí být vykládáno v neprospěch oznamujícího subjektu.

Lze hlášení incidentů podávat v angličtině?

Procesním jazykem orgánu je němčina, takže oznámení by měla být v němčině. Vzhledem ke krátké 24hodinové lhůtě podle článku 23 směrnice NIS 2 však platí: rychlé včasné varování v angličtině je lepší než pozdní v němčině. Pokud je to tedy nutné, podejte nejprve v angličtině a německé podrobnosti doplňte v navazujících oznámeních.

Jak postupovat v případě bezpečnostního incidentu relevantního pro NIS 2 s potenciálními dopady na provozovny v několika členských státech EU, když je hlavní provozovna dotčené firmy v Německu? Musí být kromě BSI informovány i příslušné orgány v ostatních dotčených státech?

Platí zásada země původu podle článku 26 směrnice NIS 2: pokud je vaše hlavní provozovna v Německu, podléháte pro účely příslušnosti v zásadě dozoru pouze v Německu a incident ohlašujete jen jednou BSI. Orgány ostatních dotčených členských států nemusíte informovat sami. Přeshraniční sdílení vyřizují orgány mezi sebou prostřednictvím sítě CSIRT a skupiny pro spolupráci. Vícenásobné oznámení v každé dotčené zemi se tedy nevyžaduje. Výjimka platí pro poskytovatele DNS, cloudu, datových center a podobné poskytovatele digitálních služeb, jejichž příslušnost se určuje podle umístění jejich hlavní provozovny v EU.

Pokud jsou části mé firmy dotčeny DORA a jiné části NIS 2, musí můj poskytovatel IT služeb hlásit bezpečnostní incidenty dvakrát?

Ne, dvojí hlášení není třeba. DORA je vůči NIS 2 specifičtějším pravidlem (čl. 4 DORA, čl. 1 odst. 2 směrnice NIS 2 a § 1 odst. 6 BSIG): pokud incident spadá do oblasti DORA, mají oznamovací kanály a lhůty DORA přednost a v tomto rozsahu vytlačují ohlašovací povinnost NIS 2. Záleží na tom, které pravidlo pokrývá dotčenou službu, nikoli na firmě jako celku. S vaším poskytovatelem IT služeb si předem smluvně vyjasněte, podle kterého pravidla hlásí který incident kterému orgánu.

Plánuje se do budoucna evropské řešení pro registraci a oznamování?

Někteří poskytovatelé digitálních služeb (například poskytovatelé služeb DNS, poskytovatelé cloudu, datová centra, online tržiště) jsou již zaznamenáni v celounijním registru prostřednictvím ENISA podle článku 27 směrnice NIS 2. Pro všechny ostatní subjekty zůstává registrace a oznamování národní, tedy v Německu prostřednictvím portálu BSI. Plně sjednocená evropská platforma pro všechny subjekty, jdoucí nad tento rámec, v současnosti rozhodnuta není. Prozatím zůstává rozhodující národní oznamovací kanál.

Jak je zajištěno, že registrační a firemní údaje shromážděné podle pravidel NIS 2 / KRITIS jsou nakládány důvěrně a chráněny před neoprávněným přístupem?

Důvěrnost je chráněna zákonem: čl. 23 odst. 9 směrnice NIS 2 zavazuje orgány chránit zájem oznamujícího subjektu na důvěrnosti a BSIG k tomu obsahuje vlastní pravidla důvěrnosti a účelového omezení. Údaje se používají pouze pro účely stanovené zákonem, například posouzení situace a prevenci hrozeb, a nezveřejňují se. Přístup je omezen na příslušné orgány; předání jiným orgánům probíhá pouze v rámci zákonem povoleného a při zachování důvěrnosti.

Co se stane, pokud povinná firma ohlásí incident příslušnému orgánu pozdě nebo vůbec? Kdo kontroluje, zda byly ohlašovatelné incidenty řádně ohlášeny?

