NIS2 vs KRITIS: co naprawdę się zmieniło
NIS2 nie zastępuje KRITIS - dramatycznie go rozszerza. Z około 2 000 operatorów do około 30 000 podmiotów, siedem nowych sektorów, osobista odpowiedzialność kierownictwa oraz ściślejsze terminy zgłaszania.
KRITIS była rozgrzewką. NIS2 to główne wydarzenie.
Jeśli Twoja firma była już sklasyfikowana jako KRITIS (Kritische Infrastruktur) w ramach dawnego reżimu BSI-KritisV, wiesz, jak wygląda regulacja cyberbezpieczeństwa. Miałeś do czynienia z audytami BSI, zgłaszaniem incydentów i środkami bezpieczeństwa IT. Dobra wiadomość: Twoja dotychczasowa praca nie idzie na marne. Trudniejsza wiadomość: NIS2 podnosi poprzeczkę, poszerza zakres i dodaje obowiązki, które wcześniej nie istniały.
Jeśli Twoja firma NIE była wcześniej KRITIS, jest to prawdopodobnie Twoje pierwsze zetknięcie z obowiązkową regulacją cyberbezpieczeństwa. NIS2 - transponowana do prawa niemieckiego poprzez znowelizowaną BSIG - wprowadza około 28 000 dodatkowych firm w obręb regulacyjny. Wiele z tych firm nigdy nie zgłosiło incydentu organowi rządowemu, nigdy nie było audytowanych pod kątem bezpieczeństwa IT i nigdy nie myślało o cyberbezpieczeństwie jako temacie zgodności prawnej.
| Aspekt | KRITIS (BSI-KritisV) | NIS2 / BSIG (nowy) |
|---|---|---|
| Zakres | Około 2 000 operatorów infrastruktury krytycznej w 10 sektorach, identyfikowanych przez przekroczenie określonych wartości progowych (np. 500 000 obsługiwanych osób) | Około 30 000 podmiotów w 18 sektorach, z wykorzystaniem prostego progu wielkości: 50+ pracowników lub 10 mln EUR+ rocznego przychodu. Obejmuje obie kategorie: „kluczowe” i „ważne” |
| Model progowy | Sektorowe progi ilościowe (np. 500 000 zaopatrywanych osób dla energetyki, 500 000 mieszkańców dla wody). Skomplikowane do obliczenia, wiele przypadków granicznych | Jednolite kryteria wielkości: średnie przedsiębiorstwo (50+ pracowników lub 10 mln EUR+ przychodu) we wszystkich sektorach. Znacznie prostsze do ustalenia. Niektóre sektory mają dodatkowe kryteria niezależnie od wielkości |
| Rejestracja | Samodeklaracja do BSI z opcjonalną weryfikacją. Brak formalnego portalu rejestracyjnego dla większości operatorów KRITIS początkowo | Obowiązkowa rejestracja przez portal BSI na podstawie §33 BSIG. Należy podać dane podmiotu, klasyfikację sektorową, osobę kontaktową oraz zakresy IP. Odrębny przepis karny za brak rejestracji |
| Zgłaszanie incydentów | Poważne incydenty zgłaszane do BSI bez ścisłego harmonogramu we wcześniejszych regulacjach. Później zaostrzone, ale mniej ustrukturyzowane niż NIS2 | Trzyetapowe obowiązkowe zgłaszanie na podstawie §32 BSIG: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin, sprawozdanie końcowe w ciągu jednego miesiąca. Każdy etap ma określone wymogi co do treści |
| Kary | Grzywny do 100 000 EUR za niektóre naruszenia. Ograniczone egzekwowanie w praktyce. Kary rzadko stosowane publicznie | Grzywny do 10 mln EUR lub 2% globalnego rocznego obrotu dla podmiotów kluczowych, do 7 mln EUR lub 1,4% dla podmiotów ważnych. Odrębne grzywny za naruszenia dotyczące rejestracji i zgłaszania. Wzorowane na strukturze kar GDPR |
