NIS2UmsuCG: německý transpoziční zákon NIS 2
NIS 2 je směrnice EU. Článek 41 uložil každému členskému státu zapsat ji do vnitrostátního práva do 17. října 2024. Německo tuto lhůtu nestihlo. NIS2UmsuCG byl nakonec přijat a vložil povinnosti do novelizovaného BSIG. Zdrojem je stále směrnice.
Stručná verze
NIS 2 je směrnice, nikoli nařízení. Směrnice zavazují členské státy k výsledku. Každá země musí napsat vlastní vnitrostátní zákon, který tohoto výsledku dosáhne. NIS 2 stanoví jeden celoevropský standard kybernetických povinností napříč 27 transpozičními zákony.
Německý transpoziční zákon se nazývá NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Neexistuje jako samostatná kniha. Je to novelizační zákon, který přepisuje zákon o BSI (BSIG). Když dnes němečtí praktici říkají 'BSIG', myslí tím BSIG ve znění novelizovaném NIS2UmsuCG.
Německo nestihlo lhůtu 17. října 2024, kterou stanovil článek 41 NIS 2. NIS2UmsuCG byl přijat později. K polovině roku 2026 je zákon v platnosti. Povinnosti základních a důležitých subjektů jsou v novelizovaném BSIG.
Směrnice NIS 2 (EU) 2022/2555
Tato směrnice stanoví opatření, jejichž cílem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v celé Unii.
NIS 2 je směrnice. Byla přijata 14. prosince 2022 a vstoupila v platnost 16. ledna 2023. Zavazuje každý členský stát ke stejnému standardu. Podstata každého vnitrostátního zákona NIS 2 v EU vychází z tohoto textu.
Článek 41 odst. 1 NIS 2
Do 17. října 2024 přijmou a zveřejní členské státy předpisy nezbytné pro dosažení souladu s touto směrnicí. Neprodleně o nich uvědomí Komisi. Tyto předpisy použijí ode dne 18. října 2024.
Článek 41 je transpoziční ustanovení. Stanovil dvě data. Vnitrostátní zákony musely být přijaty do 17. října 2024. Povinnosti se musely uplatňovat od 18. října 2024. Německo nestihlo ani jedno. Komise zahájila v listopadu 2024 řízení o nesplnění povinnosti proti opožděně transponujícím členským státům.
NIS2UmsuCG → novelizovaný BSIG (Německo)
NIS2UmsuCG novelizuje zákon o BSI za účelem provedení směrnice (EU) 2022/2555.
NIS2UmsuCG je německý novelizační zákon. Přepisuje BSIG. Novelizovaný BSIG je to, podle čeho vás v Německu auditor nebo BSI poměří. Znění úzce sleduje směrnici, někdy slovo od slova.
Rozsah a deset opatření
§ 28 BSIG vymezuje, kdo spadá do rozsahu: 'zvláště důležité' a 'důležité' subjekty, posuzované podle odvětví (příloha I a II NIS 2) a velikosti (50+ zaměstnanců nebo 10 mil. EUR+ obratu, s výjimkami). § 30 BSIG uvádí deset kybernetických opatření, která musí každý dotčený subjekt zavést. § 30 transponuje čl. 21 odst. 2 směrnice.
Hlášení incidentů a registrace
§ 32 BSIG stanoví kaskádu hlášení incidentů: 24 hodin pro včasné varování, 72 hodin pro hlášení incidentu, jeden měsíc pro závěrečné hlášení. Transponuje článek 23. § 33 BSIG vyžaduje registraci u BSI. Lhůta pro registraci byla 6. března 2026. § 33 transponuje článek 27.
Statutární orgán a pokuty
§ 38 BSIG činí statutární orgán osobně odpovědným za soulad a vyžaduje pravidelné školení. Transponuje článek 20. § 65 BSIG stanoví úrovně pokut: až 10 mil. EUR nebo 2 % celosvětového obratu pro zvláště důležité subjekty, až 7 mil. EUR nebo 1,4 % pro důležité subjekty. § 65 transponuje článek 34.
NIS 2 je zdroj; BSIG jej kopíruje
Podstata každé povinnosti pochází ze směrnice. NIS2UmsuCG kopíruje článek 21 do § 30 BSIG téměř slovo od slova. Totéž platí pro články 20, 23, 27 a 34. Chcete-li vědět, co povinnost znamená, čtěte nejprve směrnici. Paragraf BSIG čtěte kvůli specificky německé mechanice (který orgán, který portál, která úroveň pokut).
Kde se liší, má přednost směrnice
Pokud se znění BSIG odchyluje od směrnice a rozdíl je podstatný, vyhrává směrnice. To je obecný princip práva EU: členský stát nemůže směrnici provést nedostatečně tím, že napíše mírnější vnitrostátní text. Vnitrostátní soudy čtou vnitrostátní právo ve světle směrnice. Vnitrostátní orgány nemohou vymáhat proti směrnici.
