Terminologický slovník NIS2

Základní subjekt

Besonders wichtige Einrichtung

Společnosti ve vysoce kritických sektorech (příloha I NIS2) nad velikostním prahem. V Německu na ně podle §28 BSIG dopadají nejpřísnější požadavky a nejvyšší sankce. Představte si: energetika, doprava, bankovnictví, zdravotnictví, voda, digitální infrastruktura. Základní subjekty podléhají proaktivním auditům BSI. BSI vás může kontrolovat i bez konkrétního spouštěče.

§28 odst. 1 BSIG, směrnice NIS2 čl. 3 odst. 1

Důležitý subjekt

Wichtige Einrichtung

Společnosti v ostatních sektorech v působnosti (příloha II NIS2) nad velikostním prahem. Stejné základní povinnosti jako u základních subjektů, ale nižší maximální sankce a reaktivní spíše než proaktivní dohled. BSI prošetřuje, když se něco pokazí, ne podle pravidelného rozvrhu. Představte si: odpady, potraviny, výroba, poštovní služby, chemické látky, výzkum.

§28 odst. 2 BSIG, směrnice NIS2 čl. 3 odst. 2

KRITIS (kritická infrastruktura)

Kritische Infrastrukturen

Provozovatelé kritických zařízení, kteří překračují prahy stanovené v nařízení BSI-KritisV (typicky 500 000 obsloužených osob). Provozovatelé KRITIS jsou automaticky klasifikováni jako základní subjekty a čelí dalším povinnostem nad rámec standardního NIS2: tříleté důkazní audity, povinné systémy detekce útoků a přísnější lhůty pro hlášení incidentů.

BSI-KritisV, §28 BSIG

BSIG (BSI-Gesetz)

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

Německý spolkový zákon upravující BSI (Spolkový úřad pro bezpečnost v informačních technologiích) a kyberbezpečnostní povinnosti. NIS2UmsuCG novelizoval BSIG tak, aby zahrnoval všechny požadavky NIS2. Když někdo řekne 'compliance NIS2 v Německu', myslí tím soulad s novelizovaným BSIG. To je zákon, který se na vás vztahuje, ne samotná směrnice NIS2.

BSIG ve znění NIS2UmsuCG

NIS2UmsuCG

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Zákon o provedení NIS-2 a posílení kyberbezpečnosti. Německé vnitrostátní provedení směrnice NIS2. Přijatý 13. listopadu 2025 a účinný od 6. prosince 2025. Podstatně novelizuje BSIG a přenáší všechny povinnosti NIS2 do německého práva. Když německé právo odkazuje na 'compliance NIS2', myslí tím soulad s BSIG ve znění NIS2UmsuCG.

NIS2UmsuCG (BGBl. 2025)

Směrnice NIS2

Legislativa na úrovni EU (směrnice 2022/2555), která vyžadovala, aby všechny členské státy zavedly kyberbezpečnostní regulaci pro kritické a důležité subjekty. Stanoví minimální požadavky. Každá země ji pak provedla do vnitrostátního práva. V Německu se z ní stal novelizovaný BSIG. Se směrnicí nejste v souladu přímo; jste v souladu s BSIG.

Směrnice (EU) 2022/2555

CIR 2024/2690

Prováděcí nařízení EU, které stanoví přesné technické a metodické požadavky pro subjekty NIS2. Na rozdíl od směrnice se uplatňuje přímo ve všech členských státech bez provedení. Upřesňuje, co 'vhodná kyberbezpečnostní opatření' v praxi skutečně znamenají. Berte ho jako technický předpis, který doplňuje detaily, které směrnice nechala otevřené.

Prováděcí nařízení Komise (EU) 2024/2690

Kód NACE

NACE-Code

Statistická klasifikace ekonomických činností v Evropském společenství (Nomenclature statistique des Activités économiques dans la Communauté Européenne). NIS2 a BSIG používají kódy NACE k vymezení toho, které sektory a ekonomické činnosti spadají do působnosti. Kód NACE vaší společnosti je první věc, kterou BSI kontroluje při posuzování použitelnosti.