Ohlašovací povinnost vyplývá z článku 23 směrnice NIS 2: včasné varování do 24 hodin, oznámení do 72 hodin a závěrečná zpráva do jednoho měsíce od významného incidentu (v Německu transponováno v §32 BSIG). Pozdní hlášení, nebo žádné hlášení vůbec, je porušením povinnosti, které příslušný orgán (BSI pro většinu subjektů) může postihnout podle dozorových a vymáhacích pravidel článků 31 až 34 (§§61 a násl. a §65 BSIG). Možnými opatřeními jsou pokyny, závazné příkazy a pokuty, jejichž výše závisí na typu subjektu: pro klíčové subjekty stanoví článek 34 horní hranici nejméně 10 milionů eur nebo 2 procenta celosvětového ročního obratu (podle toho, co je vyšší), a pro důležité subjekty nejméně 7 milionů eur nebo 1,4 procenta. Orgán posuzuje, zda bylo hlášení podáno řádně, na základě předloženého hlášení a může jej ověřit svými dozorovými pravomocemi podle článků 32 a 33 (jako žádosti o informace, audity, kontroly na místě). Včasné, úplné hlášení v předepsaném formátu je proto nejbezpečnější cestou. Postup krok za krokem k povinnosti a orgánu najdete na Registrace a ohlašovací povinnost.

Jaké povinnosti má vedení podle NIS 2?

Vedení musí schválit opatření k řízení rizik, dohlížet na jejich zavedení a absolvovat školení o kybernetické bezpečnosti (článek 20 směrnice NIS 2, transponovaný v §38 BSIG). Schválení znamená aktivní přezkoumání a písemný souhlas, nikoli jen podpis. Dohled znamená pravidelnou kontrolu, zda jsou opatření zavedena a účinná. Provozní zavedení lze delegovat, ale odpovědnost vedení zůstává vedení. Zda jste vůbec v působnosti, byste si měli nejprve vyjasnit úplným testem.

Co znamená schvalovací a dozorová povinnost vedení?

Schválení znamená: vedení se podívá na plánovaná opatření k řízení rizik, věcně jim porozumí a zdokumentovaným způsobem je schválí (čl. 20 odst. 1 směrnice NIS 2, v Německu §38 odst. 1 BSIG). Dohled znamená: opatření, které je jednou schváleno a už nikdy přezkoumáno, povinnost nesplňuje. Pevné stavové zprávy, klíčové ukazatele a jasná eskalační cesta dávají smysl, aby vedení mohlo aktuální stav kdykoli doložit. Tato povinnost spočívá na vedení samotném, nemůže ji nikomu předat.

Musí vedení absolvovat školení?

Ano. Vedení klíčových a důležitých subjektů musí pravidelně absolvovat školení o kybernetické bezpečnosti (čl. 20 odst. 2 směrnice NIS 2, v Německu §38 odst. 3 BSIG). Cílem je, aby vedení dokázalo rozpoznat rizika, posoudit opatření k řízení rizik a odhadnout jejich dopad na služby. Směrnice nejmenuje žádný minimální počet hodin ani pevné intervaly; ve svých pokynech BSI doporučuje každoroční opakování a jako orientační údaj rozsahu uvádí zhruba čtyři hodiny. Tato povinnost se vztahuje na každou osobu, která je k řízení subjektu jmenována zákonem, stanovami nebo společenskou smlouvou, a nelze ji delegovat.

Může vedení delegovat svou povinnost školení?

Ne. Povinnost školení spočívá osobně na řídících orgánech a nelze ji předat zaměstnancům ani externím poskytovatelům služeb (čl. 20 odst. 2 směrnice NIS 2, v Německu §38 odst. 3 BSIG). Můžete jmenovat pověřence pro ochranu údajů nebo bezpečnost a rozdělit provozní zavedení, ale absolvovat školení sami zůstává vaším úkolem. Zdokumentujte, kdo se zúčastnil, jak dlouho a s jakým obsahem, abyste to na vyžádání mohli orgánu předložit.

Odpovídá vedení osobně za porušení?

Pokud člen vedení poruší svou schvalovací, dozorovou nebo školicí povinnost, odpovídá vlastnímu subjektu za zaviněně způsobenou škodu podle pravidel obchodního práva příslušné právní formy (článek 20 směrnice NIS 2, v Německu §38 BSIG). Tento nárok náleží firmě, nikoli třetím stranám, a úplné vzdání se odpovědnosti prostřednictvím společenské smlouvy nebo stanov je vyloučeno. V praxi riziko snižujete čistou dokumentací schválení, kontrol a záznamů o školeních. Nejlepší ochranou není vzdání se, ale prokazatelně splněný soubor povinností.

Budou webináře nahrávány?

