NIS2 najczęściej zadawane pytania

Czy Unia Europejska będzie jeszcze zmieniać lub korygować dyrektywę NIS2?

Dyrektywa NIS2 (UE) 2022/2555 obowiązuje jako prawo UE od stycznia 2023 r. i ustanawia wiążące ramy. Zmiana byłaby możliwa wyłącznie poprzez nową procedurę legislacyjną UE i obecnie nie jest planowana. Doprecyzowania pojawiają się zamiast tego poprzez akty wykonawcze, takie jak CIR (UE) 2024/2690, który dla niektórych podmiotów rozpisuje techniczne środki minimalne na podstawie artykułu 21, a nie poprzez przeredagowanie samej dyrektywy. Dla firm oznacza to: treść jest ustalona, nie czekaj na zmiany, lecz wdrażaj obowiązki na podstawie obowiązującego prawa.

Czy będzie dofinansowanie federalne wspierające wdrożenie NIS2 w firmach?

Dedykowana dotacja federalna specjalnie na wdrożenie NIS2 obecnie nie jest planowana. Obowiązki na podstawie artykułu 21 dyrektywy NIS2 są oparte na ryzyku i proporcjonalne: nakład skaluje się z wielkością, ekspozycją na ryzyko i prawdopodobieństwem wystąpienia, więc średnia firma nie potrzebuje rozwiązania dla grupy kapitałowej. Ogólne dotacje federalne i krajowe na cyfryzację oraz doradztwo mogą współfinansować poszczególne środki w zależności od programu, co najlepiej sprawdzić w swoim właściwym urzędzie ds. dofinansowania lub izbie przemysłowo-handlowej (IHK). Zaplanuj więc wdrożenie własnymi siłami, dofinansowanie nie jest gwarantowane.

Jaki jest obecny status BSIG i kiedy wchodzi w życie ustawa wdrażająca NIS2?

Ustawa wdrażająca NIS2 już obowiązuje: Bundestag przyjął ją 13 listopada 2025 r., Bundesrat zatwierdził ją 21 listopada 2025 r., ogłoszenie w Federalnym Dzienniku Ustaw nastąpiło 5 grudnia 2025 r., a ustawa obowiązuje od 6 grudnia 2025 r. Wprowadza to w życie gruntownie znowelizowaną ustawę o BSI (BSIG w nowym brzmieniu), która transponuje dyrektywę NIS2 do prawa niemieckiego. Trzymiesięczny okres rejestracji od wejścia w życie upłynął 6 marca 2026 r. Każdy, kto jest objęty obowiązkiem i jeszcze się nie zarejestrował, powinien zrobić to bezzwłocznie (zob. ../anwendungsbereich/nis2-registrierung).

Gdzie znajdę BSIG / ustawę wdrażającą NIS2?

Dyrektywę NIS2 (UE) 2022/2555 znajdziesz w pełnym tekście w EUR-Lex (Dziennik Urzędowy L 333 z 27 grudnia 2022 r.), a powiązane rozporządzenie wykonawcze jako CIR (UE) 2024/2690 również tam. Niemiecką transpozycję, czyli obowiązującą ustawę o BSI w jej nowym brzmieniu, czytasz obecnie na gesetze-im-internet.de (BSIG). Tekst ogłoszenia ustawy wdrażającej NIS2 (ustawy zbiorczej) ukazuje się w Federalnym Dzienniku Ustaw z 5 grudnia 2025 r. Dla bieżącej praktyki najprostszym źródłem jest skonsolidowana wersja BSIG na gesetze-im-internet.de.

Czym ustawa wdrażająca NIS2 różni się od BSIG?

BSIG jest ustawą materialną: samodzielną, odrębną ustawą, która trwale reguluje zadania BSI oraz obowiązki podmiotów kluczowych i ważnych. Ustawa wdrażająca NIS2 jest natomiast ustawą zbiorczą, czyli legislacyjną powłoką, która nowelizuje BSIG i jednocześnie zmienia kolejne ustawy sektorowe (na przykład w prawie telekomunikacyjnym, energetycznym i ubezpieczeń społecznych), aby w pełni transponować dyrektywę NIS2 do prawa niemieckiego. Krótko: ustawa wdrażająca NIS2 wykonała swoje zadanie z chwilą wejścia w życie i wprowadziła swoje zmiany do obowiązujących ustaw. Tym, co reguluje twoje codzienne obowiązki, jest zatem BSIG w nowym brzmieniu, a nie powłoka.

Czy firma może podlegać regulacji także wtedy, gdy odnośne usługi nie są świadczone w Niemczech?

Tak. Liczy się nie to, gdzie usługa jest świadczona, lecz gdzie podmiot ma siedzibę (artykuł 26 dyrektywy NIS2, transponowany w Niemczech w sekcjach 59 i 60 BSIG). Kto ma siedzibę w Niemczech lub wyznaczył tu przedstawiciela, może podlegać niemieckiemu nadzorowi, nawet jeżeli klienci znajdują się za granicą. Szczególna reguła obowiązuje dostawców DNS, chmury, centrów danych i podobnych, a także dostawców publicznych sieci łączności elektronicznej i usług łączności elektronicznej: dla nich decydujące jest główne miejsce prowadzenia działalności w UE, czyli państwo członkowskie, w którym przeważająco podejmowane są decyzje w sprawie środków zarządzania ryzykiem. Które miejsce prowadzenia działalności liczy się w każdym przypadku, opisano na stronie wiki o siedzibie głównej poza UE.

Co dokładnie oznacza termin „nieistotny” w kontekście sekcji 28 ust. 3 BSIG i według jakich kryteriów dokonuje się tej klasyfikacji?

Nieistotny oznacza działalność, której zakres w ogólnym obrazie firmy jest tak mały, że nie ma znaczenia dla klasyfikacji jako podmiot ważny lub kluczowy. Wskaźnikami są liczba zatrudnionych przy niej osób, generowany przez tę działalność obrót i związany z nią udział w bilansie, każdorazowo w odniesieniu do całego przedsiębiorstwa. Żadna pojedyncza liczba nie rozstrzyga sama: liczy się obraz całościowy. Ponadto, jeżeli działalność pojawia się również w przedmiocie działalności (statut, umowa spółki), przemawia to przeciwko nieistotności. W razie wątpliwości działalność należy udokumentować i potraktować zachowawczo jako nie nieistotną.

Czy komunalne zakłady własne (Eigenbetriebe) są objęte NIS2?

Nie automatycznie. Czysta działalność administracyjna na poziomie gminnym podlega zasadniczo prawu krajowemu (Landesrecht), a nie BSIG; Rada Planowania IT (IT-Planungsrat) wyraźnie wyłączyła tu poziom gminny. Komunalny zakład własny staje się objęty obowiązkiem dopiero wtedy, gdy sam mieści się w jednym z objętych sektorów (takim jak energetyka, woda, ścieki, odpady) i albo eksploatuje instalację krytyczną, albo osiąga progi wielkości dla podmiotów ważnych lub kluczowych. Decydująca jest zatem konkretna działalność danego zakładu, a nie forma prawna zakładu własnego (Eigenbetrieb). Dla operatorów usług komunalnych i gospodarki odpadami pomagają testy wiki, na przykład zakład komunalny lub operator odprowadzania ścieków.

Czy moja firma mieści się w zakresie BSIG / ustawy wdrażającej NIS2?

To zależy od trzech pytań: sektor, wielkość i przypadki szczególne. Po pierwsze, twoja działalność musi mieścić się w jednym z sektorów wymienionych w załączniku I lub II do dyrektywy NIS2 (w Niemczech załączniki 1 i 2 do BSIG). Po drugie, co do zasady musisz mieć co najmniej 50 pracowników albo ponad 10 milionów euro rocznego obrotu i rocznej sumy bilansowej (przedsiębiorstwo średnie w rozumieniu zalecenia 2003/361/WE); mniejsze firmy są objęte tylko w wyznaczonych przypadkach wyjątkowych. Po trzecie, istnieją konstelacje obowiązujące niezależnie od wielkości, na przykład operatorzy instalacji krytycznych lub niektórzy dostawcy w sektorze infrastruktury cyfrowej. Klasyfikacja jest samoklasyfikacją; BSI nie wysyła decyzji. Pełny test znajduje się na stronie wiki Kto jest objęty.

Jak należy klasyfikować pojęcia podmiotu kluczowego, ważnego i szczególnie ważnego?

Dyrektywa NIS2 zna dwie klasy: podmioty kluczowe (załącznik I) i podmioty ważne (załącznik II), artykuł 3 dyrektywy NIS2. Niemiecki BSIG to przejmuje, ale klasę wyższą nazywa podmiotem szczególnie ważnym (sekcja 28 ust. 1 BSIG), a drugą podmiotem ważnym (sekcja 28 ust. 2 BSIG); kluczowy i szczególnie ważny oznaczają zatem ten sam poziom. Różnica leży nie w obowiązkach z zakresu bezpieczeństwa, które są zasadniczo takie same, lecz w nadzorze: podmioty szczególnie ważne podlegają nadzorowi proaktywnemu, podmioty ważne tylko nadzorowi ex post uruchamianemu konkretnym zdarzeniem. To, czy mieścisz się w klasie wyższej czy niższej, wynika z sektora, wielkości i statusu operatora instalacji krytycznej.

Jak ocenia się objęcie podmiotów na podstawie sekcji 28 ust. 1 nr 4 BSIG?

Sekcja 28 ust. 1 nr 4 BSIG obejmuje podmioty typów z załącznika 1, które oferują innej osobie towary lub usługi za wynagrodzeniem i mają roczny obrót powyżej 50 milionów euro oraz jednocześnie roczną sumę bilansową powyżej 43 milionów euro (transpozycja artykułu 3 ust. 1 dyrektywy NIS2). Ocena przebiega zatem w dwóch krokach: czy twoja działalność należy do sektora z załącznika 1 i czy przekraczasz oba progi finansowe łącznie? W kalkulacji należy uwzględnić przedsiębiorstwa powiązane i partnerskie w rozumieniu zalecenia 2003/361/WE. Jeżeli oba progi są przekroczone, zaliczasz się do podmiotów szczególnie ważnych, bez znaczenia liczby pracowników.

Na czym oparte są progi liczby pracowników, rocznego obrotu i rocznej sumy bilansowej, które służą do klasyfikacji kategorii przedsiębiorstw w artykule 2 ust. 1 dyrektywy NIS2, w szczególności w odniesieniu do odesłania do artykułu 2 załącznika do zalecenia 2003/361/WE?

