Vlastní klasifikace podle NIS 2: mlčení BSI není obrana
Většina týmů Mittelstandu čeká na dopis, který nikdy nepřijde. NIS 2 klade povinnost zjistit, zda jste v rozsahu, na vás, a lhůta běží, ať už to ověřujete nebo ne.
Nejdražší mylná představa
Mnoho subjektů Mittelstandu bere absenci dopisu od BSI jako důkaz, že nejsou v rozsahu NIS 2. Mýlí se. Směrnice a §33 BSIG kladou registrační povinnost na subjekt, nikoli na orgán.
Mechanismus je přímočarý. Čl. 27(1) NIS 2 ukládá členským státům zřídit registr zásadních a důležitých subjektů. §33(1) BSIG to transponuje: subjekty se registrují do tří měsíců od splnění podmínek. Lhůta začíná, když splníte kritéria, nikoli když vám to někdo řekne.
V praxi to znamená, že sedmdesátičlenná firma odpadového hospodářství v příloze II může tiše být v rozsahu déle než rok, hromadit pokuty podle §65 BSIG a osobní odpovědnost podle §38 BSIG, dokud konečně někdo nezkontroluje přílohu.
Čl. 27(1) NIS 2 (povinnost registru)
Členské státy vyžadují, aby zásadní a důležité subjekty předložily příslušným orgánům alespoň tyto informace: název; adresu; aktuální kontaktní údaje; odvětví a pododvětví; seznam členských států, kde poskytují služby.
Povinnost běží od subjektu k orgánu, nikoli naopak. V NIS 2 neexistuje žádné ustanovení, které by od orgánu vyžadovalo, aby nejprve identifikoval subjekty v rozsahu.
§33(1) BSIG (tříměsíční lhůta)
Wesentliche und wichtige Einrichtungen registrieren sich innerhalb von drei Monaten nach erstmaligem Eintritt der Voraussetzungen beim Bundesamt.
Tři měsíce od okamžiku, kdy subjekt poprvé splní podmínky. Neexistuje žádná čekací doba na dopis od BSI. Lhůta běží podle vlastního kalendáře subjektu.
Čl. 2 + příloha I/II NIS 2 (odvětví + velikost)
Tato směrnice se vztahuje na veřejné nebo soukromé subjekty typu uvedeného v příloze I nebo II, které se kvalifikují jako střední podniky podle článku 2 přílohy doporučení 2003/361/ES, nebo které překračují stropy pro střední podniky.
O rozsahu rozhodují dvě otázky: jste typem v příloze I nebo II a jste alespoň střední velikosti (více než 50 zaměstnanců a buď obrat nad 10 mil. EUR, nebo bilanční suma nad 10 mil. EUR). Plus přepisy 'bez ohledu na velikost' pro služby vytvářející důvěru, DNS, registry TLD, veřejnou správu, výhradní poskytovatele v členském státě.
Porovnejte přílohu I a II se svým podnikáním
Příloha I jsou zásadní subjekty (energetika, doprava, bankovnictví, finanční trh, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, správa služeb IKT, veřejná správa, kosmický prostor). Příloha II jsou důležité subjekty (poštovní, odpad, chemie, potraviny, výroba, digitální poskytovatelé, výzkum). Porovnávejte podle skutečné činnosti, nikoli podle právní formy.
Porovnejte velikost s definicí MSP v EU
Střední: 50 až 249 zaměstnanců A ZÁROVEŇ (obrat nebo bilanční suma nad 10 mil. EUR). Velký: více než 250 zaměstnanců NEBO obrat nad 50 mil. EUR NEBO bilanční suma nad 43 mil. EUR. Použijte doporučení 2003/361/ES doslovně, počítejte propojené a partnerské podniky podle pravidel doporučení.
Zkontrolujte přepisy bez ohledu na velikost
Výhradní poskytovatel služby v členském státě, ústřední orgány veřejné správy, poskytovatelé služeb DNS, registry názvů TLD, kvalifikovaní poskytovatelé služeb vytvářejících důvěru spadají do rozsahu bez ohledu na velikost. Pomůcka: pokud jste v některém z nich, prahová hodnota velikosti se neuplatní.
Správní pokuta podle §65 BSIG
Až 10 milionů eur nebo 2 procenta celosvětového ročního obratu, podle toho, co je vyšší, pro zásadní subjekty. Až 7 milionů eur nebo 1,4 procenta pro důležité subjekty. Pokuta se připíná k subjektu. Porušením není samotné opoždění registrace; je to související nesoulad s povinnostmi podle čl. 21 a čl. 23, který se nahromadil během tichého období.
Osobní odpovědnost řídicího orgánu podle §38 BSIG
Čl. 20(1) NIS 2 transponovaný do §38 BSIG činí řídicí orgán odpovědným za schvalování opatření pro řízení rizik a dohled nad nimi. Pozdní odhalení není obrana; orgán měl zajistit, aby klasifikace byla provedena.
Eskalace dohledových pravomocí
Čl. 32 NIS 2 umožňuje příslušnému orgánu ukládat povinnosti, požadovat audity a v nejhorším případě pozastavit provoz. Pozdní příchozí mají tendenci přitahovat větší dohled, protože orgán potřebuje ověřit dohánění.
Spusťte ověření použitelnosti ještě dnes
Namapujte svou činnost na přílohu I nebo II, spočítejte zaměstnance a obrat, projděte přepisy bez ohledu na velikost. Výsledek zdokumentujte, i když je záporný. Písemná analýza 'mimo rozsah' je jediná obrana v pozdějším sporu.
Pokud jste v rozsahu, zaregistrujte se do tří měsíců
Přes portál BSI podle §33 BSIG. Vyžaduje organizační certifikát ELSTER, který sám trvá dva až tři týdny. Pokud je registrační lhůta napjatá, začněte nejprve s žádostí o ELSTER.
Spouštějte ověření každoročně
Přílohy mohou být změněny (přezkum podle čl. 6 NIS 2). Váš počet zaměstnanců a obrat se mění. Pozice 'mimo rozsah' zastará. Naplánujte si roční opětovné ověření.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 2, čl. 3, příloha I, příloha II, čl. 27, www.eur-lex.europa.eu
- Zákon o spolkovém úřadu pro informační bezpečnost (BSIG), §33, §38, §65, www.gesetze-im-internet.de
- Doporučení Komise 2003/361/ES o definici mikropodniků, malých a středních podniků, www.eur-lex.europa.eu
- Zákon o implementaci NIS-2 a posílení kybernetické bezpečnosti (NIS2UmsuCG)
Tato stránka poskytuje strukturovaný návod na základě veřejně dostupných zdrojů (směrnice NIS 2, BSIG, doporučení EU o MSP). Nepředstavuje právní poradenství ve smyslu §2 RDG. Pro konkrétní případy se obraťte na advokáta s oprávněním. Stav k 2026-06-04.