Ne. Webináře BSI k NIS 2 se nenahrávají, takže se buď účastníte živě, nebo vůbec. Důležité: webináře jsou dobrovolná informační nabídka, nikoli povinná součást vaší implementace. Pro vaše povinnosti jsou rozhodující opatření k řízení rizik podle článku 21 směrnice NIS 2 (transponovaná v Německu v §30 BSIG), nikoli účast na webináři.

Jak obdržím materiály ke každému webináři?

Všichni registrovaní účastníci obdrží sadu slidů následně e-mailem. Předpokladem je tedy registrace na příslušný webinář: kdo není registrován, materiály automaticky neobdrží. Po skončení zkontrolujte také složku se spamem, pokud e-mail s přílohou nedorazí.

Může BSI podporovat subjekty při implementaci NIS 2?

Ano, ale pouze obecně, nikoli pro váš jednotlivý případ. BSI poskytuje FAQ, informační balíčky, startovací balíček a úvodní semináře, ale na základě svého zákonného mandátu (§3 BSIG, který transponuje úkoly ze směrnice NIS 2) výslovně neposkytuje ani poradenství k jednotlivým případům, ani právní poradenství. Pro konkrétní implementaci ve vaší firmě tedy potřebujete buď vlastní know-how, nebo kvalifikovaného poskytovatele služeb či právní poradenství. Kde můžete začít sami, ukazuje úplný test použitelnosti na Kdo je dotčen.

Existují již od BSI informace nebo pokyny k opatřením, která mají zavést klíčové a důležité subjekty podle NIS 2?

Ano. Na své centrální webové stránce k NIS 2 BSI zveřejňuje konkrétní pokyny k jednotlivým povinnostem a opatřením. Věcně odpovídají opatřením k řízení rizik z článku 21 směrnice NIS 2 a prováděcího nařízení (EU) 2024/2690 (transponovaným v Německu v §30 BSIG). Jako metodické jak BSI jmenuje IT-Grundschutz: pokud jej uplatníte, opatření z §30 BSIG se zpravidla považují za splněná, což je nejpraktičtější dostupné vodítko v současnosti.

Pokrývá odvětví poskytovatelů zdravotní péče i zařízení dlouhodobé péče?

Ne. Typ subjektu „poskytovatel zdravotní péče“ se váže na definici v čl. 3 písm. g) směrnice 2011/24/EU, na kterou NIS 2 (příloha I, odvětví zdravotnictví směrnice (EU) 2022/2555) odkazuje. Čistě dlouhodobá péče pod tuto definici nespadá, a proto jako taková pokryta není. Důležité: pokud zařízení péče navíc poskytuje zdravotní služby ve smyslu definice (jako je lékařské nebo ošetřovatelské ošetření), tato část může být pokryta, jsou-li splněny velikostní prahy podle §28 BSIG. Zkontrolujte krok za krokem: Kdo je dotčen.

Pokrývá typ subjektu „poskytovatel zdravotní péče“ i distribuci nebo dodávku zdravotnických prostředků?

Ne. Pouhá distribuce nebo dodávka zdravotnických prostředků nesplňuje definici zdravotní služby podle čl. 3 písm. g) směrnice 2011/24/EU, na kterou NIS 2 pro odvětví zdravotnictví odkazuje (příloha I). Tímto typem subjektu tedy dotčeni nejste. Mohou však platit jiná opěrná hlediska: výrobci kritických zdravotnických prostředků patří do odvětví zdravotnictví, výrobci zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro patří do odvětví výroby (příloha II). Navíc zkontrolujte, zda nejste pokryti jako kritické zařízení podle KritisV.

Jak se postupuje, když se provoz počítá mezi kritická zařízení (výdejní místo pro zdravotnické prostředky), a je tak kritickou infrastrukturou podle BSI-KritisV, ale není dosažen stanovený obratový práh pro klíčové subjekty?

Provozovatelé kritického zařízení jsou podle §28 odst. 1 BSIG klíčovým subjektem bez ohledu na velikost a obrat. Velikostní a obratové prahy z obecného velikostního kritéria zde proto nehrají roli: kdo překročí práh KritisV pro zařízení, je pokryt, i když je firma pod ním malým provozem. Jediným rozhodujícím faktorem je kvantitativní práh příslušné kategorie zařízení v KritisV (§2 č. 22 BSIG). Práh KritisV můžete dosáhnout, aniž byste dosáhli prahu zaměstnanců nebo obratu obecného velikostního kritéria, a přesto jste pak plně dotčeni.