Dyrektywa NIS2 nie definiuje sama kategorii wielkości, lecz odsyła do unijnej definicji małych i średnich przedsiębiorstw w artykule 2 załącznika do zalecenia 2003/361/WE. Zgodnie z nią: przedsiębiorstwo średnie ma mniej niż 250 pracowników i albo co najwyżej 50 milionów euro rocznego obrotu, albo co najwyżej 43 miliony euro rocznej sumy bilansowej; przedsiębiorstwo małe jest poniżej 50 pracowników i co najwyżej 10 milionów euro dla obu wartości. NIS2 co do zasady obejmuje przedsiębiorstwa od wielkości średniej wzwyż, czyli od 50 pracowników albo ponad 10 milionów euro obrotu i sumy bilansowej. W kalkulacji obowiązują reguły powiązania i partnerstwa z zalecenia, z wyjątkiem artykułu 3 ust. 4 jego załącznika.

Czy liczba pracowników i poziom obrotu odnoszą się do pojedynczego (oddziałowego) zakładu, czy w stosownym przypadku do całego przedsiębiorstwa?

Liczy się całe przedsiębiorstwo, a nie pojedynczy oddział lub miejsce prowadzenia działalności. Liczbę pracowników, obrót i sumę bilansową ustala się na poziomie osoby prawnej, włącznie z przedsiębiorstwami partnerskimi i powiązanymi, które należy uwzględnić zgodnie z zaleceniem 2003/361/WE (sekcja 28 ust. 4 BSIG). Oddział nie jest zatem rozpatrywany samodzielnie, lecz jako część całości. Inaczej może być wyłącznie wtedy, gdy część zakładu w sposób wykazany działa w pełni niezależnie pod względem systemów, komponentów i procesów IT.

Czy przedsiębiorstwa powiązane, które nie są aktywne w Niemczech ani w UE, muszą być uwzględnione w kalkulacji wskaźników progu wielkości?

Tak. W kalkulacji progów należy w pełni uwzględnić przedsiębiorstwa partnerskie i powiązane zgodnie z zaleceniem 2003/361/WE, niezależnie od tego, czy znajdują się w Niemczech, w innym państwie członkowskim UE czy poza UE (sekcja 28 ust. 4 BSIG w związku z zaleceniem). Pracownicy, obrót i suma bilansowa przedsiębiorstw powiązanych są zatem doliczani proporcjonalnie lub w całości w ujęciu ogólnoświatowym. Położenie geograficzne spółki matki lub siostrzanej niczego nie zmienia w kwestii jej uwzględnienia. To, czy twoja firma faktycznie podlega następnie niemieckiemu nadzorowi, rozstrzyga osobno kwestia siedziby (artykuł 26 dyrektywy NIS2).

Jeżeli spółka matka i spółka córka ze wspólnym IT mają być każda przypisane do jednego z objętych typów podmiotów i (łącznie) spełniają regułę progu wielkości, to czy obie spółki są objęte, czy też wystarczy, że wymogi są spełnione przez grupę dominującą?

Obie są objęte. NIS2 wiąże się z poszczególną osobą prawną: jeżeli spółka matka i spółka córka mają być każda przypisane do objętego sektora i osiągają progi, każda jest sama w sobie podmiotem z własnymi obowiązkami na podstawie sekcji 30 i nast. BSIG. Wspólnie używane IT niczego w tym nie zmienia i nie zwalnia spółki córki. W praktyce zarządzanie ryzykiem, zgłaszanie i dowody mogą być organizowane i współdzielone centralnie, ale odpowiedzialność prawna pozostaje odrębna dla każdego podmiotu. Rejestracja i zgodność muszą zatem być zapewnione niezależnie dla każdej objętej firmy.

Do kogo można się zwrócić, jeżeli mimo kontroli objęcia przeprowadzonej przez BSI pozostają pytania o objęcie w konkretnym przypadku indywidualnym?

BSI publikuje internetowy autotest (kontrolę objęcia) do podstawowej klasyfikacji, ale nie prowadzi prawnie wiążącego doradztwa w sprawach indywidualnych i nie wydaje decyzji deklaratoryjnych. Jeżeli po autoteście pozostają wątpliwości, czystą drogą jest prawna analiza konkretnego przypadku indywidualnego, na przykład przez prawników lub doradców wyspecjalizowanych w NIS2. Udokumentuj swoją klasyfikację i leżące u jej podstaw liczby w sposób zrozumiały, ponieważ w razie wątpliwości musisz sam umieć uzasadnić samoklasyfikację. Jak czysto udokumentować tę klasyfikację, pokazuje strona wiki o samoklasyfikacji.

Chciałbym złożyć wniosek o zwolnienie z NIS2. Czy to możliwe?

Nie. Nie istnieje procedura wnioskowa, dzięki której podmiot mógłby uzyskać zwolnienie z NIS2. Nieliczne wyjątki są zapisane w samej ustawie (sekcja 37 BSIG, oparta na artykule 2 dyrektywy NIS2) i leżą wyłącznie w inicjatywie wymienionych tam organów federalnych, na przykład dla określonych działań w obszarze bezpieczeństwa narodowego, obrony lub egzekwowania prawa. BSI nie może takich wyjątków ani wnioskować, ani przyznawać. Jeżeli uważasz, że nie jesteś objęty, właściwą drogą nie jest zatem wniosek, lecz czysta, udokumentowana samoklasyfikacja, która dowodzi, że progi sektorowe lub progi wielkości nie są spełnione.

Podmioty kluczowe i ważne muszą między innymi podać swoje publiczne zakresy adresów IP na podstawie ustawy wdrażającej NIS2. Jakie informacje należy tu podać?

Przy rejestracji artykuł 27 dyrektywy NIS2 (transponowany w Niemczech w sekcji 33 BSIG) wymaga nazwy i formy prawnej, adresu, aktualnych danych kontaktowych, właściwego sektora, wykazu państw członkowskich, w których świadczone są usługi, oraz właśnie publicznych zakresów adresów IP. Odnosi się to wyłącznie do statycznych, publicznie routowanych zakresów adresów, pod którymi twój podmiot jest osiągalny z zewnątrz lub eksploatuje systemy krytyczne. Adresy dynamiczne i zakresy IP, które przydzielasz swoim klientom końcowym, nie są tu uwzględniane. W praktyce podajesz zatem swoje własne zarejestrowane sieci (często w notacji CIDR), a nie każdy pojedynczy adres. Procedurę i terminy wyjaśniono na /wiki/anwendungsbereich/nis2-registrierung.

Jak zdefiniowane są usługi cyfrowe?

Dyrektywa NIS2 nie wprowadza jednego pojęcia parasolowego „usługa cyfrowa”, lecz wymienia w artykule 6 trzy konkretne typy: internetowa platforma handlowa, internetowa wyszukiwarka i platforma usług sieci społecznościowej. Każda z nich jest usługą w rozumieniu dyrektywy (UE) 2015/1535, czyli usługą zwykle świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy. Tych trzech dostawców należy do sektora usług cyfrowych z załącznika I do dyrektywy. Przetwarzanie w chmurze, centra danych, CDN i porównywalne usługi to odrębne kategorie infrastruktury cyfrowej, nieobjęte tą definicją. Sprawdź swój konkretny przypadek poprzez /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Jakie strategie są konieczne, aby zintegrować możliwie rozbieżne wymogi prawne wdrażania NIS2, takie jak istniejące w Niemczech i gdzie indziej w Europie, w jeden system zarządzania bezpieczeństwem informacji (ISMS) w sposób zgodny z prawem i zapewnić to w sposób ciągły?

Zbuduj swój ISMS na wspólnym fundamencie UE: obowiązki na podstawie artykułu 21 dyrektywy NIS2 oraz techniczne wymogi minimalne rozporządzenia wykonawczego CIR 2024/2690 obowiązują identycznie we wszystkich państwach członkowskich i tworzą rdzeń. Na ten rdzeń nakładasz, jako warstwę, specyfiki krajowe państw, w których działasz, na przykład odmienne reguły zgłaszania lub dodatkowe obowiązki. W praktyce oznacza to: jeden zestaw środków i dowodów plus rejestr, który dla każdego kraju dokumentuje odstępstwo i właściwy organ. Tam, gdzie kraje są różnie rygorystyczne, spełniasz najwyższy poziom w całej grupie, wtedy jesteś zgodny wszędzie. Uznane standardy, takie jak ISO 27001 lub BSI IT-Grundschutz, dostarczają do tego wspólnych ram.

Co oznacza „stan techniki”? Czy istnieje dla tego definicja?

Nie ma stałej definicji prawnej i jest to zamierzone: stan techniki opisuje to, co jest obecnie utrwalone i sprawdzone w praktyce jako skuteczne środki bezpieczeństwa, i rozwija się w czasie. Artykuł 21 ust. 1 dyrektywy NIS2 (w Niemczech sekcja 30 BSIG) wymaga, abyś to uwzględnił i sięgnął przy tym po właściwe normy europejskie i międzynarodowe. Punktem odniesienia są zatem uznane opracowania, takie jak ISO/IEC 27001, BSI IT-Grundschutz lub wytyczne ENISA, a nie to, co najnowsze na rynku. Środki muszą być również proporcjonalne: uwzględnia się sytuację ryzyka, wielkość podmiotu i koszty wdrożenia. Orientujesz się według aktualnych standardów i dokumentujesz, dlaczego twój wybór pasuje do ryzyka.

Pytania o klasyfikację spółek grupy i świadczonych przez nie usług IT w związku z klasyfikacją jako dostawca usług zarządzanych (MSP)

Usługa zarządzana istnieje na podstawie artykułu 6 pkt 39 dyrektywy NIS2, gdy dostawca instaluje, eksploatuje, zarządza lub utrzymuje dla innego podmiotu systemy lub aplikacje IT i ponosi przy tym odpowiedzialność operacyjną. Decydująca jest ta odpowiedzialność operacyjna, a nie przynależność do grupy. Centralna spółka IT, która aktywnie administruje systemami dla spółek siostrzanych, może zatem sama kwalifikować się jako MSP i mieścić się niezależnie w zakresie. Czysta spółka holdingowa, która zajmuje się jedynie sterowaniem biznesowym, bez operacyjnego prowadzenia cudzych systemów, nie jest natomiast MSP. Sprawdź osobno dla każdej spółki grupy, kto faktycznie eksploatuje które usługi: /wiki/anwendungsbereich/bin-ich-msp-managed-service-provider.

Czy firmy, które eksploatują instalacje krytyczne na podstawie starego stanu prawnego (BSIG przed 6 grudnia 2025 r. w połączeniu z BSI-KritisV) i mają siedzibę za granicą, po wejściu w życie BSIG (nowe brzmienie) nadal są operatorami KRITIS?

Tak. Dla operatorów KRITIS liczy się to, gdzie znajduje się instalacja krytyczna i świadczy usługi zaopatrzeniowe w Niemczech, a nie gdzie jest siedziba grupy. Kto eksploatuje instalację osiągającą progi rozporządzenia KRITIS w Niemczech, pozostaje zatem operatorem KRITIS także na podstawie nowego BSIG, niezależnie od siedziby za granicą. Sytuacja różni się tylko dla niektórych usług transgranicznych (takich jak części infrastruktury cyfrowej), dla których artykuł 26 dyrektywy NIS2 przewiduje własną regułę jurysdykcji. Więcej o kwestii siedziby na /wiki/anwendungsbereich/nis2-hauptsitz-ausserhalb-eu.

