NIS2 v Německu
Německo transponovalo směrnici NIS2 do národního práva zákonem NIS2UmsuCG, kterým zásadně přepracovalo spolkový zákon o kybernetické bezpečnosti (BSIG). Všechny povinnosti platí od 6. prosince 2025.
| Datum | Událost |
|---|---|
| 27. prosince 2022 | Směrnice NIS2 zveřejněna v Úředním věstníku EU L 333 (přijata 14. prosince 2022) |
| 16. ledna 2023 | NIS2 vstupuje v platnost na úrovni EU |
| 17. října 2024 | Lhůta EU pro transpozici (Německo ji nedodrželo) |
| 13. listopadu 2025 | Bundestag schvaluje NIS2UmsuCG |
| 21. listopadu 2025 | Bundesrat dává souhlas |
| 5. prosince 2025 | Zveřejněno ve spolkové sbírce zákonů (Bundesgesetzblatt) |
| 6. prosince 2025 | Nový BSIG vstupuje v platnost, všechny povinnosti platí okamžitě |
| 6. ledna 2026 | Registrační portál BSI spuštěn |
| 6. března 2026 | Lhůta pro registraci u BSI |
| ~2028 | Provozovatelé KRITIS: splatný první doklad o souladu |
Neexistuje žádné přechodné období. Opatření řízení rizik, ohlašování incidentů a odpovědnost vedení platí ode dne, kdy zákon vstoupil v platnost.
| Pojem EU | Německý pojem | Zkratka |
|---|---|---|
| Zásadní subjekt | Besonders wichtige Einrichtung | bwE |
| Důležitý subjekt | Wichtige Einrichtung | wE |
| Provozovatel kritické infrastruktury | Betreiber kritischer Anlagen | KRITIS |
Hierarchie: KRITIS ⊂ zásadní subjekty ⊂ všechny subjekty NIS2. Provozovatelé KRITIS jsou automaticky zařazeni mezi zásadní subjekty.
Pokuty
| Kategorie | Maximální pokuta | Alternativa odvozená z obratu |
|---|---|---|
| Zásadní subjekty | 10 000 000 EUR | 2 % celosvětového ročního obratu skupiny |
| Důležité subjekty | 7 000 000 EUR | 1,4 % celosvětového ročního obratu skupiny |
| Porušení | Maximální pokuta |
|---|---|
| Nezavedení opatření kybernetické bezpečnosti (§30) | 10 mil. EUR / 7 mil. EUR |
| Neohlášení incidentů (§32) | 10 mil. EUR / 7 mil. EUR |
| Nedodržení pokynů BSI | 10 mil. EUR / 7 mil. EUR |
| KRITIS: selhání v ohlašování kritických komponent | 5 000 000 EUR |
| KRITIS: selhání v postupech dokladování auditu | 2 000 000 EUR |
| Porušení registrace, neoznámení BSI | 500 000 EUR |
| Maření kontrol BSI | 500 000 EUR |
| Selhání v dostupnosti kontaktu | 100 000 EUR |
Tři základní povinnosti
Schválení (Billigung)
Vedení musí formálně schválit opatření řízení rizik v oblasti kybernetické bezpečnosti podle §30 BSIG.
Dohled (Überwachung)
Aktivní sledování zavádění, nikoli pasivní povědomí. Vedení musí ověřit, že opatření jsou skutečně zaváděna.
Školení (Schulung)
Povinná osobní účast na školení kybernetické bezpečnosti nejméně každé 3 roky. Tuto povinnost nelze delegovat.
Členové vedení nesou osobní odpovědnost vůči vlastní společnosti, pokud zaviněně poruší tyto povinnosti. Delegování provozních úkolů je přípustné, ale strategická odpovědnost a dohled zůstávají na vedení. Vedení se nemůže hájit nedostatkem technických znalostí.
§38 BSIG výslovně zakazuje smluvní vzdání se odpovědnosti ze strany společníků, které je nepřiměřené stávající nejistotě ohledně práv.
Lhůta: 6. března 2026 (3 měsíce poté, co BSIG vstoupil v platnost).
Registrace probíhá ve dvou krocích: nejprve si založíte účet přes Mein Unternehmenskonto (MUK/ELSTER), poté se zaregistrujete přes portál BSI (v provozu od 6. ledna 2026).
Registrace je povinností sebeidentifikace, BSI vás neoznámí. Společnosti samy musí určit, zda spadají do působnosti. BSI může také společnosti nařídit registraci, pokud zjistí, že do působnosti spadá.
| Aspekt | Zásadní | Důležité |
|---|---|---|
| Dozor | Proaktivní (ex-ante), BSI může auditovat kdykoli | Reaktivní (ex-post), pouze při náznaku nesouladu |
| Maximální pokuta | 10 mil. EUR nebo 2 % celosvětového obratu | 7 mil. EUR nebo 1,4 % celosvětového obratu |
| Požadavky na audit | Namátkové kontroly BSI založené na rizicích | Pouze při odůvodněném podezření |
| Cyklus auditu KRITIS | Každé 3 roky (u provozovatele KRITIS) | Neuplatní se |