NIS2UmsuCG → BSIG, pod dohledem BSI
NIS2UmsuCG novelizuje BSIG. Bundesamt für Sicherheit in der Informationstechnik (BSI) je vnitrostátní příslušný orgán. Registrace probíhá přes portál BSI. BSI rovněž zveřejňuje Infopakete a odkazuje na IT-Grundschutz jako praktickou cestu k zavedení.
Přehled transpozice ENISA
ENISA, agentura EU pro kybernetickou bezpečnost, zveřejňuje přehled stavu transpozice. Ukazuje, které členské státy transponovaly, které jsou ve skluzu a které jsou stále v legislativním procesu. Použijte jej ke kontrole stavu jakéhokoli vnitrostátního zákona NIS 2, nejen toho německého.
Rovnocenné transpoziční zákony
Nizozemsko: Cyberbeveiligingswet. Rakousko: NISG. Francie: ordonnance n° 2024-1184. Belgie: NIS2-Wet. Každý z nich transponuje tutéž směrnici do svého národního jazyka a právního stylu. Povinnost v § 30 BSIG má přesný protějšek v každém z těchto zákonů. Znění se liší; povinnost je stejná.
Směrnice mě nezavazuje, zavazuje mě jen BSIG.
Povinnosti působí prostřednictvím BSIG, ano. Ale BSIG se čte ve světle směrnice. Pokud vnitrostátní orgán nebo soud vykládá nejednoznačné ustanovení BSIG, dívá se na směrnici. Pro celoevropské otázky (přeshraniční smlouvy s dodavateli, riziková politika napříč jurisdikcemi) je správnou referencí směrnice. BSIG je německé provedení, nikoli uzavřený soběstačný kodex.
Počkáme, až bude zákon v platnosti, než zajistíme soulad.
Směrnice se uplatňuje od 18. října 2024. Německá opožděná transpozice neoddálila vaši věcnou povinnost. Pojistitelé kybernetických rizik, velcí zákazníci a auditní orgány začali žádat o důkazy NIS 2 v roce 2025, ještě před přijetím NIS2UmsuCG. Jakmile byl BSIG novelizován, staly se povinnosti přímo vymahatelnými. Opožděná transpozice zkrátila náběh, neprodloužila jej.
NIS2UmsuCG je jedinečný německý zákon.
Každý členský stát má rovnocennou transpozici. Povinnosti jsou stejné. Liší se pouze znění, dohledový úřad a úroveň pokut. Pokud působíte ve třech zemích EU, nepotřebujete tři rizikové rámce. Potřebujete jeden rámec, který splňuje směrnici, a tři krátké národní přílohy pro místní mechaniku (který portál, který formát lhůty, který orgán).
Většina provozovatelů z řad Mittelstand by měla číst oba. Směrnici kvůli podstatě. BSIG kvůli procesním specifikům. Čtěte čl. 21 NIS 2 kvůli tomu, co znamená řízení rizik. Čtěte § 30 BSIG kvůli tomu, jak to Německo formuluje a které pokyny BSI platí. Oba dohromady vám řeknou, co dlužíte.
Pro provoz ve více zemích je pracovním textem směrnice. Sestavte svůj registr rizik, svůj playbook pro incidenty a smlouvy s dodavateli podle směrnice. Pak si veďte krátkou národní přílohu pro každou zemi: u kterého orgánu se registrujete, přes který portál hlásíte, která úroveň pokut platí. To udrží jeden věcný rámec s tenkými národními obaly, místo 27 paralelních.
Mapujeme směrnici a BSIG vedle sebe. Každý požadavek na platformě ukazuje článek NIS 2, který transponuje, vedle paragrafu § 30 / § 32 / § 33 / § 38 BSIG, který jej v Německu uvádí do praxe. Stejná povinnost, dvě čtení. Čtete úroveň, která odpovídá tomu, co právě děláte.
Pokud působíte ve více než jedné zemi EU, pohled směrnice zůstává konstantní. Národní obal (který orgán, který portál, která úroveň pokut) se mění podle země. Tentýž model rozšiřujeme na další členské státy (NL, AT, FR) tak, jak přidáváme národní obsah.
- Směrnice (EU) 2022/2555 (NIS 2), článek 41 (transpozice), eur-lex.europa.eu/eli/dir/2022/2555/oj
- NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestag-Drucksache a Bundesgesetzblatt
- Zákon o BSI (BSIG), §§ 28, 30, 32, 33, 38, 65 ve znění novelizovaném NIS2UmsuCG
- Balíček řízení o nesplnění povinnosti Evropské komise z listopadu 2024, výzvy za opožděnou transpozici NIS 2
- Přehled stavu transpozice NIS 2 od ENISA