Prowadzę serwer DNS prywatnie. Czy muszę zarejestrować się w portalu BSI i składać zgłoszenia?

Nie. Dyrektywa NIS2 adresuje podmioty, które oferują objętą usługę komercyjnie, a nie prywatnych operatorów hobbystów. W sektorze infrastruktury cyfrowej regulowani są dostawcy usług DNS i rejestry nazw TLD, którzy świadczą te usługi jako organizacja na rzecz osób trzecich (artykuł 3 i załącznik I do dyrektywy). Prywatnie eksploatowany serwer DNS bez komercyjnego świadczenia usługi nie jest objęty, więc nie ma rejestracji ani obowiązków zgłoszeniowych. Z chwilą gdy stanie się to usługą oferowaną osobom trzecim, klasyfikacja się zmienia.

Czy firma, która w zasadzie podlega NIS2, ale jest w trybie pilnym likwidowana i nie prowadzi już żadnej istotnej działalności operacyjnej, nadal ma być klasyfikowana jako podmiot ważny lub kluczowy?

Dopóki firma istnieje prawnie i nadal świadczy objętą usługę, pozostaje podmiotem ważnym lub kluczowym, również w trakcie likwidacji. Klasyfikacja na podstawie artykułu 3 dyrektywy NIS2 wiąże się z faktyczną działalnością, a nie z zamiarem zakończenia. Jeżeli podmiot trwale zaprzestaje objętej działalności operacyjnej, warunek przestaje obowiązywać, a wraz z nim objęcie zakresem; do tego czasu obowiązki nadal obowiązują. Samo zapowiedziane, ale jeszcze niezakończone zaprzestanie działalności nie wystarcza. Dopóki systemy warte ochrony działają, rejestracja i zarządzanie ryzykiem pozostają wymagane.

Czy niezależnie oferowane usługi SaaS należy klasyfikować jako usługi przetwarzania w chmurze w rozumieniu BSIG, jeżeli działają na infrastrukturze zewnętrznych dostawców chmury, a dostawca SaaS nie eksploatuje sam zasobów obliczeniowych?

Decydująca jest definicja usługi przetwarzania w chmurze w artykule 6 pkt 30 dyrektywy NIS2: usługa umożliwiająca administrowanie na żądanie i szeroki zdalny dostęp do skalowalnej i elastycznej puli współdzielonych zasobów obliczeniowych. Liczy się to, co oferujesz na zewnątrz, a nie to, czy leżący u podstaw sprzęt należy do ciebie. Oferta SaaS może spełniać te cechy, nawet jeżeli działa na infrastrukturze osób trzecich. Jeżeli natomiast twój SaaS oferuje wyraźnie zdefiniowaną wyspecjalizowaną aplikację bez tych cech chmurowych, nie jest usługą przetwarzania w chmurze w rozumieniu dyrektywy. Sprawdź konkretne cechy na /wiki/anwendungsbereich/bin-ich-cloud-anbieter-nis2.

Czy rozróżnienie między odpowiedzialnością biznesową a operacyjną, decydujące dla MSP, jest przenoszalne także na inne usługi w sektorze infrastruktury cyfrowej (lub dalsze sektory BSIG)?

Rozróżnienie między odpowiedzialnością biznesową a operacyjną jest użytecznym pomysłem testowym, ale nie zastępuje danej definicji prawnej. Dla każdego typu usługi obowiązuje najpierw brzmienie artykułu 6 dyrektywy NIS2, na przykład dla usługi przetwarzania w chmurze, usługi centrum danych lub dostawcy usług DNS. Dla wielu z tych usług klasyfikacja przypada temu, kto faktycznie świadczy i eksploatuje usługę, czyli kto ponosi odpowiedzialność operacyjną. Sama odpowiedzialność biznesowa lub umowna bez własnej eksploatacji zasadniczo nie ustanawia roli podmiotu. Stosuj zatem to kryterium dla każdego typu usługi na podstawie tamtejszej definicji, a nie jako regułę ogólną.

Czy mieszczę się w definicji dostawcy usług zaufania?

Dostawcy usług zaufania są zdefiniowani w artykule 3 rozporządzenia eIDAS (UE) nr 910/2014: dostawcy elektronicznych usług zaufania, takich jak podpisy i pieczęcie elektroniczne, znaczniki czasu, usługi rejestrowanego doręczenia elektronicznego lub certyfikaty uwierzytelniania witryn internetowych. Jeżeli oferujesz taką usługę komercyjnie, mieścisz się w tej definicji, a tym samym w zakresie NIS2. Kwalifikowani dostawcy usług zaufania liczą się w tym względzie jako podmioty kluczowe, niezależnie od ich wielkości. Kto używa podpisów lub certyfikatów wyłącznie wewnętrznie, bez oferowania ich jako usługi, nie jest dostawcą usług zaufania. Szczegółową kontrolę można znaleźć na /wiki/anwendungsbereich/bin-ich-vertrauensdiensteanbieter-nis2.

Czy w sektorze „produkcja, wytwarzanie i handel substancjami chemicznymi”, w odniesieniu do „handlu substancjami chemicznymi”, jakikolwiek handel produktami końcowymi składającymi się z substancji chemicznych mieści się w zakresie?

Nie, nie każdy handel produktami zawierającymi chemikalia. Załącznik II do dyrektywy NIS2 obejmuje wytwarzanie i handel substancjami i mieszaninami chemicznymi oraz produkcję wyrobów z tych substancji, każdorazowo w rozumieniu rozporządzenia REACH (WE) nr 1907/2006. Chodzi zatem o substancje i mieszaniny jako takie, a nie o każdy produkt końcowy, który kiedykolwiek został wytworzony z chemikaliów. Kto handluje gotowymi wyrobami (takimi jak meble lub elektronika), nie prowadzi handlu substancjami chemicznymi w tym sensie. Dodatkowo muszą być spełnione kryteria wielkości, aby powstało objęcie zakresem.

Jak ustalam kod NACE mojej firmy?

Kod NACE (odwzorowany w Niemczech jako kod WZ, obecnie WZ 2025) ustalasz według swojej głównej działalności gospodarczej, czyli działalności, którą generujesz największy udział wartości dodanej lub obrotu. Punktami odniesienia są twój wpis do rejestru handlowego lub rejestru przedsiębiorców oraz kod prowadzony przez Federalny Urząd Statystyczny lub twoją IHK. Jeżeli twoja firma prowadzi kilka działalności, przypisz każdą do odpowiedniej klasy i sprawdź każdą osobno pod kątem objęcia zakresem. Kod możesz też znaleźć w bazie klasyfikacji Federalnego Urzędu Statystycznego. Dla NIS2 decydujące jest to, co faktycznie robisz, a nie sam zarejestrowany kod.

Jaką rolę odgrywają kody NACE w ustaleniu, czy podmiot mieści się w zakresie?

Kody NACE są pomocą orientacyjną, ale nie kryterium prawnym. To, czy mieścisz się w zakresie, regulują sektory i typy podmiotów w załącznikach I i II do dyrektywy NIS2 wraz z progami wielkości, a nie samo przypisanie kodu. Kod NACE lub WZ pomaga przypisać twoją działalność do jednego z tych sektorów, ale nie zastępuje oceny materialnej. Może się zdarzyć, że kod z grubsza pasuje, ale działalność nie mieści się w definicji prawnej, i odwrotnie. Decydująca pozostaje twoja faktyczna działalność mierzona względem definicji: pełny test znajdziesz na /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Czy firmy muszą powołać zespół kryzysowy do obsługi incydentów?

Nie, formalny zespół kryzysowy nie jest wymagany przez prawo. Artykuł 21 ust. 2 lit. c) dyrektywy NIS2 (transponowany w sekcji 30 BSIG) wymaga środków ciągłości działania i zarządzania kryzysowego, ale pozostawia otwartym, jak to zorganizujesz. Liczy się, aby odpowiedzialności, dostępność i procedury na wypadek sytuacji awaryjnej były zdefiniowane i przećwiczone. W dwuosobowym zakładzie może to być krótki zestaw instrukcji, w większych organizacjach wyznaczony zespół. Miernikiem jest proporcjonalność na podstawie artykułu 21 ust. 1.

Czy analiza ryzyka wymagana na podstawie ustawy wdrażającej NIS2 odnosi się do całej firmy, czy konkretnie do cyberzagrożeń i ich wpływu na systemy IT?

Odnosi się do ryzyk dla twoich sieci i systemów informatycznych, a nie do ogólnej analizy ryzyka korporacyjnego. Artykuł 21 ust. 2 lit. a) dyrektywy NIS2 (sekcja 30 BSIG) wyraźnie wymienia polityki analizy ryzyka i bezpieczeństwa systemów informatycznych. Chodzi o systemy, którymi przetwarzasz, przechowujesz lub przesyłasz informacje, oraz o zagrożenia zagrażające ich dostępności, integralności i poufności. Zakres nie jest sztywny: podąża za faktycznym ryzykiem i znaczeniem systemów dla twojej działalności (artykuł 21 ust. 1).

Moja firma spełnia kryteria, aby kwalifikować się jako podmiot kluczowy lub operator KRITIS, albo jako podmiot ważny. Które obowiązki należy spełnić?

Trzy zestawy obowiązków obowiązują jednakowo obie kategorie. Po pierwsze, rejestracja w BSI wraz z danymi kontaktowymi (artykuł 27, sekcja 33 BSIG). Po drugie, środki zarządzania ryzykiem z katalogu w artykule 21 ust. 2 (sekcja 30 BSIG), od analizy ryzyka przez obsługę incydentów i łańcuch dostaw po kryptografię i kontrolę dostępu. Po trzecie, etapowe zgłaszanie poważnych incydentów bezpieczeństwa na podstawie artykułu 23 (sekcja 32 BSIG): wczesne ostrzeżenie w ciągu 24 godzin, potwierdzenie w ciągu 72 godzin, sprawozdanie końcowe po jednym miesiącu. Różnica leży w nadzorze: podmioty kluczowe są nadzorowane proaktywnie, podmioty ważne na zasadzie ex post. Pełny test klasyfikacji znajdziesz pod Wer ist betroffen.

Od kiedy obowiązują obowiązki z BSIG / ustawy wdrażającej NIS2?

Obowiązki obowiązują bezpośrednio z chwilą wejścia w życie niemieckiej transpozycji. Ustawa wdrażająca NIS2 została ogłoszona 5 grudnia 2025 r. i weszła w życie 6 grudnia 2025 r. Obowiązki w zakresie zarządzania ryzykiem i zgłaszania obowiązują zatem od tego momentu; odrębny okres przejściowy dla środków materialnych nie jest przewidziany. Tylko rejestracja ma swój własny termin (sekcja 33 BSIG), zob. Registrierung.