Jsou zařízení pro asistenci při začleňování (Eingliederungshilfe) dotčena NIS 2?

Asistence při začleňování jako taková není vlastním typem subjektu podle NIS 2 a nespadá pod definici zdravotní služby podle čl. 3 písm. g) směrnice 2011/24/EU. Jen z důvodu asistence při začleňování tedy dotčeni nejste. Záleží na konkrétně vykonávaných činnostech: pokud zařízení navíc poskytuje zdravotní služby ve smyslu definice a dosahuje prahů podle §28 BSIG, tato část může být dotčena. Pro jistotu byste měli navíc zkontrolovat, zda neplatí jiné odvětví NIS 2 nebo kritické zařízení podle KritisV.

Jsou záchranné zdravotnické služby dotčeny NIS 2?

Záleží na vykonávané činnosti, nikoli na označení „záchranná zdravotnická služba“. Pokud záchranná zdravotnická služba poskytuje zdravotní služby ve smyslu čl. 3 písm. g) směrnice 2011/24/EU (jako je neodkladná lékařská péče), může být pokryta prostřednictvím odvětví zdravotnictví (příloha I), jsou-li splněny prahy podle §28 BSIG. Pouhá přeprava pacientů bez lékařského ošetření pod toto zpravidla nespadá. Pokud je záchranná zdravotnická služba ve veřejném vlastnictví, navíc zkontrolujte pravidla pro veřejnou správu.

Spadají služby poradenství v oblasti bezpečnosti IT pod odvětví digitální infrastruktury, například pod typ subjektu poskytovatel řízených bezpečnostních služeb (MSSP)?

Ne. Pouhé poradenství v oblasti bezpečnosti IT není řízenou bezpečnostní službou. Podle NIS 2 (čl. 6 bod 40 směrnice (EU) 2022/2555) je MSSP poskytovatel řízených služeb, který provozně poskytuje nebo řídí podporu pro činnosti řízení rizik kybernetické bezpečnosti, tedy přebírá průběžný provoz bezpečnostních funkcí pro klienty. Kdo výhradně radí, audituje nebo školí, aniž by průběžně provozoval nebo řídil systémy klientů, pod MSP ani MSSP nespadá (odvětví řízení služeb IKT patří do přílohy I, nikoli do digitální infrastruktury). Jakmile však skutečně řídíte bezpečnostní služby klientů (jako je provoz SOC, monitorování, správa záplat), klasifikace jako MSSP může platit.

Mají být dceřiné firmy, v nichž je organizován centrální provoz IT korporátní skupiny, považovány za poskytovatele řízených služeb (MSP) nebo poskytovatele řízených bezpečnostních služeb (MSSP)?

Rozhodujícím faktorem je, zda je IT služba poskytována externě na trhu. MSP a MSSP podle NIS 2 (čl. 6 body 39 a 40 směrnice (EU) 2022/2555) poskytují služby jiným firmám, nikoli sobě samým. Vnitroskupinová IT dceřiná firma, která výhradně obsluhuje vlastní skupinu, proto zpravidla není MSP ani MSSP prostřednictvím tohoto typu subjektu. To nutně neznamená „nedotčeno“: pokud dceřiná firma obsluhuje i třetí strany mimo skupinu, klasifikace MSP nebo MSSP může platit, a nezávisle na tom se pro velikostní práh agregují zaměstnanci a obrat propojených firem (propojené firmy podle definice MSP 2003/361/ES).

Spadá webhosting pod některý z typů subjektů? (Jako poskytovatel cloudu nebo MSP)

Klasický webhosting sám o sobě není ani službou cloud computingu, ani MSP. Služba cloud computingu podle NIS 2 (čl. 6 bod 30 směrnice (EU) 2022/2555) vyžaduje škálovatelné, elasticky poskytované a sdílené výpočetní prostředky se správou na vyžádání, což čistý hosting na pevných prostředcích typicky nesplňuje. MSP vyžaduje průběžnou správu systémů IT zákazníka, nikoli jen poskytnutí úložiště a webového prostoru. Rozhodujícím faktorem je vždy konkrétní uspořádání: pokud poskytovatel navíc nabízí elastické cloudové prostředky nebo aktivně spravuje systémy zákazníka, klasifikace může platit. Více k tomu: Jsem poskytovatel cloudu.

