Pokuty NIS2: čím skutečně riskujete
Čtyři stupně pokut, konkrétní příklady výpočtu pro tři velikosti společností, realistické scénáře vymáhání a osobní odpovědnost vedení, kterou pojištění D&O pravděpodobně nekryje.
Rámec pokut je reálný, ale přiměřený
Pokuty NIS2 vycházejí ze struktury pokut podle GDPR. Jsou navrženy tak, aby byly dostatečně vysoké a společnosti nemohly pokuty brát jako běžný náklad podnikání. Maximální částky (až 10 mil. EUR nebo 2 % celosvětového obratu) plní titulky, ale realita pro většinu středně velkých společností je členitější. Pokuty se vyměřují podle závažnosti porušení, velikosti společnosti, toho, zda společnost jednala v dobré víře, a podle nápravných kroků, které podnikla.
To ovšem neznamená, že rámec pokut je teoretický. BSI má vymáhací pravomoci, pokuty jsou kodifikovány v §65 BSIG a osobní odpovědnost vedení podle §38 je samostatný právní mechanismus. Ignorovat NIS2 není životaschopná strategie řízení rizik. Pochopení skutečné struktury pokut vám pomáhá činit přiměřená rozhodnutí o investicích do souladu: ani nepropadat panice, ani rizika nezlehčovat.
Až 10 000 000 EUR nebo 2 % celosvětového ročního obratu
Zásadní subjekty: porušení opatření kybernetické bezpečnosti
Platí pro zásadní subjekty (sektory z přílohy I), které nezavedou odpovídající opatření kybernetické bezpečnosti podle §30 BSIG, neohlásí významné incidenty podle §32 nebo jinak poruší hmotné povinnosti NIS2. Pokuta činí VYŠŠÍ z částek 10 mil. EUR nebo 2 % celosvětového obratu za předchozí účetní rok.
Až 7 000 000 EUR nebo 1,4 % celosvětového ročního obratu
Důležité subjekty: porušení opatření kybernetické bezpečnosti
Platí pro wichtige Einrichtungen (důležité subjekty, sektory z přílohy II) za stejná hmotná porušení. Nižší strop odráží zásadu přiměřenosti směrnice NIS2: důležité subjekty působí v sektorech s nižší kritičností. Pokuta činí VYŠŠÍ z částek 7 mil. EUR nebo 1,4 % celosvětového obratu za předchozí účetní rok.
Až 500 000 EUR
Porušení registrace
Zvláštní pokuta za neregistraci u BSI podle §33 BSIG nebo za uvedení nesprávných registračních údajů. Jde o samostatné porušení: pokutu lze uložit za neregistraci, i když jsou vaše skutečná opatření kybernetické bezpečnosti odpovídající. Pokuta za registraci platí pro zásadní i důležité subjekty.
Až 500 000 EUR
Porušení ohlašování
Zvláštní pokuta za neohlášení významných incidentů v požadovaných lhůtách (včasné varování do 24 h, oznámení do 72 h, závěrečná zpráva do 1 měsíce) nebo za neposkytnutí požadovaných informací během vyšetřování BSI. Každé selhání v ohlašování je samostatným potenciálním porušením.
| Typ společnosti | Roční obrat | Max. pokuta (zásadní) | Max. pokuta (důležité) |
|---|---|---|---|
| Menší střední firma | 15 000 000 EUR | 10 000 000 EUR (uplatní se pevný strop, 2 % by činila jen 300 000 EUR) | 7 000 000 EUR (uplatní se pevný strop, 1,4 % by činilo jen 210 000 EUR) |
| Střední firma | 50 000 000 EUR | 10 000 000 EUR (uplatní se pevný strop, 2 % by činila jen 1 000 000 EUR) | 7 000 000 EUR (uplatní se pevný strop, 1,4 % by činilo jen 700 000 EUR) |
| Velký podnik | 200 000 000 EUR | 10 000 000 EUR (uplatní se pevný strop, 2 % by činila 4 000 000 EUR) | 7 000 000 EUR (uplatní se pevný strop, 1,4 % by činilo 2 800 000 EUR) |
Čtyři realistické scénáře vymáhání
Co skutečně spouští vymáhání ze strany BSI a jak vypadají důsledky v praxi.
Pozdní nebo chybějící registrace u BSI
Vaše společnost splňuje kritéria působnosti NIS2, ale nezaregistrovala se u BSI podle §33 BSIG. BSI vás identifikuje prostřednictvím sektorových databází, seznamů členů oborových sdružení nebo obchodních rejstříků.
BSI vydá příkaz k zajištění souladu vyžadující registraci v daném termínu. Pokud vyhovíte, věc tím může skončit, zvláště pokud prokážete, že jste si toho skutečně nebyli vědomi. Pokud příkaz ignorujete, lze vyměřit pokutu až 500 000 EUR. Mezera v registraci navíc vytváří doklad o tom, že jste byli od počátku v nesouladu, což oslabuje vaši pozici u jakéhokoli jiného porušení NIS2.
Neohlášení významného incidentu
Vaše společnost utrpí útok ransomware, který naruší služby na 48 hodin. Technicky reakci zvládnete, ale BSI to neohlásíte. Incident se stane veřejně známým díky mediálnímu pokrytí nebo stížnostem zákazníků.
Nepodání úvodního včasného varování do 24 hodin je samostatným porušením oddělitelným od nepodání oznámení do 72 hodin a závěrečné zprávy. Každé z nich je nezávislým spouštěčem pokuty. BSI věc prošetří a zjistí, že žádná zpráva nebyla podána. Kromě pokuty (až 500 000 EUR za každé selhání v ohlašování) vyvolává neohlášení otázky ohledně celkového stavu vašeho souladu a může spustit širší audit.
Žádný zavedený proces řízení rizik
Během auditu BSI (u zásadních subjektů) nebo po incidentu (u důležitých subjektů) BSI zjistí, že vaše společnost nemá zdokumentované hodnocení rizik, žádnou evidenci aktiv ani žádná opatření kybernetické bezpečnosti nad rámec běžného provozu IT.
Jde o nejzávažnější hmotné porušení: úplnou absenci souladu s §30 BSIG. Uplatní se maximální pokuty (10 mil. EUR / 2 % u zásadních, 7 mil. EUR / 1,4 % u důležitých). V praxi by BSI pravděpodobně nejprve vydalo závazné pokyny a pokuty by uložilo za nedodržení těchto pokynů. Absence jakéhokoli procesu řízení rizik však neponechává prostor pro obhajobu typu „snažili jsme se v dobré víře“.
Mezery v zabezpečení dodavatelského řetězce
Vaše společnost zajišťuje provoz IT externě u poskytovatele řízených služeb. U poskytovatele dojde k úniku dat, který odhalí vaše zákaznická data. BSI věc prošetří a zjistí, že chybí hodnocení bezpečnosti dodavatele, smluvní požadavky na kybernetickou bezpečnost i sledování bezpečnostního stavu poskytovatele.
Za bezpečnost svého dodavatelského řetězce odpovídáte podle §30 odst. 2 bodu 4 BSIG bez ohledu na to, kde k úniku došlo. Absence náležité prověrky dodavatele znamená, že jste nezavedli požadovaná opatření. To může spustit pokuty v rámci opatření kybernetické bezpečnosti (až 10 mil. EUR / 7 mil. EUR podle typu subjektu) a samotný incident navíc spouští ohlašovací povinnosti. Pokud zároveň neohlásíte, pokuty se sčítají.
§38 BSIG vytváří mechanismus osobní odpovědnosti vedení společnosti oddělený od správních pokut vůči společnosti. Geschäftsführung musí schválit opatření řízení rizik v oblasti kybernetické bezpečnosti, dohlížet na jejich zavádění a absolvovat školení kybernetické bezpečnosti. Pokud jsou tyto povinnosti zanedbány a společnosti v důsledku toho vznikne škoda, může být vedení za tuto škodu osobně odpovědné. Jde o občanskoprávní odpovědnost: nárok na náhradu škody uplatňuje společnost (nebo její insolvenční správce) vůči jednotlivým členům vedení.
Zásadní je, že §38 BSIG stanoví, že této odpovědnosti se nelze vzdát usnesením společníků. I v GmbH řízené vlastníkem, kde je Geschäftsführer zároveň jediným společníkem, odpovědnost existuje. Pojistky D&O obvykle vylučují regulatorní pokuty a sankce a krytí odpovědnosti specifické pro NIS2 je oblastí, která se teprve vyvíjí. Prověřte si konkrétní pojistku, místo abyste krytí předpokládali. Praktický důsledek: soulad s NIS2 je nyní otázkou osobního řízení rizik pro každého Geschäftsführera, nikoli jen kolonkou v rámci správy společnosti.
Často kladené otázky
Jaká je maximální pokuta pro mou společnost?
Závisí na zařazení vašeho subjektu. Zásadní subjekty (sektory z přílohy I): vyšší z částek 10 mil. EUR nebo 2 % celosvětového ročního obratu. Důležité subjekty (sektory z přílohy II): vyšší z částek 7 mil. EUR nebo 1,4 % celosvětového ročního obratu. Pro většinu středně velkých společností (obrat pod 500 mil. EUR) se uplatní pevně stanovená částka, protože 2 % obratu jsou méně než 10 mil. EUR. Za porušení registrace a ohlašování platí samostatné pokuty až 500 000 EUR.
Mohu být jako Geschäftsführer pokutován osobně?
Správní pokuty podle §65 BSIG se vyměřují společnosti, nikoli jednotlivci. §38 BSIG však vytváří osobní občanskoprávní odpovědnost za škody vzniklé v důsledku neschválení a nedohledu nad opatřeními kybernetické bezpečnosti. To znamená, že nesete osobní odpovědnost za ztráty společnosti: nejde o státní pokutu, ale potenciálně o nárok na náhradu škody. V případě insolvence může tento nárok proti vám osobně uplatnit insolvenční správce.
Kryje pojištění D&O pokuty podle NIS2?
Většina pojistek D&O vylučuje regulatorní pokuty a správní sankce. Ty jsou podle německého práva obvykle nepojistitelné. Občanskoprávní odpovědnost podle §38 BSIG (nároky na náhradu škody) může být pojištěním D&O kryta v závislosti na podmínkách vaší pojistky. Prověřte si konkrétní pojistku a expozici vůči NIS2 proberte se svým makléřem. Nepředpokládejte, že krytí existuje. Vyžádejte si písemné potvrzení toho, co je a co není kryto.
Co spouští vymáhání ze strany BSI?
U zásadních subjektů: BSI může provádět proaktivní audity a kontroly bez konkrétního spouštěče. U důležitých subjektů: vymáhání je obvykle reaktivní, spouští jej ohlášený incident, stížnost třetí strany, mediální pokrytí úniku nebo neregistrace. BSI také křížově porovnává obchodní rejstřík a sektorové databáze, aby identifikovalo subjekty, které by měly být registrované, ale nejsou.
Jsou pokuty úměrné velikosti společnosti?
Ano, záměrně. Výpočet z procenta obratu zajišťuje, že pokuty rostou s velikostí společnosti. Pro společnost s obratem 15 mil. EUR je maximální pokuta zásadního subjektu 10 mil. EUR (pevný strop, protože 2 % jsou jen 300 000 EUR). Pro společnost s obratem 600 mil. EUR je maximum 12 mil. EUR (2 % obratu převyšují dolní hranici 10 mil. EUR). BSI je navíc povinno při vyměřování pokut zohlednit přiměřenost: velikost společnosti, závažnost porušení, dobu trvání i snahu v dobré víře, to vše se promítá do skutečné výše pokuty.
- BSIG: §38 (odpovědnost vedení), §65 (správní pokuty a rámec sankcí)
- Směrnice NIS2 (EU) 2022/2555: článek 34 (opatření dozoru u zásadních subjektů), článek 35 (opatření dozoru u důležitých subjektů), článek 36 (sankce)
- NIS2UmsuCG: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI: parlamentní dokumentace k podobě rámce sankcí a úvahám o přiměřenosti
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft): analýza krytí regulatorní odpovědnosti pojištěním D&O (2025)