Słownik terminologii NIS2

Podmiot kluczowy

Besonders wichtige Einrichtung

Firmy w sektorach o wysokiej krytyczności (załącznik I NIS2) powyżej progu wielkości. W Niemczech podlegają one najsurowszym wymogom i najwyższym karom na podstawie §28 BSIG. Pomyśl: energetyka, transport, bankowość, zdrowie, woda, infrastruktura cyfrowa. Podmioty kluczowe podlegają proaktywnym audytom BSI - BSI może Cię skontrolować bez konkretnego powodu.

§28 ust. 1 BSIG, dyrektywa NIS2 art. 3 ust. 1

Podmiot ważny

Wichtige Einrichtung

Firmy w pozostałych objętych zakresem sektorach (załącznik II NIS2) powyżej progu wielkości. Te same podstawowe obowiązki co podmioty kluczowe, ale niższe maksymalne kary oraz nadzór reaktywny, a nie proaktywny - BSI prowadzi dochodzenie, jeśli coś pójdzie nie tak, a nie według rutynowego harmonogramu. Pomyśl: gospodarka odpadami, żywność, produkcja, usługi pocztowe, chemikalia, badania naukowe.

§28 ust. 2 BSIG, dyrektywa NIS2 art. 3 ust. 2

KRITIS (infrastruktura krytyczna)

Kritische Infrastrukturen

Operatorzy obiektów krytycznych, którzy przekraczają progi określone w rozporządzeniu BSI-KritisV (zazwyczaj 500 000 obsługiwanych osób). Operatorzy KRITIS są automatycznie klasyfikowani jako podmioty kluczowe i podlegają dodatkowym obowiązkom wykraczającym poza standardowy NIS2: audyty dowodowe co trzy lata, obowiązkowe systemy wykrywania ataków oraz surowsze terminy zgłaszania incydentów.

BSI-KritisV, §28 BSIG

BSIG (BSI-Gesetz)

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

Niemiecka ustawa federalna regulująca BSI (Federalny Urząd Bezpieczeństwa Informacji) oraz obowiązki w zakresie cyberbezpieczeństwa. NIS2UmsuCG znowelizowała BSIG, włączając wszystkie wymogi NIS2. Gdy ktoś mówi 'zgodność z NIS2 w Niemczech', ma na myśli zgodność ze znowelizowaną BSIG. To jest prawo, które ma do Ciebie zastosowanie - nie sama dyrektywa NIS2.

BSIG w brzmieniu zmienionym przez NIS2UmsuCG

NIS2UmsuCG

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Ustawa o wdrożeniu NIS-2 i wzmocnieniu cyberbezpieczeństwa - niemiecka krajowa transpozycja dyrektywy NIS2. Przyjęta 13 listopada 2025 r. i obowiązująca od 6 grudnia 2025 r. Znacząco nowelizuje BSIG i wprowadza wszystkie obowiązki NIS2 do prawa niemieckiego. Gdy prawo niemieckie odnosi się do 'zgodności z NIS2', oznacza to zgodność z BSIG w brzmieniu zmienionym przez NIS2UmsuCG.

NIS2UmsuCG (BGBl. 2025)

Dyrektywa NIS2

Przepisy na poziomie UE (dyrektywa 2022/2555), które wymagały od wszystkich państw członkowskich wdrożenia regulacji cyberbezpieczeństwa dla podmiotów krytycznych i ważnych. Wyznacza minimalne wymogi - następnie każdy kraj transponował je do prawa krajowego. W Niemczech stała się znowelizowaną BSIG. Nie spełniasz wymogów dyrektywy bezpośrednio; spełniasz wymogi BSIG.

Dyrektywa (UE) 2022/2555

CIR 2024/2690

Rozporządzenie wykonawcze UE, które określa dokładne wymogi techniczne i metodologiczne dla podmiotów NIS2. W przeciwieństwie do dyrektywy, ma ono bezpośrednie zastosowanie we wszystkich państwach członkowskich bez transpozycji. Szczegółowo opisuje, co 'odpowiednie środki cyberbezpieczeństwa' faktycznie oznaczają w praktyce - traktuj je jako techniczny zbiór zasad uzupełniający szczegóły, które dyrektywa pozostawiła otwarte.