Jsou osoby samostatně výdělečně činné, které provozují autoritativní DNS pro zákazníky webhostingu, rovněž dotčeny implementačními povinnostmi v oblasti kybernetické bezpečnosti?

Ano, to může platit. Poskytovatelé služeb DNS jsou podle NIS 2 (příloha I, digitální infrastruktura, pojem v čl. 6 bodu 20 směrnice (EU) 2022/2555) klíčovým subjektem bez ohledu na svou velikost. Obvyklý práh zaměstnanců nebo obratu zde proto neplatí, takže pokryty mohou být i osoby samostatně výdělečně činné (§28 odst. 1 BSIG). Rozhodujícím faktorem je, zda autoritativní překlad DNS skutečně provozujete jako vlastní službu (nikoli pouhé držení vlastní domény). Pokud to platí, povinnosti v oblasti řízení rizik, oznamování a registrace platí v plném rozsahu.

Spadají všechny firmy do působnosti vnitrostátní transpozice směrnice NIS 2, pokud jsou „poskytovatelem veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací“?

Ne automaticky každá firma, ale práh je nízký. Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací patří do digitální infrastruktury (příloha I směrnice (EU) 2022/2555) a jsou podle §28 BSIG pokryti, jakmile je dosažen práh pro střední firmy (od 50 zaměstnanců, nebo přes 10 milionů EUR obratu s bilanční sumou přes 10 milionů EUR). Pojmy se řídí směrnicí (EU) 2018/1972 (evropský kodex pro elektronické komunikace), nikoli vlastním chápáním „komunikační služby“ ze strany firmy. Poznámka: pokud TKG obsahuje relevantní odvětvové požadavky pro tyto služby, příslušné povinnosti BSIG platí jen v rozsahu, v němž TKG nemá přednost (§28 BSIG).

Spadá služba cloud computingu, která není automaticky škálovatelná, což je cloudové kritérium podle NIST [americký standard kybernetické bezpečnosti NIST SP 800], pod pravidla prováděcího zákona k NIS 2?

Rozhodujícím faktorem není standard NIST, ale definice služby cloud computingu v NIS 2 (čl. 6 bod 30 směrnice (EU) 2022/2555). Podle ní musí služba poskytovat škálovatelné a elastické, tedy na vyžádání nahoru i dolů škálovatelné, sdílené výpočetní prostředky prostřednictvím sítě. Pokud tato škálovatelnost a elasticita zcela chybí, pak podle definice NIS 2 zpravidla nejde o službu cloud computingu a typ subjektu poskytovatel cloudu neplatí. To však nutně neznamená „vůbec nedotčeno“: zkontrolujte, zda neplatí jiný typ subjektu (jako služba datového centra nebo MSP) nebo zda nejste pokryti prostřednictvím jiného odvětví. Podrobnosti: Jsem poskytovatel cloudu.

Čelí finanční subjekty podléhající DORA povinnostem dvojí registrace, dvojího ohlašování bezpečnostních incidentů, dvojího dozoru, dvojích důkazů atd. kvůli prováděcímu zákonu k NIS 2 a DORA?

Ne, skutečná dvojí regulace zamýšlena není. Pro finanční subjekty je DORA (nařízení (EU) 2022/2554) specifičtějším pravidlem. Podle článku 4 směrnice NIS 2 mají proto požadavky DORA na řízení rizik, ohlašování incidentů a dozor přednost a příslušné povinnosti NIS 2 ustupují. Zůstává pouze registrace: článek 27 směrnice NIS 2 (promítnutý do německého práva prostřednictvím příslušné registrační povinnosti BSIG) pokrývá i subjekty DORA, aby orgány mohly vést úplný přehled. Incidenty nadále hlásíte podle DORA a navíc se registrujete, aniž by tím vznikal druhý ohlašovací řetězec nebo druhá vrstva dozoru.

Jak se požadavky NIS 2 liší od specifických bezpečnostních požadavků na smart meter gateway?