Nařízení (ES) 1893/2006

Registrace u BSI

BSI-Registrierung

Povinná registrace subjektů v působnosti u BSI prostřednictvím jeho online portálu. Vyžadováno §33 BSIG s vlastním sankčním ustanovením. Uvedete údaje o své společnosti, zařazení do sektoru, kontaktní osobu pro kyberbezpečnost a rozsahy IP adres. Jde o samostatnou zákonnou povinnost. Její splnění nesplňuje vaše ostatní požadavky NIS2, ale její nesplnění je vlastním porušením.

§33 BSIG

MUK (Mein Unternehmenskonto)

Mein Unternehmenskonto

Centrální podnikatelský účet Německa pro služby spolkové správy, ověřovaný certifikáty ELSTER. Předpoklad registrace u BSI: společnosti si musí nejprve vytvořit účet MUK a teprve přes něj přistoupit k registračnímu portálu BSI. Pokud účet MUK ještě nemáte, nemůžete se u BSI zaregistrovat. To je první praktický krok, než začne jakákoli práce na compliance.

OZG, ELSTER

Významný incident

Erheblicher Sicherheitsvorfall

Kyberbezpečnostní událost, která skutečně narušuje vaši službu, způsobuje finanční škodu nebo se může rozšířit na ostatní. Ne každý phishingový e-mail. Povinnou kaskádu hlášení BSI spouští jen události, které překročí konkrétní prahy závažnosti. CIR 2024/2690 definuje konkrétní prahy: finanční ztráta přesahující 500 000 EUR nebo 5 % obratu, exfiltrace dat obchodního tajemství nebo dopad na zdraví.

§32 BSIG, CIR 2024/2690 čl. 3

Opatření k řízení rizik

Risikomanagementmaßnahmen

Deset kategorií kyberbezpečnostních opatření, která musí všechny subjekty NIS2 zavést podle §30 BSIG. Sahají od posouzení rizik a zvládání incidentů po bezpečnost dodavatelského řetězce a kryptografii. Musí být 'vhodná a přiměřená' vaší velikosti a rizikovému profilu. Od padesátičlenné odpadové firmy se neočekává, že zavede stejné kontroly jako Deutsche Telekom.

§30 odst. 2 BSIG

Bezpečnost dodavatelského řetězce

Sicherheit der Lieferkette

Požadavek posuzovat a řídit kyberbezpečnostní rizika ve vašem dodavatelském řetězci. Zejména poskytovatele IT služeb, poskytovatele cloudu a každého dodavatele s přístupem k vašim systémům nebo datům. Musíte zahrnout bezpečnostní požadavky do smluv, posuzovat postupy dodavatelů a v čase je monitorovat. To je novinka oproti starému režimu KRITIS.

§30 odst. 2 bod 4 BSIG

Odpovědnost vedení

Leitungsverantwortung

Osobní odpovědnost vedení společnosti (Geschäftsführung) za compliance NIS2 podle §38 BSIG. Vedení musí schválit kyberbezpečnostní opatření, zajistit jejich zavedení, absolvovat školení v kyberbezpečnosti a může nést osobní odpovědnost za vzniklé škody. Tuto odpovědnost nelze prominout, ani usnesením společníků. To je ustanovení, které posouvá kyberbezpečnost z IT oddělení do vedení.

§38 BSIG

IT-Grundschutz

IT-Grundschutz

Vlastní kyberbezpečnostní metodika BSI. Komplexní rámec bezpečnostních modulů (Bausteine) s návodem k zavedení krok za krokem. §44 odst. 2 BSIG výslovně uznává zavedení Grundschutz jako doklad o compliance NIS2. Protože BSI Grundschutz vydává i vymáhá NIS2, použití jejich metodiky znamená, že jste auditováni podle standardu, který auditor zná dokonale.

§44 odst. 2 BSIG, BSI-Standards 200-1 až 200-4

Auditní stopa

Chronologický záznam o tom, kdo co, kdy a proč ve vašem procesu compliance udělal. NIS2 vyžaduje doklad, že opatření jsou nejen zdokumentována, ale skutečně zavedena a udržována. Auditní stopa ukazuje auditorovi BSI, že vaše politiky jsou živé dokumenty, ne dokumenty do šuplíku: kdo opatření schválil, kdy bylo naposledy přezkoumáno, co se změnilo.