Rozporządzenie wykonawcze Komisji (UE) 2024/2690

Kod NACE

NACE-Code

Statystyczna klasyfikacja działalności gospodarczej we Wspólnocie Europejskiej (Nomenclature statistique des Activités économiques dans la Communauté Européenne). NIS2 i BSIG używają kodów NACE do określenia, które sektory i działalności gospodarcze są objęte zakresem. Kod NACE Twojej firmy jest pierwszą rzeczą, którą BSI sprawdza przy ocenie stosowalności.

Rozporządzenie (WE) 1893/2006

Rejestracja BSI

BSI-Registrierung

Obowiązkowa rejestracja podmiotów objętych zakresem w BSI za pośrednictwem jego portalu internetowego. Wymagana przez §33 BSIG z własnym przepisem karnym. Podajesz dane firmy, klasyfikację sektorową, osobę kontaktową ds. cyberbezpieczeństwa oraz zakresy adresów IP. To samodzielny obowiązek prawny - jego dopełnienie nie spełnia pozostałych wymogów NIS2, ale jego niedopełnienie jest odrębnym naruszeniem.

§33 BSIG

MUK (Mein Unternehmenskonto)

Mein Unternehmenskonto

Centralne konto firmowe Niemiec dla usług administracji federalnej, uwierzytelniane za pomocą certyfikatów ELSTER. Warunek rejestracji w BSI: firmy muszą najpierw utworzyć konto MUK, a następnie uzyskać przez nie dostęp do portalu rejestracyjnego BSI. Jeśli nie masz jeszcze konta MUK, nie możesz zarejestrować się w BSI - to pierwszy praktyczny krok przed jakąkolwiek pracą nad zgodnością.

OZG, ELSTER

Poważny incydent

Erheblicher Sicherheitsvorfall

Zdarzenie cyberbezpieczeństwa, które faktycznie zakłóca Twoją usługę, powoduje szkodę finansową lub może rozprzestrzenić się na inne podmioty. Nie każdy e-mail phishingowy - tylko zdarzenia, które przekraczają określone progi dotkliwości, uruchamiają obowiązkową kaskadę zgłoszeń do BSI. CIR 2024/2690 definiuje konkretne progi: strata finansowa przekraczająca 500 000 EUR lub 5% obrotu, eksfiltrację danych stanowiących tajemnice handlowe lub wpływ na zdrowie.

§32 BSIG, CIR 2024/2690 art. 3

Środki zarządzania ryzykiem

Risikomanagementmaßnahmen

Dziesięć kategorii środków cyberbezpieczeństwa, które wszystkie podmioty NIS2 muszą wdrożyć na podstawie §30 BSIG. Obejmują one od oceny ryzyka i obsługi incydentów po bezpieczeństwo łańcucha dostaw i kryptografię. Muszą być 'odpowiednie i proporcjonalne' do Twojej wielkości i profilu ryzyka - od 50-osobowej firmy gospodarki odpadami nie oczekuje się wdrożenia tych samych zabezpieczeń co od Deutsche Telekom.

§30 ust. 2 BSIG

Bezpieczeństwo łańcucha dostaw

Sicherheit der Lieferkette

Wymóg oceny i zarządzania ryzykami cyberbezpieczeństwa w Twoim łańcuchu dostaw - zwłaszcza dostawców usług IT, dostawców usług chmurowych oraz każdego dostawcy z dostępem do Twoich systemów lub danych. Musisz uwzględnić wymogi bezpieczeństwa w umowach, oceniać praktyki dostawców oraz monitorować ich w czasie. To nowość w porównaniu ze starym reżimem KRITIS.

§30 ust. 2 pkt 4 BSIG

Odpowiedzialność kierownictwa

Leitungsverantwortung

Osobista odpowiedzialność kierownictwa firmy (Geschäftsführung) za zgodność z NIS2 na podstawie §38 BSIG. Kierownictwo musi zatwierdzić środki cyberbezpieczeństwa, zapewnić ich wdrożenie, odbyć szkolenie z cyberbezpieczeństwa i może ponosić osobistą odpowiedzialność za wynikłe szkody. Tej odpowiedzialności nie można zrzec się - nawet uchwałą wspólników. To przepis, który przenosi cyberbezpieczeństwo z działu IT do zarządu.