Oba soubory pravidel působí na různých úrovních a vzájemně se nevylučují. NIS 2 (článek 21 směrnice, v německém právu §30 BSIG) vyžaduje, aby organizace jako celek udržovala řízení rizik: procesy, odpovědnosti, dodavatelský řetězec, plánování pro mimořádné situace. Požadavky na smart meter gateway naproti tomu pocházejí ze zákona o provozu měřicích míst a technických pokynů BSI (například TR-03109) a týkají se technické bezpečnosti konkrétního zařízení, včetně certifikace. Stručně: NIS 2 upravuje, jak zabezpečíte svou firmu, požadavky na smart meter upravují, jak musí být navrženo jednotlivé zařízení. Obojí platí souběžně.

Jak došlo k přejmenování na „Digital Energy Services“?

Dřívější kategorie zařízení agregačního bodu (Buendelstelle) byla přejmenována na „Digital Energy Services“, protože tento pojem lépe odráží rostoucí roli systémů IT a digitálních procesů v odvětví energetiky než starý název, který byl těsně spjat s agregací odečtů měřidel. Důležitější než název je důsledek: pro tuto kategorii již regulace bezpečnosti informací neleží na BSIG, ale na §5c a násl. EnWG, a příslušná je Bundesnetzagentur.

Co znamená zákonná změna pro můj agregační bod (BueStel)?

Váš agregační bod se jako „Digital Energy Service“ vyjímá z regulace BSIG. Požadavky na bezpečnost informací se napříště budou řídit §5c a násl. EnWG a příslušným dozorovým orgánem je Bundesnetzagentur, již nikoli BSI. Pro dotčené zařízení v kategorii 1.1.2 již nemusíte BSI předkládat důkazy podle §8a BSIG. Vaše kontaktní místo a vaše technické požadavky se proto mění; zkontrolujte požadavky Bundesnetzagentur včas.

Které povinnosti vůči BSI po zákonné změně ještě zůstávají?

Vůči BSI zůstává v podstatě registrace a udržování aktuálních kmenových údajů v portálu BSI, dokud je tam přiřazení ještě vedeno. Věcný dozor a důkazy pro zařízení klasifikovaná jako „Digital Energy Services“ přecházejí na Bundesnetzagentur podle §5c a násl. EnWG. Pokud máte u BSI registrována i další zařízení, povinnosti BSIG pro ně nadále platí beze změny; vyjímají se pouze digital energy services.

Jaký auditní základ mohu použít pro důkazy?

Pro důkazy vůči BSI zůstává rozhodující zavedený základ: uznávaný auditní standard, jako je odvětvový bezpečnostní standard (B3S) podle §8a odst. 2 BSIG nebo rovnocenný standard, který pokrývá požadavky na vaše zařízení. Pro zařízení vyňatá jako „Digital Energy Services“ se však auditní základ řídí požadavky Bundesnetzagentur na základě §5c a násl. EnWG. Rozhodující je tedy, pod kterým režimem je vaše zařízení po změně vedeno; vyjasněte si to nejprve, než zvolíte auditní standard.

Jak zjistím, do kdy musím předložit důkazy?

Lhůta vyplývá z kategorie vašeho zařízení a důkazního cyklu, který se na vás vztahuje, nikoli z jediného jednotného mezního data. Pro zařízení, která zůstávají ve světě BSIG, platí známý pravidelný důkazní cyklus podle §8a BSIG; BSI konkrétní termín sděluje v rámci vaší registrace nebo úředním oznámením. Pro zařízení, která přešla na Bundesnetzagentur jako „Digital Energy Services“, stanoví důkazní termíny ona podle §5c a násl. EnWG. V případě pochybností je rozhodující písemné oznámení příslušného orgánu; nespoléhejte na paušální roční údaj.

Jaký dopad má prováděcí zákon k NIS 2 na ostatní zařízení mé firmy registrovaná u BSI?

Vynětí se týká pouze zařízení klasifikovaných jako „Digital Energy Services“ (dřívější kategorie 1.1.2). Všechna ostatní zařízení vaší firmy registrovaná u BSI zůstávají v režimu BSIG: registrace, řízení rizik a důkazní povinnosti tam pokračují beze změny. Nevzniká žádná mezera a nedochází k automatickému zániku; nedotčená zařízení provozujete dál přesně jako dříve a BSI zachováváte jako příslušný orgán.

Musí být dokončen probíhající audit pro doložení důkazů podle §8a BSIG pro zařízení v kategorii zařízení 1.1.2?