Czy będzie okres przejściowy?

Dla materialnych obowiązków bezpieczeństwa nie ma ogólnego okresu przejściowego. Każdy mieszczący się w zakresie musi spełniać środki na podstawie artykułu 21 (sekcja 30 BSIG) od chwili, gdy zaczynają obowiązywać. Tylko rejestracja jest rozłożona w czasie: należy ją przeprowadzić w ciągu trzech miesięcy od momentu, w którym kwalifikujesz się jako podmiot (sekcja 33 BSIG). Operatorzy KRITIS, których dotychczasowy termin na dowody przypadł w pierwszych dwunastu miesiącach po wejściu w życie, mogą wedle wyboru wykorzystać swoją pierwotną datę.

Jakie wymogi stawia się dostępności podmiotów ważnych i kluczowych?

Musisz udostępnić BSI osiągalny punkt kontaktowy, co do zasady numer telefonu i adres e-mail, i utrzymywać te dane aktualne (artykuł 27, sekcja 33 BSIG). Tym kanałem BSI dostarcza zgłoszenia o incydentach, ostrzeżenia i zapytania uzupełniające. Ustawa nie przepisuje żadnych szczególnych kwalifikacji dla osób za nim stojących. Liczy się tylko, aby punkt kontaktowy był faktycznie osiągalny i aby zgłoszenia mogły być niezwłocznie przetwarzane, tak by działało 24-godzinne wczesne ostrzeżenie na podstawie artykułu 23. Dla operatorów KRITIS obowiązują dodatkowo surowsze wymogi dostępności.

W pełni zleciliśmy nasze IT zewnętrznym usługodawcom na zewnątrz. Które obowiązki my, jako podmiot ważny, musimy wtedy jeszcze w ogóle wypełniać?

Operacje możesz zlecić na zewnątrz, ale odpowiedzialności nie. Obowiązki na podstawie sekcji 30 BSIG pozostają adresowane do twojego podmiotu, a nie do usługodawcy. Konkretnie oznacza to: musisz zarządzać bezpieczeństwem łańcucha dostaw (artykuł 21 ust. 2 lit. d), czyli zapewnić umownie, że twój usługodawca wdraża odpowiednie środki i zgłasza ci incydenty. Rejestracja, zgłaszanie poważnych incydentów na podstawie artykułu 23 oraz zatwierdzanie i nadzorowanie środków przez zarząd (artykuł 20, sekcja 38 BSIG) pozostają przy tobie. Więcej o tym pod Bin ich MSP-Kunde.

Od kiedy instalacja fotowoltaiczna na dachu firmy liczy się jako infrastruktura krytyczna?

Instalacja dachowa do samozaopatrzenia co do zasady nie jest infrastrukturą krytyczną. Status KRITIS powstaje dopiero wtedy, gdy instalacja wytwarzania energii osiąga próg BSI-KritisV, obecnie 104 megawaty zainstalowanej mocy netto (załącznik 1, sektor energetyki). Decydujące jest wprowadzanie do ogólnego zaopatrzenia, a nie zużycie własne. Klasyfikacja jako instalacja krytyczna ponadto wchodzi w życie dopiero 1 kwietnia roku następującego po pierwszym osiągnięciu progu. Typowa instalacja dachowa leży o rzędy wielkości poniżej tego.

Czy firmy muszą wykazać spełnienie wymogów?

Tak, musisz umieć udowodnić wdrożenie, ale forma dowodu różni się w zależności od kategorii. Podmioty kluczowe i ważne podlegają nadzorowi BSI (artykuły 32 i 33, sekcje 61 i nast. BSIG): BSI może żądać informacji, dokumentów i kontroli, ale regularna obowiązkowa certyfikacja nie jest dla nich przepisana. Powinieneś zatem dokumentować polityki, środki i obsługę incydentów w taki sposób, abyś mógł je przedstawić na żądanie. Okresowy obowiązek dowodowy w węższym znaczeniu obowiązuje tylko operatorów KRITIS.

Jestem operatorem KRITIS. Kiedy muszę złożyć moje dokumenty dowodowe zgodnie z BSIG / ustawą wdrażającą NIS2?

Operatorzy KRITIS wykazują spełnienie wymogów wobec BSI co trzy lata (sekcja 39 BSIG); cykl audytowy wydłużono z dwóch do trzech lat. BSI indywidualnie powiadomił zarejestrowanych operatorów o ich nowych terminach złożenia. Jeżeli twój poprzedni termin przypadł w pierwszych dwunastu miesiącach po wejściu w życie, możesz wedle wyboru wykorzystać pierwotną datę. Decydująca jest zawsze data konkretnie ci wskazana, a nie ogólna data graniczna.

Jak mogę wykazać, że moja firma wdraża wymagane środki?

Dowód dostarczasz poprzez własną dokumentację: twoje zarządzanie ryzykiem, podjęte techniczne i organizacyjne środki oraz dowód, że są one skuteczne (polityki, konfiguracje, raporty z audytów, zapisy ze szkoleń). Przepisem regulującym jest artykuł 21 dyrektywy NIS2 (UE) 2022/2555, transponowany w Niemczech w § 30 BSIG; CIR (UE) 2024/2690 szczegółowo rozpisuje środki dla niektórych typów podmiotów. Certyfikat wydany przez podmiot zewnętrzny może wspierać tę dokumentację, ale jej nie zastępuje: liczy się, aby twoje zapisy pokrywały konkretne wymogi prawne. Obowiązek przedłożenia dowodów do BSI powstaje dopiero wtedy, gdy BSI nakaże kontrolę (§ 61 BSIG) lub gdy podlegasz regularnemu obowiązkowi dowodowemu jako operator instalacji krytycznych (§ 39 BSIG).

Czy BSI IT-Grundschutz jest obowiązkowy dla wszystkich podmiotów objętych NIS2?

Nie. Artykuł 21 dyrektywy NIS2 i § 30 BSIG nie przepisują żadnej konkretnej procedury, lecz wymagają odpowiednich, proporcjonalnych i skutecznych środków zgodnych ze stanem techniki. IT-Grundschutz jest metodyką publikowaną przez BSI, którą można te wymogi spełnić czysto, i podmioty oceniające ją akceptują. Obowiązki możesz spełnić równie dobrze poprzez ISO 27001 lub inny uznany ISMS, o ile środki pokrywają twoje konkretne ryzyka. Liczy się nie nazwa standardu, lecz to, by punkty wymienione w § 30 były faktycznie wdrożone i udokumentowane.

Czy poza ISO 27001 i BSI Grundschutz certyfikacja firmy wg VdS 10000 również wystarcza do spełnienia wymogów ustawy wdrażającej NIS2?

VdS 10000 może być sensownym punktem wyjścia, ale sama z siebie nie pokrywa automatycznie wszystkich wymogów § 30 BSIG i artykułu 21 dyrektywy NIS2. Żaden certyfikat, nawet ISO 27001 czy IT-Grundschutz, nie jest ogólnym dowodem zgodności: decydujące pozostaje, czy twoje środki pokrywają obszary wymagane prawem w pełni i w sposób proporcjonalny do ryzyka. Wykorzystaj zatem VdS 10000 jako jeden z elementów swojego zarządzania ryzykiem i uzgodnij go konkretnie z wymogami § 30, aby zamknąć ewentualne luki (na przykład w łańcuchu dostaw lub w zgłaszaniu).

Jeżeli certyfikacja ISO 27001 nie wystarcza do spełnienia wymogów na podstawie BSIG, jak można zapewnić klientów, że moja firma jest zgodna z NIS2? Czy trzeba w tym celu ujawnić cały ISMS?

Nie, nie musisz ujawniać swojego pełnego ISMS. Wobec klientów zwykle wykazujesz zgodność z artykułem 21 dyrektywy NIS2 i § 30 BSIG poprzez ukierunkowane dowody: certyfikat ISO 27001 wraz z pasującą Deklaracją Stosowania, deklarację zgodności z NIS2, wypełnione kwestionariusze dostawców lub indywidualne podsumowania audytów. Liczy się, aby te dowody odzwierciedlały środki istotne dla danej relacji biznesowej, a nie cały twój wewnętrzny zbiór reguł. Formalny obowiązek dowodowy wobec BSI istnieje tylko dla operatorów instalacji krytycznych (§ 39 BSIG) lub na żądanie (§ 61 BSIG); wobec klientów obowiązuje to, co uzgodnisz umownie.

Czy istnieją obowiązkowe wymogi certyfikacyjne dla doradztwa firmom i podmiotom w kontekście NIS2 i jak to się ma do przeprowadzania kontroli w celu wytworzenia dowodów?

Dla samej pracy doradczej ani dyrektywa NIS2, ani BSIG nie wymieniają obowiązkowej certyfikacji: doradzać może każdy, a akredytacja doradców nie jest wymagana prawem. Inaczej jest przy formalnych kontrolach dowodowych dla operatorów instalacji krytycznych na podstawie § 39 BSIG: są one przeprowadzane poprzez audyty bezpieczeństwa, badania lub certyfikacje co trzy lata, a BSI ustala wymogi dla podmiotów je wykonujących. Jeżeli BSI nakaże kontrolę u innych podmiotów kluczowych (§ 61 BSIG), jego wymogi obowiązują odpowiednio. Zwracaj zatem uwagę na kwalifikacje podmiotu kontrolującego tam, gdzie prawo wymaga formalnej kontroli, a nie już w przypadku zwykłego doradztwa.

Czy wymóg z sekcji 30 ust. 2 nr 4 BSIG dotyczący bezpieczeństwa łańcucha dostaw można spełnić, wymagając certyfikatów (ISO 27001, TISAX itp.) od bezpośrednich dostawców lub usługodawców?

Nie, sam certyfikat nie spełnia wymogu. Artykuł 21 ust. 2 lit. d) dyrektywy NIS2, transponowany w Niemczech w sekcji 30 ust. 2 nr 4 BSIG, wymaga własnej koncepcji bezpieczeństwa łańcucha dostaw: musisz ocenić ryzyka każdego bezpośredniego dostawcy, zdefiniować kryteria wyboru i monitorować całość przez okres trwania umowy. Certyfikat ISO 27001 lub TISAX jest tu pomocnym elementem i może ułatwić ocenę, ale nie zastępuje twojej własnej oceny opartej na ryzyku, ponieważ zakres certyfikatu często pokrywa tylko części dostawcy. Sprawdź zatem dokładnie, co jest certyfikowane, i udokumentuj, dlaczego certyfikat wystarcza dla usługi, którą pozyskujesz.

Co doradzasz firmom objętym BSIG, by wymagały od producentów oprogramowania i usługodawców?

Zdefiniuj konkretne, weryfikowalne wymogi bezpieczeństwa i wpisz je do umów, zamiast polegać na ogólnych zapewnieniach. Sensownymi pozycjami są: weryfikowalne dowody producenta na temat bezpieczeństwa produktu (takie jak strategia łatania, postępowanie z podatnościami, okres wsparcia), obowiązek dostawcy do zgłaszania incydentów bezpieczeństwa, który zabezpiecza twój własny 24-godzinny termin na podstawie artykułu 23 NIS2 (sekcja 32 BSIG), a także wypełniony, ujednolicony kwestionariusz dostawcy. W odniesieniu do uzgodnionych sektorowo katalogów pytań i wymogów minimalnych BSI wskazuje na prace w ramach UP KRITIS. Dla silnie powiązanych usługodawców, takich jak dostawcy usług zarządzanych, obowiązują dodatkowe oczekiwania (zob. ./bin-ich-msp-managed-service-provider).

Kiedy rejestracja na podstawie sekcji 33 ust. 1 BSIG jest możliwa w portalu BSI, jak przebiega rejestracja i jak działa proces zgłaszania na podstawie sekcji 32 BSIG?

Rejestracja jest możliwa z chwilą, gdy kwalifikujesz się jako podmiot objęty obowiązkiem, i musi nastąpić w ciągu trzech miesięcy po tym, jak po raz pierwszy lub ponownie znajdziesz się w zakresie (NIS2 artykuł 27, w Niemczech sekcja 33 ust. 1 BSIG). Proces ma dwa etapy: najpierw zakładasz konto w Mein Unternehmenskonto (MUK) przy użyciu certyfikatu organizacji ELSTER, następnie rejestrujesz podmiot w portalu BSI. Następnie zgłaszasz incydenty bezpieczeństwa również przez portal BSI, według trzyetapowej procedury wczesnego ostrzeżenia, zgłoszenia uzupełniającego i sprawozdania końcowego (NIS2 artykuł 23, w Niemczech sekcja 32 BSIG). Przewodnik krok po kroku znajdziesz pod Rejestracja.

Co BSI robi, by wspierać firmy w sprawie zaległych rejestracji NIS2?

BSI udostępnia kontrolę objęcia, sekcję FAQ, pakiety informacyjne i webinaria, aby podmioty mogły same ocenić i wypełnić swój obowiązek rejestracyjny (podstawa: NIS2 artykuł 27, sekcja 33 BSIG). To, czy w ogóle jesteś objęty, wyjaśniasz najpierw na podstawie sektora i wielkości. Pełny autotest znajdziesz pod Kto jest objęty.

Jak firma może zarejestrować komponenty krytyczne?

Komponenty krytyczne dotyczą wyłącznie operatorów instalacji krytycznych (dawna logika KRITIS), a nie każdego podmiotu NIS2, i są zgłaszane sektorowo. Sektor energetyki używa do tego zaszyfrowanych szablonów Excel, sektor telekomunikacji własnych szablonów z szyfrowaniem PGP. Jeżeli nie jesteś operatorem instalacji krytycznej, ten krok nie jest dla ciebie istotny; liczy się wtedy wyłącznie rejestracja podmiotu na podstawie sekcji 33 BSIG.

Czy rejestracja w portalu BSI może być przeprowadzona dla podmiotu, który nie ma niemieckiego numeru podatkowego?

Tak. Mein Unternehmenskonto wymaga wprawdzie niemieckiego numeru podatkowego, ale podmioty zagraniczne mogą o niego wnioskować w urzędzie skarbowym w Neubrandenburgu (Referat RAB). Formularz wniosku wysyłasz na wskazany tam adres i otrzymujesz numer podatkowy pocztą; przy zakładaniu konta wybierasz jako kraj związkowy Meklemburgia-Pomorze Przednie. Jeżeli twoja siedziba znajduje się poza UE, powinieneś dodatkowo sprawdzić obowiązek wyznaczenia przedstawiciela w UE pod Siedziba poza UE.

Podczas rejestracji w portalu BSI trzeba podać państwa członkowskie UE, w których świadczysz „usługę”. Co przez to rozumieć?

Chodzi o działalność, która w ogóle wprowadza twój podmiot do zakresu, czyli twoją podstawową usługę w danym sektorze, a nie każdą usługę poboczną i nie każde miejsce, w którym jedynie używane są twoje produkty. Musisz podać państwa członkowskie, w których faktycznie świadczysz tę usługę (powiązane z NIS2 artykuł 26 o jurysdykcji). Jeżeli działasz w kilku krajach, pomaga klasyfikacja pod Samoklasyfikacja.

Czy firmy działające międzynarodowo mogą przeprowadzić swoją rejestrację i zgłaszanie incydentów bezpieczeństwa centralnie w BSI i tym samym jednocześnie wypełnić swoje obowiązki z ustawy wdrażającej NIS2 dla wszystkich państw członkowskich UE?

Zasada jednej jurysdykcji w siedzibie obowiązuje wyłącznie wąsko ograniczoną grupę usług cyfrowych: usługi DNS, rejestry TLD, dostawcy chmury i centrów danych, dostawcy usług zarządzanych, sieci dostarczania treści i platformy internetowe rejestrują się centralnie u organu swojej siedziby (NIS2 artykuły 26 i 27, w Niemczech sekcja 60 BSIG). Wszystkie pozostałe podmioty podlegają nadzorowi każdego państwa członkowskiego, w którym są aktywne, i muszą rejestrować się oraz zgłaszać osobno w każdym z tych państw. Pojedyncza rejestracja w BSI co do zasady nie pokrywa zatem twoich obowiązków w pozostałych krajach.

Mam pytania o portal BSI i rejestrację. Czy BSI również udziela informacji na ten temat?

Tak. BSI prowadzi własną sekcję FAQ specjalnie o portalu BSI i procedurze rejestracji oraz udostępnia tam przewodniki i pomoc. W kwestiach technicznych dotyczących Mein Unternehmenskonto skontaktuj się z jego wsparciem; w kwestiach merytorycznych dotyczących rejestracji NIS2 skorzystaj z kanałów kontaktowych BSI. Proces rejestracji podsumowujemy pod Rejestracja.

Jako podmiot regulowany przez DORA, czy muszę zarejestrować się w BSI?

Tak, obowiązek rejestracji na podstawie sekcji 33 BSIG pozostaje w mocy, nawet jeżeli podlegasz DORA jako przedsiębiorstwo finansowe. DORA jest lex specialis dla materialnych obowiązków bezpieczeństwa i zgłaszania: jako przedsiębiorstwo regulowane przez DORA jesteś zwolniony z sekcji 30, 31, 32, 35, 36, 38 i 39 BSIG i zgłaszasz incydenty dotyczące wyłącznie podmiotów DORA według reguł DORA zamiast na podstawie sekcji 32 BSIG (podstawa: NIS2 artykuł 4). Mimo to musisz dokonać wpisu w portalu BSI.

Jaki cel realizuje BSI obowiązkiem zgłaszania? Możliwie najszybsze zgłoszenie z ryzykiem, że zaistniały incydent nie doprowadził do rzeczywistego zagrożenia, czy też naprawdę tylko zgłaszanie istotnych incydentów, w których zagrożenie się zmaterializowało? Jak konkretnie zdefiniowane są dla obowiązku zgłaszania pojęcia powzięcia wiedzy (Kenntniserlangung) i incydentu bezpieczeństwa?

Celem jest szybkość przed kompletnością: art. 23 dyrektywy NIS2 (transponowany w sekcji 32 BSIG) wymaga wczesnego ostrzeżenia w ciągu 24 godzin, zgłoszenia w ciągu 72 godzin i sprawozdania końcowego najpóźniej po jednym miesiącu. Krótki 24-godzinny termin ma dać organowi wczesny obraz sytuacji, aby można było ostrzec inne podmioty. Lepiej zgłosić za wcześnie i z niepewnością niż za późno. Powzięcie wiedzy oznacza moment, od którego twój podmiot może z rozsądną pewnością ocenić incydent jako poważny (nie dopiero po zakończonej analizie pierwotnej przyczyny), a 24-godzinny termin biegnie od tego momentu. Incydent bezpieczeństwa jest poważny na podstawie art. 23 ust. 3 dyrektywy NIS2, jeżeli spowodował lub może spowodować poważne zakłócenie operacyjne lub stratę finansową, albo jeżeli wpłynął lub może wpłynąć na inne osoby, powodując znaczne szkody majątkowe lub niemajątkowe.

Czy będzie możliwe dokonywanie dobrowolnych zgłoszeń o incydentach bezpieczeństwa?

Tak. Art. 30 dyrektywy NIS2 (transponowany w sekcji 35 BSIG) wyraźnie przewiduje dobrowolne zgłoszenia, w tym dla podmiotów, które w ogóle nie podlegają NIS2, oraz dla incydentów poniżej progu istotności. Dobrowolne zgłoszenia są przetwarzane w taki sam sposób jak zgłoszenia obowiązkowe, ale z niższym priorytetem: zgłoszenia obowiązkowe mają pierwszeństwo. Dobrowolne zgłoszenie nie rodzi żadnych dodatkowych obowiązków i nie może być interpretowane na niekorzyść podmiotu zgłaszającego.

Czy zgłoszenia o incydentach mogą być składane po angielsku?

Językiem postępowania organu jest niemiecki, więc zgłoszenia powinny być dokonywane po niemiecku. Jednak ze względu na krótki 24-godzinny termin na podstawie art. 23 dyrektywy NIS2 obowiązuje, co następuje: szybkie wczesne ostrzeżenie po angielsku jest lepsze niż spóźnione po niemiecku. Jeżeli więc to konieczne, złóż najpierw po angielsku i dodaj szczegóły w języku niemieckim w zgłoszeniach uzupełniających.

Jak należy postąpić w przypadku incydentu bezpieczeństwa istotnego dla NIS2 z potencjalnymi skutkami dla zakładów w kilku państwach członkowskich UE, gdy główne miejsce prowadzenia działalności dotkniętej firmy znajduje się w Niemczech? Czy oprócz BSI należy poinformować również właściwe organy w pozostałych dotkniętych państwach?

Obowiązuje zasada państwa pochodzenia na podstawie art. 26 dyrektywy NIS2: jeżeli twoje główne miejsce prowadzenia działalności jest w Niemczech, podlegasz co do zasady nadzorowi jurysdykcyjnemu wyłącznie w Niemczech i zgłaszasz incydent tylko raz do BSI. Nie musisz sam informować organów pozostałych dotkniętych państw członkowskich. Wymianę transgraniczną prowadzą organy między sobą za pośrednictwem sieci CSIRT i Grupy Współpracy. Wielokrotne zgłoszenie w każdym dotkniętym kraju nie jest zatem wymagane. Wyjątek obowiązuje dostawców usług DNS, chmury, centrów danych i podobnych usług cyfrowych, których jurysdykcję ustala położenie ich głównego miejsca prowadzenia działalności w UE.

Jeżeli części mojej firmy są objęte DORA, a inne części NIS2, czy mój usługodawca IT musi zgłaszać incydenty bezpieczeństwa dwukrotnie?

Nie, nie ma potrzeby zgłaszania dwukrotnie. DORA jest regułą bardziej szczegółową względem NIS2 (art. 4 DORA, art. 1 ust. 2 dyrektywy NIS2 i sekcja 1 ust. 6 BSIG): w zakresie, w jakim incydent dotyczy obszaru DORA, kanały i terminy zgłaszania DORA mają pierwszeństwo i w tym zakresie wypierają obowiązek zgłaszania NIS2. Liczy się, która reguła obejmuje dotkniętą usługę, a nie firma jako całość. Wyjaśnij umownie z wyprzedzeniem ze swoim usługodawcą IT, według której reguły zgłasza on który incydent któremu organowi.

Czy planowane jest na przyszłość europejskie rozwiązanie dla rejestracji i zgłaszania?

Niektórzy dostawcy usług cyfrowych (na przykład dostawcy usług DNS, dostawcy chmury, centra danych, internetowe platformy handlowe) są już ujmowani w ogólnounijnym rejestrze za pośrednictwem ENISA na podstawie art. 27 dyrektywy NIS2. Dla wszystkich pozostałych podmiotów rejestracja i zgłaszanie pozostają krajowe, czyli w Niemczech przez portal BSI. W pełni ujednolicona europejska platforma dla wszystkich podmiotów, wykraczająca poza to, nie została obecnie zdecydowana. Na razie decydujący pozostaje krajowy kanał zgłoszeniowy.

Jak zapewnia się, że dane rejestracyjne i firmowe zebrane na podstawie reguł NIS2 / KRITIS są traktowane poufnie i chronione przed nieuprawnionym dostępem?

Poufność jest zabezpieczona ustawowo: art. 23 ust. 9 dyrektywy NIS2 zobowiązuje organy do ochrony interesu podmiotu zgłaszającego w zakresie poufności, a BSIG zawiera w tym celu własne reguły poufności i ograniczenia celu. Dane są wykorzystywane wyłącznie do celów przewidzianych prawem, na przykład oceny sytuacji i zapobiegania zagrożeniom, i nie są publikowane. Dostęp jest ograniczony do właściwych podmiotów; ujawnienie innym organom następuje wyłącznie w prawnie dozwolonych ramach i przy zachowaniu poufności.

Co się dzieje, jeżeli zobowiązana firma zgłosi incydent z opóźnieniem lub w ogóle nie zgłosi go właściwemu organowi? Kto sprawdza, czy incydenty podlegające zgłoszeniu zostały prawidłowo zgłoszone?

Obowiązek zgłaszania wynika z artykułu 23 dyrektywy NIS2: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie w ciągu 72 godzin i sprawozdanie końcowe w ciągu jednego miesiąca od poważnego incydentu (transponowany w Niemczech w §32 BSIG). Spóźnione zgłoszenie, lub jego brak, jest naruszeniem obowiązku, które właściwy organ (BSI dla większości podmiotów) może sankcjonować na podstawie reguł nadzoru i egzekwowania z artykułów 31–34 (§§61 i nast. oraz §65 BSIG). Możliwe środki obejmują instrukcje, wiążące nakazy i kary pieniężne, których wysokość zależy od typu podmiotu: dla podmiotów kluczowych artykuł 34 ustala górną granicę na co najmniej 10 milionów euro lub 2 procent ogólnoświatowego rocznego obrotu (w zależności od tego, która wartość jest wyższa), a dla podmiotów ważnych co najmniej 7 milionów euro lub 1,4 procent. Organ ocenia, czy zgłoszenie zostało dokonane prawidłowo, na podstawie złożonego zgłoszenia i może je zweryfikować poprzez swoje uprawnienia nadzorcze z artykułów 32 i 33 (takie jak żądania informacji, audyty, kontrole na miejscu). Terminowe, kompletne zgłoszenie w przepisanym formacie jest zatem najbezpieczniejszą drogą. Przewodnik krok po kroku dotyczący obowiązku i organu znajdziesz pod Rejestracja i obowiązek zgłaszania.

Jakie obowiązki ma zarząd na podstawie NIS2?

Zarząd musi zatwierdzić środki zarządzania ryzykiem, nadzorować ich wdrożenie i uczestniczyć w szkoleniach z cyberbezpieczeństwa (art. 20 dyrektywy NIS2, transponowany w sekcji 38 BSIG). Zatwierdzenie oznacza aktywne przeanalizowanie i wyrażenie zgody na piśmie, a nie samo podpisanie. Nadzór oznacza regularne sprawdzanie, czy środki są wdrożone i skuteczne. Wdrożenie operacyjne można delegować, ale odpowiedzialność zarządu pozostaje przy zarządzie. To, czy w ogóle jesteś w zakresie, powinieneś wyjaśnić najpierw pełnym testem.

Co oznacza obowiązek zatwierdzania i nadzoru zarządu?

Zatwierdzenie oznacza: zarząd przygląda się planowanym środkom zarządzania ryzykiem, rozumie je co do istoty i akceptuje je w udokumentowany sposób (art. 20 ust. 1 dyrektywy NIS2, w Niemczech sekcja 38 ust. 1 BSIG). Nadzór oznacza: środek raz zatwierdzony i nigdy więcej nieprzeglądany nie spełnia obowiązku. Sensowne są stałe sprawozdania o stanie, wskaźniki i jasna ścieżka eskalacji, aby zarząd mógł w każdej chwili wykazać aktualny stan. Ten obowiązek spoczywa na samym zarządzie, nie może go nikomu przekazać.

Czy zarząd musi uczestniczyć w szkoleniu?

Tak. Zarząd podmiotów kluczowych i ważnych musi regularnie uczestniczyć w szkoleniach z cyberbezpieczeństwa (art. 20 ust. 2 dyrektywy NIS2, w Niemczech sekcja 38 ust. 3 BSIG). Celem jest, aby zarząd potrafił rozpoznawać ryzyka, oceniać środki zarządzania ryzykiem i szacować ich wpływ na usługi. Dyrektywa nie wymienia minimalnej liczby godzin ani stałych odstępów; w swoich wytycznych BSI zaleca coroczne odświeżenie i podaje około czterech godzin jako orientacyjną wartość zakresu. Ten obowiązek dotyczy każdej osoby powołanej do kierowania podmiotem na mocy ustawy, statutu lub umowy spółki, i nie może być delegowany.

Czy zarząd może delegować swój obowiązek szkoleniowy?

Nie. Obowiązek szkoleniowy spoczywa osobiście na organach zarządzających i nie może być przekazany pracownikom ani zewnętrznym usługodawcom (art. 20 ust. 2 dyrektywy NIS2, w Niemczech sekcja 38 ust. 3 BSIG). Możesz powołać inspektora ochrony danych lub pełnomocnika ds. bezpieczeństwa i rozdzielić wdrożenie operacyjne, ale samodzielne uczestnictwo w szkoleniu pozostaje twoim zadaniem. Udokumentuj, kto uczestniczył, jak długo i z jaką treścią, abyś mógł to przedstawić organowi na żądanie.

Czy zarząd odpowiada osobiście za naruszenia?

Jeżeli członek zarządu naruszy swój obowiązek zatwierdzania, nadzoru lub szkolenia, odpowiada wobec swojego własnego podmiotu za zawinione wyrządzenie szkody na podstawie reguł prawa spółek danej formy prawnej (art. 20 dyrektywy NIS2, w Niemczech sekcja 38 BSIG). Roszczenie to przysługuje spółce, a nie osobom trzecim, a pełne zrzeczenie się odpowiedzialności poprzez umowę spółki lub statut jest wyłączone. W praktyce zmniejszasz ryzyko, czysto dokumentując zatwierdzenia, kontrole i zapisy ze szkoleń. Najlepszą ochroną nie jest zrzeczenie się, lecz wykazalne wypełnienie zestawu obowiązków.

Czy webinaria będą nagrywane?

Nie. Webinaria BSI na temat NIS2 nie są nagrywane, więc albo uczestniczysz na żywo, albo wcale. Ważne: webinaria są dobrowolną ofertą informacyjną, a nie obowiązkową częścią twojego wdrożenia. Dla twoich obowiązków liczą się środki zarządzania ryzykiem na podstawie artykułu 21 dyrektywy NIS2 (transponowane w Niemczech w §30 BSIG), a nie uczestnictwo w webinarium.

Jak otrzymam materiały do każdego webinarium?

Wszyscy zarejestrowani uczestnicy otrzymują slajdy następnie e-mailem. Warunkiem jest zatem rejestracja na dane webinarium: kto nie jest zarejestrowany, nie otrzymuje materiałów automatycznie. Po sesji sprawdź również folder ze spamem, jeżeli e-mail z załącznikiem nie dotrze.

Czy BSI może wspierać podmioty we wdrażaniu NIS2?

Tak, ale wyłącznie ogólnie, a nie w twoim indywidualnym przypadku. BSI udostępnia FAQ, pakiety informacyjne, pakiet startowy i seminaria wprowadzające, ale w ramach swojego ustawowego mandatu (§3 BSIG, który transponuje zadania z dyrektywy NIS2) wyraźnie nie świadczy ani doradztwa w sprawach indywidualnych, ani doradztwa prawnego. Do konkretnego wdrożenia w twojej firmie potrzebujesz zatem albo własnego know-how, albo wykwalifikowanego usługodawcy lub doradztwa prawnego. Od czego możesz zacząć samodzielnie, pokazuje pełny test stosowania pod Wer ist betroffen.

Czy istnieją już informacje lub wytyczne BSI dotyczące środków do wdrożenia przez podmioty kluczowe i ważne na podstawie NIS2?

Tak. Na swojej centralnej stronie internetowej o NIS2 BSI publikuje konkretne wytyczne do poszczególnych obowiązków i środków. Co do treści odpowiadają one środkom zarządzania ryzykiem z artykułu 21 dyrektywy NIS2 i rozporządzenia wykonawczego (UE) 2024/2690 (transponowane w Niemczech w §30 BSIG). Jako metodyczny sposób BSI wskazuje IT-Grundschutz: jeżeli go stosujesz, środki z §30 BSIG uważa się co do zasady za spełnione, co jest najbardziej praktyczną wytyczną obecnie dostępną.

Czy sektor podmiotów świadczących opiekę zdrowotną obejmuje również placówki opieki długoterminowej?

Nie. Typ podmiotu „podmiot świadczący opiekę zdrowotną” wiąże się z definicją w artykule 3 lit. g) dyrektywy 2011/24/UE, do której odsyła NIS2 (załącznik I, sektor zdrowia dyrektywy (UE) 2022/2555). Czysta opieka długoterminowa nie mieści się w tej definicji i dlatego jako taka nie jest objęta. Ważne: jeżeli placówka opiekuńcza dodatkowo świadczy usługi opieki zdrowotnej w rozumieniu definicji (takie jak leczenie medyczne lub pielęgniarskie), ta część może być objęta, o ile spełnione są progi wielkości na podstawie §28 BSIG. Sprawdź krok po kroku: Kto jest objęty.

Czy typ podmiotu „podmiot świadczący opiekę zdrowotną” obejmuje również dystrybucję lub dostawę wyrobów medycznych?

Nie. Sama dystrybucja lub dostawa wyrobów medycznych nie spełnia definicji usługi opieki zdrowotnej na podstawie artykułu 3 lit. g) dyrektywy 2011/24/UE, do której NIS2 odsyła dla sektora zdrowia (załącznik I). Nie jesteś zatem objęty poprzez ten typ podmiotu. Mogą jednak obowiązywać inne punkty odniesienia: producenci krytycznych wyrobów medycznych należą do sektora zdrowia, producenci wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro należą do sektora produkcji (załącznik II). Dodatkowo sprawdź, czy jesteś objęty jako instalacja krytyczna na podstawie KritisV.

Jak postępuje się, gdy zakład zalicza się do instalacji krytycznych (punkt wydawania wyrobów medycznych), a tym samym jest infrastrukturą krytyczną na podstawie BSI-KritisV, ale wskazany próg obrotu dla podmiotów kluczowych nie jest osiągany?

Operatorzy instalacji krytycznej są na podstawie §28 ustęp 1 BSIG podmiotem kluczowym niezależnie od wielkości i obrotu. Progi wielkości i obrotu z ogólnego kryterium wielkości nie odgrywają tu zatem żadnej roli: kto przekracza próg KritisV dla instalacji, jest objęty, nawet jeżeli firma poniżej tego jest małym zakładem. Jedynym decydującym czynnikiem jest próg ilościowy danej kategorii instalacji w KritisV (§2 numer 22 BSIG). Możesz osiągnąć próg KritisV bez osiągnięcia progu pracowników lub obrotu z ogólnego kryterium wielkości, i mimo to jesteś w pełni objęty.

Czy placówki pomocy w integracji (Eingliederungshilfe) są objęte NIS2?

Pomoc w integracji jako taka nie jest własnym typem podmiotu na podstawie NIS2 i nie mieści się w definicji usługi opieki zdrowotnej na podstawie artykułu 3 lit. g) dyrektywy 2011/24/UE. Nie jesteś zatem objęty z samego tytułu pomocy w integracji. Zależy to od konkretnie wykonywanych czynności: jeżeli placówka dodatkowo świadczy usługi opieki zdrowotnej w rozumieniu definicji i osiąga progi na podstawie §28 BSIG, ta część może być objęta. Dla pewności powinieneś dodatkowo sprawdzić, czy obowiązuje inny sektor NIS2 lub instalacja krytyczna na podstawie KritisV.

Czy ratownictwo medyczne jest objęte NIS2?

Zależy to od wykonywanej czynności, a nie od etykiety „ratownictwo medyczne”. W zakresie, w jakim ratownictwo medyczne świadczy usługi opieki zdrowotnej w rozumieniu artykułu 3 lit. g) dyrektywy 2011/24/UE (takie jak ratownicza opieka medyczna), może być objęte poprzez sektor zdrowia (załącznik I), jeżeli spełnione są progi na podstawie §28 BSIG. Sam transport pacjentów bez leczenia medycznego co do zasady nie mieści się w tym. Jeżeli ratownictwo medyczne jest własnością publiczną, sprawdź dodatkowo reguły dla administracji publicznej.

Czy usługi doradztwa w zakresie bezpieczeństwa IT mieszczą się w sektorze infrastruktury cyfrowej, na przykład w typie podmiotu Managed Security Service Provider (MSSP)?

Nie. Czyste doradztwo w zakresie bezpieczeństwa IT nie jest zarządzaną usługą bezpieczeństwa. Na podstawie NIS2 (artykuł 6 numer 40 dyrektywy (UE) 2022/2555) MSSP jest MSP, który operacyjnie świadczy lub zarządza wsparciem dla działań w zakresie zarządzania ryzykiem cyberbezpieczeństwa, czyli przejmuje bieżącą eksploatację funkcji bezpieczeństwa dla klientów. Kto wyłącznie doradza, audytuje lub szkoli, bez ciągłej eksploatacji lub zarządzania systemami klientów, nie mieści się w MSP ani MSSP (sektor zarządzania usługami ICT należy do załącznika I, a nie do infrastruktury cyfrowej). Jednak z chwilą, gdy faktycznie zarządzasz usługami bezpieczeństwa klientów (takimi jak eksploatacja SOC, monitorowanie, zarządzanie łatkami), klasyfikacja jako MSSP może mieć zastosowanie.

Czy spółki córki, w których zorganizowana jest centralna eksploatacja IT grupy kapitałowej, należy traktować jako Managed Services Providers (MSP) lub Managed Security Service Providers (MSSP)?

Decydującym czynnikiem jest to, czy usługa IT jest świadczona na zewnątrz na rynku. MSP i MSSP na podstawie NIS2 (artykuł 6 numery 39 i 40 dyrektywy (UE) 2022/2555) świadczą usługi dla innych firm, a nie dla siebie. Wewnątrzgrupowa spółka córka IT, która obsługuje wyłącznie własną grupę, co do zasady nie jest zatem MSP ani MSSP poprzez ten typ podmiotu. Nie oznacza to koniecznie „nieobjęta”: jeżeli spółka córka obsługuje również osoby trzecie spoza grupy, klasyfikacja MSP lub MSSP może mieć zastosowanie, a niezależnie od tego pracownicy i obrót przedsiębiorstw powiązanych są agregowani na potrzeby progu wielkości (przedsiębiorstwa powiązane w rozumieniu definicji MŚP 2003/361/WE).

Czy hosting internetowy mieści się w jednym z typów podmiotów? (Takim jak dostawca chmury lub MSP)

Klasyczny hosting internetowy sam w sobie nie jest ani usługą przetwarzania w chmurze, ani MSP. Usługa przetwarzania w chmurze na podstawie NIS2 (artykuł 6 numer 30 dyrektywy (UE) 2022/2555) wymaga skalowalnych, elastycznie udostępnianych i współdzielonych zasobów obliczeniowych z administrowaniem na żądanie, czego czysty hosting na stałych zasobach zazwyczaj nie spełnia. MSP wymaga bieżącego zarządzania systemami IT klienta, a nie tylko udostępnienia przestrzeni dyskowej i miejsca na stronę WWW. Decydujący jest zawsze konkretny układ: jeżeli dostawca dodatkowo oferuje elastyczne zasoby chmurowe lub aktywnie zarządza systemami klientów, klasyfikacja może mieć zastosowanie. Więcej o tym: Czy jestem dostawcą chmury.

Czy jednoosobowi przedsiębiorcy, którzy eksploatują autorytatywny DNS dla klientów hostingu internetowego, są również objęci obowiązkami wdrożenia cyberbezpieczeństwa?

Tak, to może mieć zastosowanie. Dostawcy usług DNS są na podstawie NIS2 (załącznik I, infrastruktura cyfrowa, pojęcie w artykule 6 numer 20 dyrektywy (UE) 2022/2555) podmiotem kluczowym niezależnie od ich wielkości. Zwykły próg pracowników lub obrotu nie obowiązuje tu zatem, więc również jednoosobowi przedsiębiorcy mogą być objęci (§28 ustęp 1 BSIG). Decydujące jest, czy faktycznie eksploatujesz autorytatywne rozwiązywanie DNS jako własną usługę (a nie samo posiadanie własnej domeny). Jeżeli to ma zastosowanie, obowiązki w zakresie zarządzania ryzykiem, zgłaszania i rejestracji obowiązują w pełni.

Czy wszystkie firmy mieszczą się w zakresie krajowej transpozycji dyrektywy NIS2, jeżeli są „dostawcą publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej”?

Nie automatycznie każda firma, ale próg jest niski. Dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej należą do infrastruktury cyfrowej (załącznik I dyrektywy (UE) 2022/2555) i są na podstawie §28 BSIG objęci z chwilą osiągnięcia progu dla firm średnich (od 50 pracowników, albo ponad 10 milionów EUR obrotu przy sumie bilansowej powyżej 10 milionów EUR). Pojęcia regulowane są dyrektywą (UE) 2018/1972 (Europejski kodeks łączności elektronicznej), a nie własnym rozumieniem firmy co do „usługi łączności”. Uwaga: w zakresie, w jakim TKG zawiera istotne, sektorowe wymogi dla tych usług, odpowiednie obowiązki BSIG obowiązują tylko w takim zakresie, w jakim TKG nie ma pierwszeństwa (§28 BSIG).

Czy usługa przetwarzania w chmurze, która nie jest automatycznie skalowalna, co jest kryterium chmury według NIST [amerykański standard cyberbezpieczeństwa NIST SP 800], mieści się w regułach ustawy wdrażającej NIS2?

Decydującym czynnikiem nie jest standard NIST, lecz definicja usługi przetwarzania w chmurze w NIS2 (artykuł 6 numer 30 dyrektywy (UE) 2022/2555). Zgodnie z nią usługa musi udostępniać skalowalne i elastyczne, czyli skalowalne na żądanie w górę i w dół, współdzielone zasoby obliczeniowe poprzez sieć. Jeżeli ta skalowalność i elastyczność jest całkowicie nieobecna, to na podstawie definicji NIS2 co do zasady nie ma usługi przetwarzania w chmurze, a typ podmiotu dostawca chmury nie ma zastosowania. Nie oznacza to jednak koniecznie „w ogóle nieobjęty”: sprawdź, czy ma zastosowanie inny typ podmiotu (taki jak usługa centrum danych lub MSP) albo czy jesteś objęty poprzez inny sektor. Szczegóły: Czy jestem dostawcą chmury.

Czy podmioty finansowe podlegające DORA stają w obliczu obowiązków podwójnej rejestracji, podwójnego zgłaszania incydentów bezpieczeństwa, podwójnego nadzoru, podwójnych dowodów itd. wskutek ustawy wdrażającej NIS2 i DORA?

Nie, rzeczywista podwójna regulacja nie jest zamierzona. Dla podmiotów finansowych DORA (rozporządzenie (UE) 2022/2554) jest regułą bardziej szczegółową. Na podstawie artykułu 4 dyrektywy NIS2 wymogi DORA w zakresie zarządzania ryzykiem, zgłaszania incydentów i nadzoru mają zatem pierwszeństwo, a odpowiednie obowiązki NIS2 ustępują. Pozostaje wyłącznie rejestracja: artykuł 27 dyrektywy NIS2 (odzwierciedlony w prawie niemieckim poprzez właściwy obowiązek rejestracyjny BSIG) obejmuje również podmioty DORA, aby organy mogły prowadzić kompletny rejestr. Nadal zgłaszasz incydenty na podstawie DORA i dodatkowo rejestrujesz się, co nie tworzy drugiego łańcucha zgłoszeniowego ani drugiej warstwy nadzoru.