| Odpowiedzialność kierownictwa | Brak szczególnego przepisu o osobistej odpowiedzialności kierownictwa. Stosowano ogólne obowiązki prawa spółek | §38 BSIG wprowadza wyraźną osobistą odpowiedzialność Geschäftsführung. Kierownictwo musi zatwierdzać środki cyberbezpieczeństwa, przechodzić szkolenia i może być pociągnięte do osobistej odpowiedzialności za szkody. Nie można jej uchylić uchwałą wspólników |
| Wymogi audytowe | Dwuletnie przedstawianie dowodów (§8a BSIG dawny). Przede wszystkim samoaudyt z przeglądem przedłożonych dowodów przez BSI | Podmioty kluczowe: BSI może przeprowadzać proaktywne audyty i inspekcje na miejscu. Podmioty ważne: nadzór reaktywny (audyty wywoływane incydentami lub dowodami niezgodności). BSI ma szersze uprawnienia egzekwowania, w tym wiążące instrukcje |
| Bezpieczeństwo łańcucha dostaw | Nie był szczególnym wymogiem regulacyjnym w dawnym reżimie KRITIS. Firmy zarządzały ryzykiem dostawców na własnych warunkach | §30(2)(4) BSIG nakazuje środki bezpieczeństwa łańcucha dostaw. Należy oceniać cyberbezpieczeństwo dostawców, uwzględniać wymogi bezpieczeństwa w umowach oraz monitorować poziom bezpieczeństwa dostawców przez cały czas trwania relacji. Dotyczy wszystkich podmiotów objętych zakresem |
Gospodarka odpadami
Zbieranie, przetwarzanie i unieszkodliwianie odpadów. Objęte załącznikiem II NIS2. Obejmuje komunalne usługi odpadowe, przetwórców odpadów niebezpiecznych oraz operacje recyklingu. Większość firm odpadowych nigdy nie miała do czynienia z regulacją cyberbezpieczeństwa.
Produkcja i dystrybucja żywności
Wytwarzanie, przetwarzanie i hurtowa dystrybucja żywności. Objęte załącznikiem II NIS2. Wykracza to poza detaliczny łańcuch żywnościowy, obejmując zakłady produkcyjne, logistykę łańcucha chłodniczego oraz systemy bezpieczeństwa żywności.
Wytwarzanie produktów krytycznych
Wytwarzanie wyrobów medycznych, komputerów, elektroniki, produktów optycznych, sprzętu elektrycznego, maszyn, pojazdów silnikowych oraz innego sprzętu transportowego. Objęte załącznikiem II NIS2. Znaczna liczba firm niemieckiego Mittelstandu mieści się w tej kategorii.
Usługi pocztowe i kurierskie
Dostawcy usług pocztowych i firmy kurierskie. Objęte załącznikiem II NIS2. Obejmuje usługi doręczania paczek, operacje sortowania poczty oraz platformy logistyczne wspierające doręczenia na ostatnim odcinku.
Produkcja i dystrybucja chemikaliów
Wytwarzanie, produkcja i dystrybucja chemikaliów. Objęte załącznikiem II NIS2. Znacznie pokrywa się z istniejącą regulacją bezpieczeństwa (Störfallverordnung), ale dodaje obowiązki specyficzne dla cyberbezpieczeństwa.
Organizacje badawcze
Instytucje badawcze, których głównym celem jest prowadzenie badań stosowanych lub prac rozwojowych. Objęte załącznikiem II NIS2. Obejmuje instytuty Fraunhofera, centra Helmholtza oraz prywatne organizacje badawcze powyżej progu wielkości.
Infrastruktura i usługi cyfrowe
Rozszerzony zakres dla dostawców cyfrowych: dostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa, internetowe platformy handlowe, wyszukiwarki, sieci społecznościowe oraz centra danych. Niektórzy byli częściowo objęci wcześniej - NIS2 znacznie poszerza i doprecyzowuje definicje.
