Analýza mezer v registraci NIS2
BSI odhaduje přibližně 30 000 subjektů podléhajících NIS2 v Německu. Termín registrace uplynul 6. března 2026. Významná část společností v rozsahu se stále nezaregistrovala, což je vystavuje vymáhání podle §65 BSIG.
§33 BSIG vyžaduje, aby se každý subjekt spadající pod NIS2 (ať už zásadní nebo důležitý subjekt) zaregistroval u Bundesamt für Sicherheit in der Informationstechnik (BSI). To není volitelné. Registrační povinnost existuje nezávisle na tom, zda společnost zavedla nějaká opatření kybernetické bezpečnosti. Nejprve se musíte zaregistrovat, pak zajistit shodu.
Registrační portál BSI (muk.bsi.bund.de) byl spuštěn 6. ledna 2026, jeden měsíc po nabytí účinnosti BSIG. Termín registrace podle §33 BSIG byl 6. března 2026 (3 měsíce po nabytí účinnosti). Navzdory jasné právní povinnosti a dvouměsíčnímu oknu se významná část z odhadovaných 29 000 až 30 000 subjektů v rozsahu do termínu nezaregistrovala. Průzkum společnosti G DATA zjistil, že 44 % dotčených společností si svých povinností podle NIS2 vůbec nebylo vědomo.
Mezera v registraci je obzvláště znepokojivá, protože registrace je předpokladem pro dohledový režim BSI. Neregistrované subjekty nejsou neviditelné, jsou ve výchozím stavu v rozporu. Až BSI začne se systematickým vymáháním (které signalizuje pro rok 2026), neregistrované společnosti čelí sankcím nejen za chybějící opatření kybernetické bezpečnosti, ale i za samotné porušení registrace, samostatný delikt podle §65 BSIG.
~29 000-30 000
Odhadované subjekty v rozsahu
Vlastní odhad BSI ohledně subjektů podléhajících povinnostem NIS2 podle NIS2UmsuCG, pokrývající zásadní i důležité subjekty.
44 %
Nevědomí si povinností NIS2
Průzkum G DATA (2024): 44 % německých společností středního trhu nevědělo, že se na ně NIS2 vztahuje, ještě před nabytím účinnosti zákona.
2 měsíce
Registrační okno
Portál BSI byl spuštěn 6. ledna 2026. Termín registrace byl 6. března 2026, dvouměsíční okno pro registraci přibližně 30 000 subjektů.
§33 BSIG
Právní základ registrace
Registrace je vyžadována bez zbytečného odkladu (unverzüglich) poté, co se zjistí, že subjekt spadá do rozsahu. Neexistuje žádné ochranné období, povinnost je okamžitá od nabytí účinnosti zákona.
Proč mezera existuje
Čtyři strukturální faktory vysvětlují, proč se většina německých subjektů NIS2 nezaregistrovala.
Nedostatek povědomí
Průzkum G DATA provedený v roce 2024 zjistil, že 44 % německých společností středního trhu nevědělo, že se na ně NIS2 vztahuje. Kritéria rozsahu (více než 50 zaměstnanců nebo obrat 10 milionů EUR v 18 pokrytých odvětvích) nejsou pro společnosti, které nikdy neměly co do činění s regulací IT bezpečnosti, samozřejmá. Mnoho společností v odvětvích jako odpadové hospodářství, výroba potravin a chemická výroba se nepovažuje za 'kritickou infrastrukturu'.
Složitost určení rozsahu
Určení, zda společnost spadá pod NIS2, vyžaduje porovnání podnikání s přílohou I a II směrnice NIS2 (transponovanou do §28 BSIG). Definice odvětví odkazují na kódy NACE, prahové hodnoty obratu a počty zaměstnanců, ale hraničních případů je mnoho. Společnosti se smíšenými obchodními liniemi, částečným pokrytím odvětví nebo skupinovými strukturami čelí skutečné nejistotě, zda jsou v rozsahu.
Omezené zdroje
Německé společnosti typu Mittelstand v rozmezí 50-250 zaměstnanců obvykle postrádají vyhrazený personál pro shodu nebo informační bezpečnost. Osoba odpovědná za 'IT' je často odpovědná i za správu budov, nákup a vše ostatní, co zahrnuje počítač. Registrace NIS2 vyžaduje porozumění regulačnímu textu, klasifikaci odvětví společnosti a orientaci ve vládním portálu, úkoly, které spadají mimo běžný provoz.
Legislativní nejistota
NIS2UmsuCG prošel více návrhy a byl několikrát odložen, než byl konečně přijat. Mnoho společností přijalo přístup 'počkat a uvidíme' a očekávalo další změny nebo prodloužené termíny. To byla racionální, ale nesprávná sázka, zákon byl přijat, registrační povinnost je účinná a BSI prodloužení nenabízí.
Správní pokuty
§65 BSIG stanoví pokuty až do výše 10 milionů EUR nebo 2 % celosvětového ročního obratu pro zásadní subjekty a až 7 milionů EUR nebo 1,4 % pro wichtige Einrichtungen. Nezaregistrování je samostatné porušení odlišné od nesouladu s hmotnými bezpečnostními opatřeními, což znamená, že společnosti mohou čelit sankcím za obojí.
Osobní odpovědnost vedení
Podle §38 BSIG je Geschäftsleitung osobně odpovědné za zajištění shody s povinnostmi NIS2, včetně registrace. Jednatel, který společnost nezaregistruje, osobně porušuje své zákonné povinnosti a vytváří vystavení nárokům na osobní odpovědnost ze strany společnosti nebo jejích společníků.
Priorita vymáhání
BSI uvedlo, že upřednostní vymáhání vůči subjektům, které se nezaregistrovaly, protože nezaregistrování signalizuje úplný nesoulad. Společnost, která se zaregistrovala, ale pracuje na opatřeních, prokazuje dobrou vůli. Společnost, která se ani nezaregistrovala, nemá žádnou obranu probíhajícím implementačním úsilím.
Reputační a obchodní dopad
Požadavky NIS2 na dodavatelský řetězec (§30(2)(4) BSIG) znamenají, že společnosti v rozsahu musí posuzovat stav kybernetické bezpečnosti svých dodavatelů. Neregistrovaná společnost nemůže svým zákazníkům prokázat shodu s NIS2, což může vést ke ztrátě zakázek nebo k označení v auditech dodavatelského řetězce. Tento obchodní tlak se bude zrychlovat, jak více společností zavede prověřování dodavatelského řetězce.
- BSI - registrační statistiky NIS2, veřejná prohlášení (2025)
- G DATA CyberDefense - průzkum povědomí o NIS2: 44 % společností středního trhu si není vědomo povinností (2024)
- G DATA CyberDefense - průzkum povědomí o NIS2 mezi německými společnostmi středního trhu (2024)
- BSIG - §33 (registrační povinnost), §65 (správní pokuty), §38 (odpovědnost vedení)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie (zákon o implementaci NIS2)
- BMI - Referentenentwürfe a parlamentní dokumentace k NIS2UmsuCG