Czym wymogi NIS2 różnią się od szczególnych wymogów bezpieczeństwa dla bramki inteligentnego licznika (smart meter gateway)?

Oba zestawy reguł działają na różnych poziomach i nie wykluczają się wzajemnie. NIS2 (artykuł 21 dyrektywy, w prawie niemieckim sekcja 30 BSIG) wymaga, aby organizacja jako całość utrzymywała zarządzanie ryzykiem: procesy, odpowiedzialności, łańcuch dostaw, planowanie awaryjne. Wymogi dla bramki inteligentnego licznika natomiast wynikają z ustawy o eksploatacji punktów pomiarowych i wytycznych technicznych BSI (na przykład TR-03109) i dotyczą technicznego bezpieczeństwa konkretnego urządzenia, włącznie z certyfikacją. Krótko: NIS2 reguluje, jak zabezpieczasz swoją firmę, wymogi inteligentnego licznika regulują, jak musi być zaprojektowane pojedyncze urządzenie. Oba obowiązują równolegle.

Jak doszło do zmiany nazwy na „Cyfrowe Usługi Energetyczne”?

Dawną kategorię instalacji punktu agregacji (Buendelstelle) przemianowano na „Cyfrowe Usługi Energetyczne”, ponieważ termin lepiej oddaje rosnącą rolę systemów IT i procesów cyfrowych w sektorze energetyki niż dawna nazwa, ściśle związana z agregacją odczytów liczników. Ważniejsza od nazwy jest konsekwencja: dla tej kategorii regulacja bezpieczeństwa informacji nie leży już w BSIG, lecz w sekcjach 5c i nast. EnWG, a właściwa jest Bundesnetzagentur.

Co zmiana ustawowa oznacza dla mojego punktu agregacji (BueStel)?

Twój punkt agregacji jest usunięty z regulacji BSIG jako „Cyfrowa Usługa Energetyczna”. Wymogi w zakresie bezpieczeństwa informacji będą w przyszłości regulowane sekcjami 5c i nast. EnWG, a właściwym organem nadzorczym jest Bundesnetzagentur, a nie już BSI. Dla dotkniętej instalacji w kategorii 1.1.2 nie musisz już dostarczać dowodów do BSI na podstawie sekcji 8a BSIG. Twój punkt kontaktowy i twoje wymogi techniczne zatem się zmieniają; sprawdź niezwłocznie wymogi Bundesnetzagentur.

Jakie obowiązki wobec BSI pozostają jeszcze po zmianie ustawowej?

Wobec BSI pozostają zasadniczo rejestracja i bieżące utrzymywanie aktualności twoich danych podstawowych w portalu BSI, dopóki przyporządkowanie jest tam jeszcze prowadzone. Materialny nadzór i dowody dla instalacji zaklasyfikowanych jako „Cyfrowe Usługi Energetyczne” przechodzą do Bundesnetzagentur na podstawie sekcji 5c i nast. EnWG. Jeżeli masz również dalsze instalacje zarejestrowane w BSI, obowiązki BSIG nadal obowiązują dla nich bez zmian; usuwane są wyłącznie cyfrowe usługi energetyczne.

Jaką podstawę audytową mogę wykorzystać do dowodu?

Dla dowodu wobec BSI decydująca pozostaje utrwalona podstawa: uznany standard audytowy, taki jak sektorowy standard bezpieczeństwa (B3S) na podstawie sekcji 8a ustęp 2 BSIG lub równoważny standard, który pokrywa wymogi dla twojej instalacji. Dla instalacji usuniętych jako „Cyfrowe Usługi Energetyczne” podstawa audytowa jest jednak regulowana wymogami Bundesnetzagentur na podstawie sekcji 5c i nast. EnWG. Decydujące jest zatem, pod którym reżimem prowadzona jest twoja instalacja po zmianie; wyjaśnij to najpierw, zanim wybierzesz standard audytowy.

Jak dowiem się, do kiedy muszę dostarczyć dowody?

Termin wynika z twojej kategorii instalacji i mającego do ciebie zastosowanie cyklu dowodowego, a nie z jednej jednolitej daty granicznej. Dla instalacji pozostających w świecie BSIG obowiązuje znany regularny cykl dowodowy na podstawie sekcji 8a BSIG; BSI komunikuje konkretną datę w ramach twojej rejestracji lub urzędową decyzją. Dla instalacji, które przeszły do Bundesnetzagentur jako „Cyfrowe Usługi Energetyczne”, ta ustala daty dowodowe na podstawie sekcji 5c i nast. EnWG. W razie wątpliwości decydujące jest pisemne zawiadomienie danego właściwego organu; nie polegaj na ogólnej liczbie roku.

Jaki wpływ ma ustawa wdrażająca NIS2 na pozostałe instalacje mojej firmy zarejestrowane w BSI?

Usunięcie dotyczy wyłącznie instalacji zaklasyfikowanych jako „Cyfrowe Usługi Energetyczne” (dawna kategoria 1.1.2). Wszystkie pozostałe instalacje twojej firmy zarejestrowane w BSI pozostają w reżimie BSIG: obowiązki rejestracji, zarządzania ryzykiem i dowodowe obowiązują tam nadal bez zmian. Nie powstaje żadna luka i nie ma automatycznego wygaśnięcia; nieobjęte instalacje eksploatujesz dokładnie jak dotychczas i zachowujesz BSI jako właściwy organ.

Czy trwający audyt do dostarczenia dowodów na podstawie sekcji 8a BSIG dla instalacji w kategorii instalacji 1.1.2 musi zostać zakończony?

Nie. Dla instalacji w kategorii 1.1.2, które wypadają z BSIG jako „Cyfrowe Usługi Energetyczne”, nie należy już dostarczać do BSI dowodów na podstawie sekcji 8a BSIG, więc trwający w tym celu audyt nie musi już być kończony na potrzeby BSI. Obserwuj jednak przyszłe wymogi Bundesnetzagentur na podstawie sekcji 5c i nast. EnWG; już wykonana praca audytowa może być tam nadal użyteczna. Wyjaśnij dokładne przejście bezpośrednio z właściwym organem, zanim przerwiesz audyt.

Czy operatorzy sieci zaopatrzenia w energię na podstawie sekcji 5d ustęp 4 EnWG muszą zarejestrować się w portalu BSI?

Tak. Operatorzy sieci zaopatrzenia w energię na podstawie sekcji 5d ustęp 4 EnWG są zobowiązani do rejestracji w portalu BSI, nawet jeżeli nie są jednocześnie zaklasyfikowani jako podmiot kluczowy lub ważny na podstawie sekcji 28 BSIG. Obowiązek rejestracji wiąże się tu z eksploatacją sieci i istnieje niezależnie od ogólnego progu wielkości NIS2. Wprowadź swoje dane podstawowe do portalu BSI w terminie. Więcej o procedurze: nis2-registrierung.

Czy restauracje hotelowe, restauracje lub zakłady gastronomiczne liczą się jako „podmioty ważne”?

Co do zasady nie. Sektor żywności z załącznika 2 obejmuje wyłącznie firmy w handlu hurtowym oraz w przemysłowej produkcji i przetwórstwie żywności, a nie klasyczną gastronomię. Restauracja hotelowa, restauracja lub zakład gastronomiczny nie mieści się zatem w NIS2 tylko z powodu przygotowywania posiłków. Decydujące pozostaje również to, czy spełnione są progi wielkości; sprawdź swoją klasyfikację systematycznie: wer-ist-betroffen-vollstaendiger-test.

Czy „sowie” (oraz) jest równoznaczne z „lub”?

Tak. W brzmieniu dotyczącym żywności z załącznika 2 „sowie” łączy wymienione działania w sposób wyliczeniowy, a nie kumulatywny. Firma jest zatem już objęta, jeżeli jest aktywna w handlu hurtowym lub w produkcji przemysłowej, lub w przetwórstwie; nie musi wykonywać wszystkich trzech działań jednocześnie. Tym, co jest następnie dodatkowo decydujące dla objęcia, jest to, czy spełnione są właściwe progi wielkości.

Czy wszyscy uczestnicy bezpiecznego łańcucha dostaw w obszarze bezpieczeństwa lotnictwa podlegają KRITIS, nawet jeżeli są małymi przedsiębiorstwami poniżej progów stosowania NIS2?

Nie. Uczestnictwo w bezpiecznym łańcuchu dostaw na podstawie §9a LuftSiG nie czyni firmy automatycznie Infrastrukturą Krytyczną i nie czyni jej automatycznie podmiotem NIS2. Decydujące są dwa odrębne progi: operatorem KRITIS stajesz się dopiero wtedy, gdy przekroczysz progi wolumenowe BSI-KritisV dla usługi krytycznej (zazwyczaj w sektorze lotnictwa lub logistyki). Stosowanie NIS2 na podstawie załącznika I lub II do dyrektywy NIS2 (UE) 2022/2555 z kolei wymaga, abyś był aktywny w objętym sektorze i spełniał kryteria wielkości (co do zasady od 50 pracowników lub ponad 10 milionów EUR rocznego obrotu; BSIG transponuje to w §28). Kto jest poniżej obu progów, nie jest objęty ani KRITIS, ani NIS2 z samego tytułu uczestnictwa w łańcuchu dostaw. Pełny test znajdziesz pod Kto jest objęty.

Które formy prawne mieszczą się w sektorze finansowym i podsektorze bankowym według NIS2?

Klasyfikacja nie opiera się na formie prawnej (GmbH, AG, eG czy innej), lecz na działalności. W bankowości załącznik I do dyrektywy NIS2 (UE) 2022/2555 obejmuje instytucje kredytowe w rozumieniu artykułu 4 ust. 1 pkt 1 rozporządzenia (UE) nr 575/2013, czyli przedsiębiorstwa, których działalność polega na przyjmowaniu depozytów lub innych środków podlegających zwrotowi od ludności oraz udzielaniu kredytów na własny rachunek. Nie jest do tego przepisana żadna konkretna forma prawna; liczy się wyłącznie, abyś był uprawniony jako instytucja kredytowa i prowadził tę działalność. Ważne: dla instytucji kredytowych DORA (rozporządzenie (UE) 2022/2554) ma zastosowanie z pierwszeństwem jako lex specialis od 17 stycznia 2025 r., więc operacyjne obowiązki zarządzania ryzykiem i zgłaszania należy wypełniać na podstawie DORA zamiast NIS2. To, czy jesteś objęty jako bank, możesz sprawdzić pod Czy jestem bankiem w rozumieniu NIS2.