- BSI pozostaje centralnym organem właściwym i krajowym CSIRT dla Niemiec
- IT-Grundschutz pozostaje zalecaną metodyką wdrażania środków bezpieczeństwa (§44(2) BSIG)
- Podstawowa zasada środków „odpowiednich i proporcjonalnych” - musisz wdrożyć to, co jest rozsądne dla Twojej wielkości i profilu ryzyka, a nie wszystko teoretycznie możliwe
- Wymóg utrzymywania systemu zarządzania bezpieczeństwem informacji (ISMS) w pewnej formie - czy to formalnie certyfikowanego, czy ustrukturyzowanego wokół Grundschutz
Najczęściej zadawane pytania
Byliśmy już KRITIS - czy nadal musimy zrobić coś nowego?
Tak. Nawet jeśli byłeś w pełni zgodnym operatorem KRITIS, NIS2 dodaje nowe obowiązki: obowiązkową rejestrację w BSI przez portal §33 (jeśli jeszcze nie dokonano), ściślejsze terminy zgłaszania incydentów (kaskada 24h/72h/1 miesiąc), wyraźną odpowiedzialność kierownictwa na podstawie §38 oraz obowiązkowe środki bezpieczeństwa łańcucha dostaw. Twoje istniejące środki bezpieczeństwa prawdopodobnie pokrywają większość wymogów technicznych, ale obowiązki regulacyjne i z zakresu ładu są nowe.
Jakie są nowe sektory, których nie było w KRITIS?
Siedem sektorów jest nowo objętych zakresem w ramach NIS2, których nie obejmował dawny reżim KRITIS: gospodarka odpadami, produkcja i dystrybucja żywności, wytwarzanie produktów krytycznych, usługi pocztowe i kurierskie, produkcja i dystrybucja chemikaliów, organizacje badawcze oraz rozszerzona infrastruktura i usługi cyfrowe. Firmy z tych sektorów mierzą się z obowiązkową regulacją cyberbezpieczeństwa po raz pierwszy.
Czy NIS2 to tylko KRITIS pod inną nazwą?
Nie. NIS2 to zasadniczo szerszy i głębszy reżim regulacyjny. KRITIS obejmowała około 2 000 operatorów z wysokimi progami. NIS2 obejmuje około 30 000 podmiotów ze znacznie niższymi progami. NIS2 dodaje osobistą odpowiedzialność kierownictwa, obowiązkową rejestrację, ustrukturyzowane harmonogramy zgłaszania incydentów, obowiązki dotyczące łańcucha dostaw oraz znacznie wyższe kary. Pomyśl o KRITIS jak o programie pilotażowym - NIS2 to pełne wdrożenie.
Jaka jest największa praktyczna różnica dla firm?
Osobista odpowiedzialność kierownictwa na podstawie §38 BSIG. W ramach KRITIS cyberbezpieczeństwo było problemem działu IT. W ramach NIS2 Geschäftsführung jest osobiście odpowiedzialna za zatwierdzanie i nadzorowanie środków cyberbezpieczeństwa, musi przejść szkolenie z cyberbezpieczeństwa i może zostać pociągnięta do odpowiedzialności za szkody wynikające z niezgodności. Tej odpowiedzialności nie można uchylić, nawet uchwałą wspólników. To zmienia cyberbezpieczeństwo z pozycji budżetu IT w kwestię ładu na poziomie zarządu.
- Directive (EU) 2022/2555 - dyrektywa NIS2, załącznik I i załącznik II (definicje sektorów)
- BSIG - §28 (Zakres i definicje podmiotów), §30 (Środki cyberbezpieczeństwa), §32 (Zgłaszanie incydentów), §33 (Rejestracja), §38 (Odpowiedzialność kierownictwa), §65 (Kary)
- BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen (poprzednia regulacja progowa KRITIS)
- BSI - wytyczne dotyczące zakresu NIS2 oraz dokumentacja klasyfikacji sektorowej (2025)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit