Zmeškali jste lhůtu pro registraci u BSI. Co teď?
Lhůtu pro registraci podle §33 BSIG zmeškalo asi 18 000 německých firem. Portál BSI je stále otevřený. Tady je to, na čem teď záleží, a co se skutečně stane, když budete jednat rychle.
Stručná odpověď
Nepropadejte panice. Nejste v tom sami, a není pozdě to napravit. BSI odhadl, že pod NIS2 v Německu spadá zhruba 30 000 subjektů. Lhůta pro registraci uplynula 6. března 2026, ale značný počet firem se stále nezaregistroval. Zdaleka nejste jediní, kdo je v této situaci.
Registrační portál podle §33 BSIG je stále otevřený. Zaregistrovat se můžete ještě dnes. BSI dal najevo, že přednostně bude vymáhat povinnosti vůči firmám, které je zcela ignorují, nikoli vůči těm, které se zaregistrovaly pozdě, ale jednají v dobré víře. Pozdě je lepší než nikdy, a „nikdy“ je jediná opravdu nebezpečná možnost.
Klíčové je jednat hned, doložit, že jste začali, a pustit se do skutečné práce na shodě. Pozdní registrace s viditelným pokrokem vypadá pro regulátora zásadně jinak než žádná registrace.
1. Ověřte, že do působnosti skutečně spadáte
Než se zaregistrujete, ověřte, že se na vaši firmu NIS2 vztahuje. Kritéria jsou v §28 BSIG: musíte působit v jednom z 18 uvedených odvětví A zároveň splňovat velikostní práh (50+ zaměstnanců nebo roční obrat 10+ mil. EUR). Pokud si nejste jistí, zkontrolujte odvětvové seznamy BSI v příloze I a příloze II směrnice NIS2. Mnoho firem se domnívá, že jsou mimo působnost, i když nejsou, a naopak. Pokud si opravdu nejste jistí, vyžádejte si před registrací právní stanovisko, ale nepoužívejte nejistotu jako výmluvu k odkladu.
2. Okamžitě se zaregistrujte přes portál BSI
Přejděte na registrační portál NIS2 u BSI a dokončete registraci podle §33 BSIG. Budete potřebovat: údaje o firmě, zařazení do odvětví, kontaktní osobu pro otázky kybernetické bezpečnosti a rozsahy IP adres vašich kritických systémů. Samotná registrace zabere asi 30 minut, pokud máte informace připravené. Udělejte to ještě dnes. Každý den čekání zvětšuje mezeru mezi lhůtou a datem vaší registrace.
3. Doložte, že jste začali
Vytvořte písemný záznam, klidně i jednoduché interní memo, který doloží, kdy jste se o svých povinnostech podle NIS2 dozvěděli, kdy jste se zaregistrovali a jaké kroky podnikáte. Tím vznikne papírová stopa prokazující dobrou víru. Pokud se BSI někdy zeptá, proč jste byli pozdě, „povinnost jsme zjistili, okamžitě se zaregistrovali a práci na shodě zahájili dne [datum]“ je silná odpověď.
4. Začněte se skutečnou prací na shodě
Registrace je jen první krok. §30 BSIG vyžaduje zavedení opatření pro řízení rizik v oblasti kybernetické bezpečnosti. Začněte od základů: inventář aktiv, metodika hodnocení rizik a postupy pro hlášení incidentů. Nemusíte být plně ve shodě přes noc, ale musíte na tom viditelně pracovat. BSI bude sledovat vývoj, ne jen aktuální stav.
5. Při nejasné působnosti zvažte právní poradenství
Pokud se vaše firma pohybuje blízko prahu (kolem 50 zaměstnanců nebo obratu 10 mil. EUR), působí v odvětví, které lze vykládat více způsoby, nebo má složitou korporátní strukturu, poraďte se s právníkem se specializací na IT regulaci. Náklady na právní stanovisko (2 000 až 5 000 EUR) jsou zanedbatelné ve srovnání s náklady na nesoulad nebo na zbytečnou shodu. Některá oborová sdružení (jako Bitkom nebo BDI) nabízejí svým členům i poradenství k působnosti NIS2.
Jaká jsou skutečná rizika pozdní registrace?
Upřímnost ohledně rizik vám pomůže přijímat přiměřená rozhodnutí. Důsledky jsou reálné, ale ne katastrofální, pokud budete jednat hned.
Správní pokuty
§65 BSIG stanoví pokuty až do výše 500 000 EUR konkrétně za porušení registrační povinnosti. V praxi má BSI omezené vymáhací kapacity a soustředí se na to, aby firmy dostal do systému, nikoli na trestání opozdilců. Firma, která se zaregistruje pozdě a prokáže aktivní úsilí o shodu, pravděpodobně nebude čelit maximální sankci. Firma, která se nezaregistruje nikdy, je jiný příběh.
