Nová povinnost zajistit IT bezpečnost pro německé společnosti
Pokud jste hledali 'IT Sicherheitspflicht', hledáte NIS2. Od prosince 2025 dělá revidovaný BSIG z kybernetické bezpečnosti zákonnou povinnost pro zhruba 29 500 německých společností.
NIS2 je ta povinnost zajistit IT bezpečnost, o které jste slyšeli
V Německu neexistuje samostatný 'zákon o povinnosti zajistit IT bezpečnost'. Co existuje, je směrnice NIS2 (EU 2022/2555), transponovaná do německého práva prostřednictvím NIS2UmsuCG, který zásadně přepracoval spolkový zákon o kybernetické bezpečnosti (BSIG). To je zákon, který vytváří závazné povinnosti zajistit IT bezpečnost pro společnosti v 18 kritických odvětvích.
BSIG nabyl účinnosti 6. prosince 2025. Vyžaduje, aby dotčené společnosti zavedly 10 konkrétních opatření pro řízení rizik kybernetické bezpečnosti (§30 BSIG), zaregistrovaly se u BSI, hlásily významné incidenty v přísných lhůtách a zabezpečily svůj dodavatelský řetězec. Vedení je podle §38 BSIG osobně odpovědné za zajištění shody.
Pokud má vaše společnost 50 nebo více zaměstnanců nebo překračuje 10 milionů eur ročního obratu a působí v jednom z 18 odvětví NIS2, tyto povinnosti se na vás vztahují právě teď. Termín registrace byl 6. března 2026. Implementace všech opatření je vyžadována do 17. října 2026.
Odvětví
Vaše společnost působí v jednom z 18 odvětví: energetika, doprava, bankovnictví, zdravotnictví, voda, digitální infrastruktura, služby IKT, veřejná správa, kosmický prostor, poštovní služby, odpadové hospodářství, chemie, výroba potravin, zpracovatelský průmysl nebo digitální poskytovatelé.
Počet zaměstnanců
Máte 50 nebo více zaměstnanců. To vychází z definice MSP v EU a zahrnuje všechny zaměstnance v rámci skupiny, nikoli jen německý subjekt. Zaměstnanci na částečný úvazek se počítají poměrně.
Roční obrat
Váš roční obrat překračuje 10 milionů eur A zároveň vaše bilanční suma překračuje 10 milionů eur. Pokud překračujete buď prahovou hodnotu zaměstnanců, NEBO finanční prahovou hodnotu, jste v rozsahu.
Kritické služby
Některé typy subjektů jsou v rozsahu bez ohledu na velikost: poskytovatelé DNS, registry TLD, kvalifikovaní poskytovatelé služeb vytvářejících důvěru, provozovatelé KRITIS a výhradní poskytovatelé zásadních služeb v regionu.
Zaregistrujte se u BSI
Dokončete registraci přes portál BSI (muk.bsi.bund.de). To je zákonná povinnost podle §33 BSIG s vlastní sankcí až do výše 500 000 eur. Portál je v provozu od ledna 2026 a termín byl 6. března 2026. Pokud jste ho zmeškali, zaregistrujte se okamžitě.
Proveďte posouzení rizik
Identifikujte svá kritická IT aktiva, posuďte rizika u každého z nich a zdokumentujte rozhodnutí o ošetření. §30 BSIG vyžaduje opatření pro řízení rizik, která jsou přiměřená vystavení riziku. Před zavedením opatření potřebujete inventář aktiv a strukturované posouzení rizik.
Zaveďte 10 bezpečnostních opatření
§30 BSIG definuje 10 povinných oblastí: zásady řízení rizik, řešení incidentů, kontinuita provozu, bezpečnost dodavatelského řetězce, bezpečnost sítí, řízení zranitelností, kybernetická hygiena, kryptografie, řízení přístupu a vícefaktorové ověřování. Každá oblast vyžaduje zdokumentované zásady a důkazy o zavedení.
Nastavte hlášení incidentů
Významné incidenty kybernetické bezpečnosti musí být hlášeny BSI do 24 hodin (počáteční včasné varování), 72 hodin (úplné oznámení) a 1 měsíce (závěrečná zpráva). Definujte, co pro vaši společnost znamená významný incident, a než se něco stane, zaveďte jasný řetězec hlášení.
Udržujte průběžnou shodu
NIS2 není jednorázový projekt. Potřebujete roční přezkumy posouzení rizik, pravidelné školení vedení (§38 BSIG vyžaduje osobní účast), opětovná posouzení dodavatelů a průběžné sledování incidentů. Platforma sleduje všechny termíny a automaticky eskaluje.
Rámec sankcí je vytvořen podle GDPR. Zásadní subjekty čelí pokutám až do výše 10 milionů eur nebo 2 % celosvětového ročního obratu. Důležité subjekty čelí až 7 milionům eur nebo 1,4 %. Samotná porušení registrace nesou pokuty až do výše 500 000 eur. BSI má donucovací pravomoci a může nařídit shodu nebo omezit provoz.
Kromě pokut vytváří §38 BSIG osobní odpovědnost vedení. Vedoucí pracovníci musí schvalovat opatření kybernetické bezpečnosti, dohlížet na jejich zavedení a dokončit školení. Jsou odpovědni vlastní společnosti za zaviněná porušení. Tuto odpovědnost nelze smluvně vyloučit. Tvrzení, že jste kybernetické bezpečnosti nerozuměli, výslovně není obranou.
Často kladené otázky
Je NIS2 totéž jako povinnost zajistit IT bezpečnost, o které stále slyším?
Ano. Neexistuje samostatný zákon 'IT Sicherheitspflicht'. NIS2 je směrnice EU, která byla transponována do německého práva jako revidovaný BSIG prostřednictvím NIS2UmsuCG. Když lidé mluví o nových povinnostech zajistit IT bezpečnost pro německé společnosti, mají na mysli tento zákon. Je účinný od 6. prosince 2025.
Jsme šedesátičlenná výrobní společnost. Vztahuje se to na nás skutečně?
Velmi pravděpodobně ano. Zpracovatelský průmysl je uveden v příloze II NIS2 (pokrývající výrobu zdravotnických prostředků, elektroniky, elektrických zařízení, strojů, motorových vozidel a dalších dopravních prostředků). S 60 zaměstnanci překračujete prahovou hodnotu 50 zaměstnanců. Byli byste klasifikováni jako 'důležitý subjekt' podle §28(2) BSIG a vztahují se na vás všechny povinnosti NIS2.
Termín registrace uplynul. Co bychom měli udělat?
Zaregistrujte se okamžitě. Portál BSI na muk.bsi.bund.de stále přijímá registrace. Pozdní registrace je lepší než žádná registrace. Pokuta za nezaregistrování je až 500 000 eur, ale BSI hodnotí dobrou vůli. Společnost, která se zaregistruje o pár týdnů později a může ukázat, že aktivně pracovala na shodě, je v nesrovnatelně lepší pozici než ta, která neudělala nic.
Může za nás shodu s NIS2 zajistit náš externí poskytovatel IT?
Mohou pomoci zavést technická opatření, ale zákonná povinnost zůstává na vaší společnosti. §30 BSIG výslovně stanoví, že můžete outsourcovat provoz, ale nikoli odpovědnost. Vaše vedení zůstává osobně odpovědné podle §38 BSIG. Musíte zdokumentovat, co váš poskytovatel IT dělá, ověřit jeho bezpečnostní opatření a zahrnout ho do svého procesu řízení dodavatelů.
Kolik shoda s NIS2 stojí společnost středního trhu?
U společnosti s 50 až 250 zaměstnanci očekávejte výdaje mezi 20 000 a 80 000 eur v prvním roce, v závislosti na vaší současné bezpečnostní vyspělosti. To zahrnuje posouzení rizik, dokumentaci zásad, technická zlepšení a školení. Společnosti, které již mají zavedena základní opatření IT bezpečnosti, jsou na spodní hranici. Průběžné roční náklady po prvním roce výrazně klesají, protože většina práce je nastavení, nikoli údržba.