Ne. Pro zařízení v kategorii 1.1.2, která vypadávají z BSIG jako „Digital Energy Services“, se BSI již nemají předkládat žádné důkazy podle §8a BSIG, takže audit za tímto účelem probíhající již nemusí být pro BSI dokončen. Dbejte však budoucích požadavků Bundesnetzagentur podle §5c a násl. EnWG; již provedená auditní práce tam může být dále využitelná. Přesný přechod si vyjasněte přímo s příslušným orgánem, než audit přerušíte.

Musí se provozovatelé energetické zásobovací sítě podle §5d odst. 4 EnWG registrovat v portálu BSI?

Ano. Provozovatelé energetické zásobovací sítě podle §5d odst. 4 EnWG jsou povinni se registrovat v portálu BSI, i když nejsou zároveň klasifikováni jako klíčový nebo důležitý subjekt podle §28 BSIG. Registrační povinnost se zde váže na provoz sítě a existuje nezávisle na obecném velikostním prahu NIS 2. Své kmenové údaje zadejte do portálu BSI ve lhůtě. Více k postupu: nis2-registrierung.

Počítají se hotelové restaurace, restaurace nebo stravovací provozy jako „důležité subjekty“?

Zpravidla ne. Odvětví potravinářství přílohy 2 zahrnuje pouze firmy ve velkoobchodu i v průmyslové výrobě a zpracování potravin, nikoli klasické stravovací služby. Hotelová restaurace, restaurace nebo stravovací provoz proto nespadá pod NIS 2 jen kvůli přípravě jídel. Rozhodující rovněž zůstává, zda jsou splněny velikostní prahy; svou klasifikaci zkontrolujte systematicky: wer-ist-betroffen-vollstaendiger-test.

Je „sowie“ (jakož i) rovnocenné s „nebo“?

Ano. Ve znění o potravinách přílohy 2 spojuje „sowie“ jmenované činnosti výčtovým, nikoli kumulativním způsobem. Firma je proto pokryta již tehdy, pokud působí ve velkoobchodu nebo v průmyslové výrobě nebo ve zpracování; nemusí vykonávat všechny tři činnosti zároveň. Co je pak pro pokrytí navíc rozhodující, je, zda jsou splněny příslušné velikostní prahy.

Spadají všichni účastníci zabezpečeného dodavatelského řetězce v oblasti bezpečnosti letectví pod KRITIS, i když jsou malými podniky pod prahy pro použitelnost NIS 2?

Ne. Účast v zabezpečeném dodavatelském řetězci podle §9a LuftSiG z firmy automaticky nečiní kritickou infrastrukturu a automaticky z ní nečiní subjekt NIS 2. Rozhodující jsou dva oddělené prahy: provozovatelem KRITIS se stáváte jen tehdy, když překročíte objemové prahy BSI-KritisV pro kritickou službu (typicky v odvětví letectví nebo logistiky). Použitelnost NIS 2 podle přílohy I nebo II směrnice NIS 2 (EU) 2022/2555 zase vyžaduje, abyste působili v pokrytém odvětví a splňovali velikostní kritéria (zpravidla od 50 zaměstnanců nebo více než 10 milionů EUR ročního obratu; BSIG to transponuje v §28). Kdo je pod oběma prahy, není pouhou účastí v dodavatelském řetězci pokryt ani KRITIS, ani NIS 2. Kompletní test najdete na Kdo je dotčen.

Které právní formy spadají podle NIS 2 do finančního odvětví a bankovního pododvětví?

Klasifikace se neřídí právní formou (GmbH, AG, eG nebo jiná), ale činností. V bankovnictví příloha I směrnice NIS 2 (EU) 2022/2555 zahrnuje úvěrové instituce ve smyslu čl. 4 odst. 1 bodu 1 nařízení (EU) č. 575/2013, tedy podniky, jejichž činnost spočívá v přijímání vkladů nebo jiných splatných prostředků od veřejnosti a poskytování úvěrů na vlastní účet. Žádná konkrétní právní forma se k tomu nepředepisuje; záleží jen na tom, abyste byli povoleni jako úvěrová instituce a tuto činnost provozovali. Důležité: pro úvěrové instituce platí přednostně jako lex specialis DORA (nařízení (EU) 2022/2554) od 17. ledna 2025, takže provozní povinnosti řízení rizik a ohlašování se plní podle DORA místo NIS 2. Zda jste dotčeni jako banka, můžete zkontrolovat na Jsem banka ve smyslu NIS 2.