Příkazy ke splnění povinností
BSI může vydat závazné příkazy, které vám uloží zaregistrovat se a zavést konkrétní opatření v dané lhůtě. Nesplnění takového příkazu právní situaci výrazně zhorší. Proaktivní registrace, byť pozdní, této eskalaci zcela předejde.
Osobní odpovědnost vedení
§38 BSIG činí Geschäftsführung osobně odpovědnou za zajištění shody s NIS2. Pokud vaše firma spadá do působnosti a vy jako vedení jste vědomě odkládali registraci, vzniká tím osobní expozice. Tuto odpovědnost nelze vyloučit usnesením společníků. Důležitou ochranou je doložit, že jste jednali, jakmile jste se o povinnosti dozvěděli.
Zvýšená pozornost při budoucích auditech
U klíčových subjektů provádí BSI pravidelné audity. Pozdní registrace bude v časové ose vaší shody viditelná. Dobře doložený proces dohánění, který ukazuje systematické zlepšování, je však vnímán velmi odlišně od vzorce zanedbávání. Auditoři posuzují vývoj, nejen výchozí bod.
Registrační mezera u NIS2 není primárně způsobena nedbalostí. Německý legislativní proces se opakovaně zdržel: NIS2UmsuCG byl přijat měsíce po původní lhůtě pro transpozici EU. Mnoho firem rozumně čekalo, až bude německý zákon dokončen, než začaly jednat. Jiné nevěděly, že do působnosti spadají, protože definice odvětví se oproti starému režimu KRITIS dramaticky rozšířily.
Samotný BSI veřejně přiznal rozsah této registrační mezery. Úřad zaujal pragmatický postoj: prioritou je dostat všech 30 000 subjektů do registrace a do systému shody, nikoli trestat první vlnu pozdě registrovaných. Tato pragmatičnost má své meze. Platí pro firmy, které aktivně pracují na shodě, ne pro ty, které trpělivost BSI využívají jako výmluvu k nečinnosti.
Časté dotazy
Je registrační portál BSI stále otevřený?
Ano. Registrační portál podle §33 BSIG zůstává otevřený. Neexistuje lhůta, po jejímž uplynutí byste se už nemohli zaregistrovat. Povinnost je trvalá. Lhůta určovala, kdy jste se zaregistrovat měli, ne kdy jste mohli. Zaregistrujte se nyní.
Jaká je pokuta za pozdní registraci?
§65 BSIG stanoví pokuty až do výše 500 000 EUR za porušení registrační povinnosti. Pokuty se však posuzují případ od případu s ohledem na závažnost, dobu trvání a na to, zda firma jednala v dobré víře. Firma, která se zaregistruje o pár měsíců později a prokáže aktivní úsilí o shodu, čelí velmi odlišnému rizikovému profilu než firma, která povinnost zcela ignoruje.
Ovlivní pozdní registrace mé ostatní povinnosti podle NIS2?
Ne. Vaše povinnosti podle §30 BSIG (opatření kybernetické bezpečnosti), §32 (hlášení incidentů) a §38 (odpovědnost vedení) existují nezávisle na tom, zda jste se zaregistrovali. Registrace povinnosti nevytváří, plní jen jednu z nich. Ostatní povinnosti platí od okamžiku, kdy splníte kritéria působnosti, bez ohledu na stav registrace.
Mohu se zaregistrovat, když si nejsem jistý, zda spadáme do působnosti?
Ano, a BSI doporučuje při nejistotě raději se přiklonit k registraci. Registrace v případě, že se ukáže, že do působnosti nespadáte, nemá žádné negativní důsledky. Registraci lze opravit. Neregistrace v případě, že do působnosti spadáte, nese reálné právní riziko. V případě pochybností se zaregistrujte.
Co když jsme se zaregistrovali, ale práci na shodě jsme nezačali?
Registrace bez práce na shodě je jako podat daňové přiznání, ale daň nezaplatit. Splnili jste jednu povinnost, ale nikoli ty věcné. Začněte s opatřeními podle §30 BSIG hned: inventář aktiv, hodnocení rizik, postupy pro hlášení incidentů. BSI očekává, že registrované subjekty aktivně pracují na shodě, ne že jen sedí na registračním čísle.
- BSI, registrační statistiky NIS2 a veřejná vyjádření k přístupu k vymáhání (2025)
- G DATA CyberDefense, průzkum povědomí o NIS2: 44 % firem středního trhu si není vědomo svých povinností (2024)
- BSIG, §33 (registrační povinnost), §65 (správní pokuty), §38 (odpovědnost vedení)
- NIS2UmsuCG, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI, parlamentní dokumentace a metodika k implementaci NIS2UmsuCG