Vícefaktorová autentizace (MFA)

Autentizace, která vyžaduje dva nebo více ověřovacích faktorů. Typicky něco, co znáte (heslo), a něco, co máte (telefon, hardwarový klíč). §30 odst. 2 bod 10 BSIG vyžaduje MFA pro vzdálený přístup, administrátorský přístup a přístup ke kritickým systémům. Pokud MFA na své VPN, administrátorských účtech a e-mailu ještě nepoužíváte, je to jeden z nejkonkrétnějších technických požadavků k zavedení.

§30 odst. 2 bod 10 BSIG

§30 BSIG - kyberbezpečnostní opatření

Ústřední ustanovení NIS2 v německém právu. Vyjmenovává deset kategorií opatření k řízení kyberbezpečnostních rizik, která musí zavést všechny subjekty v působnosti. Pokrývá posouzení rizik, zvládání incidentů, kontinuitu provozu, bezpečnost dodavatelského řetězce, bezpečný vývoj, posouzení účinnosti, školení, kryptografii, řízení přístupu a vícefaktorovou autentizaci. Opatření musí být 'vhodná a přiměřená'. Ne pozlacená, ale skutečná.

§30 BSIG

§32 BSIG - hlášení incidentů

Meldepflichten

Povinná třístupňová kaskáda hlášení incidentů. Když nastane významný incident: včasné varování BSI do 24 hodin, podrobné oznámení incidentu do 72 hodin, závěrečná zpráva do jednoho měsíce. Každý stupeň má konkrétní obsahové požadavky. Pozdní nebo chybějící hlášení jsou samostatná porušení s vlastními sankčními ustanoveními.

§32 BSIG

§33 BSIG - registrační povinnost

Registrierungspflicht

Zákonná povinnost všech subjektů v působnosti registrovat se u BSI. Uvedete informace o subjektu, zařazení do sektoru, kontaktní údaje pro kyberbezpečnost a rozsahy IP adres. Neregistrace je samostatné porušení postižitelné pokutou až 500 000 EUR. Oddělené od jakýchkoli sankcí za nezavedení skutečných bezpečnostních opatření.

§33 BSIG

§38 BSIG - odpovědnost vedení

Billigung von Risikomanagementmaßnahmen

Ustanovení, které činí vedení společnosti osobně odpovědným za compliance NIS2. Geschäftsführung musí schválit opatření k řízení rizik, dohlížet na jejich zavedení a absolvovat školení v kyberbezpečnosti. Selhání zakládá osobní odpovědnost za škody a tuto odpovědnost nemohou společníci prominout. To je paragraf, který upoutá pozornost jednatelů.

§38 BSIG

NIS2 příloha I - vysoce kritické sektory

Seznam sektorů, jejichž subjekty jsou klasifikovány jako 'základní' (základní subjekty), když splní velikostní práh. Zahrnuje: energetiku (elektřina, ropa, plyn, vodík, dálkové vytápění), dopravu (letecká, železniční, vodní, silniční), bankovnictví, infrastrukturu finančního trhu, zdravotnictví, pitnou vodu, odpadní vodu, digitální infrastrukturu, řízení služeb IKT, veřejnou správu a vesmír.

Směrnice NIS2 příloha I, §28 odst. 1 BSIG

NIS2 příloha II - další kritické sektory

Seznam sektorů, jejichž subjekty jsou klasifikovány jako 'důležité' (wichtige Einrichtungen), když splní velikostní práh. Zahrnuje: poštovní a kurýrní služby, nakládání s odpady, výrobu a distribuci chemických látek, výrobu a distribuci potravin, výrobu (zdravotnické prostředky, elektronika, stroje, vozidla), poskytovatele digitálních služeb (online tržiště, vyhledávače, sociální sítě) a výzkumné organizace.

Směrnice NIS2 příloha II, §28 odst. 2 BSIG

CSIRT (tým pro reakci na počítačové bezpečnostní incidenty)

Computer-Notfallteam

Národní tým odpovědný za příjem a reakci na hlášení kyberbezpečnostních incidentů. V Německu slouží jako národní CSIRT BSI. Když nahlásíte významný incident podle §32 BSIG, BSI-CSIRT vaše hlášení přijme a zpracuje. Může také poskytovat technickou pomoc během reakce na incident. Není to jen schránka, ale provozní zdroj.

Směrnice NIS2 čl. 10, §32 BSIG