§38 BSIG

IT-Grundschutz

IT-Grundschutz

Własna metodyka cyberbezpieczeństwa BSI - kompleksowy framework modułów bezpieczeństwa (Bausteine) z krok po kroku wskazówkami wdrożeniowymi. §44 ust. 2 BSIG wyraźnie uznaje wdrożenie Grundschutz za dowód zgodności z NIS2. Ponieważ BSI zarówno publikuje Grundschutz, jak i egzekwuje NIS2, użycie ich metodyki oznacza, że jesteś audytowany według standardu, który audytor zna na wylot.

§44 ust. 2 BSIG, BSI-Standards 200-1 do 200-4

Ścieżka audytu

Chronologiczny zapis tego, kto co zrobił, kiedy i dlaczego w Twoim procesie zgodności. NIS2 wymaga dowodów, że środki są nie tylko udokumentowane, ale faktycznie wdrożone i utrzymywane. Ścieżka audytu pokazuje audytorowi BSI, że Twoje polityki są żywymi dokumentami, a nie półkownikami - kto zatwierdził dany środek, kiedy był ostatnio przeglądany, co się zmieniło.

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wymagające dwóch lub więcej składników weryfikacji - zazwyczaj czegoś, co znasz (hasło) i czegoś, co masz (telefon, klucz sprzętowy). §30 ust. 2 pkt 10 BSIG wymaga MFA dla dostępu zdalnego, dostępu administracyjnego oraz dostępu do systemów krytycznych. Jeśli nie używasz jeszcze MFA na swoim VPN, kontach administracyjnych i poczcie, to jeden z najbardziej konkretnych wymogów technicznych do wdrożenia.

§30 ust. 2 pkt 10 BSIG

§30 BSIG - środki cyberbezpieczeństwa

Centralny przepis NIS2 w prawie niemieckim. Wymienia dziesięć kategorii środków zarządzania ryzykiem cyberbezpieczeństwa, które wszystkie podmioty objęte zakresem muszą wdrożyć. Obejmuje ocenę ryzyka, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczny rozwój, ocenę skuteczności, szkolenia, kryptografię, kontrolę dostępu oraz uwierzytelnianie wieloskładnikowe. Środki muszą być 'odpowiednie i proporcjonalne' - nie złocone ponad miarę, ale rzeczywiste.

§30 BSIG

§32 BSIG - zgłaszanie incydentów

Meldepflichten

Obowiązkowa trzyetapowa kaskada zgłaszania incydentów. Gdy wystąpi poważny incydent: wczesne ostrzeżenie do BSI w ciągu 24 godzin, szczegółowe powiadomienie o incydencie w ciągu 72 godzin, raport końcowy w ciągu jednego miesiąca. Każdy etap ma określone wymogi co do treści. Spóźnione lub brakujące raporty są odrębnymi naruszeniami z własnymi przepisami karnymi.

§32 BSIG

§33 BSIG - obowiązek rejestracji

Registrierungspflicht

Obowiązek prawny dla wszystkich podmiotów objętych zakresem zarejestrowania się w BSI. Podajesz informacje o podmiocie, klasyfikację sektorową, dane kontaktowe ds. cyberbezpieczeństwa oraz zakresy adresów IP. Brak rejestracji jest samodzielnym naruszeniem zagrożonym karą do 500 000 EUR - odrębnym od kar za niewdrożenie rzeczywistych środków bezpieczeństwa.

§33 BSIG

§38 BSIG - odpowiedzialność kierownictwa

Billigung von Risikomanagementmaßnahmen

Przepis, który czyni kierownictwo firmy osobiście odpowiedzialnym za zgodność z NIS2. Geschäftsführung musi zatwierdzić środki zarządzania ryzykiem, nadzorować ich wdrożenie oraz odbyć szkolenie z cyberbezpieczeństwa. Uchybienie rodzi osobistą odpowiedzialność za szkody - a tej odpowiedzialności nie mogą zrzec wspólnicy. To paragraf, który przyciąga uwagę dyrektorów zarządzających.

§38 BSIG

Załącznik I NIS2 - sektory o wysokiej krytyczności

Lista sektorów, których podmioty są klasyfikowane jako 'kluczowe' (podmioty kluczowe), gdy spełniają próg wielkości. Obejmuje: energetykę (energia elektryczna, ropa naftowa, gaz, wodór, ciepłownictwo), transport (lotniczy, kolejowy, wodny, drogowy), bankowość, infrastrukturę rynków finansowych, zdrowie, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, administrację publiczną oraz przestrzeń kosmiczną.

Dyrektywa NIS2 załącznik I, §28 ust. 1 BSIG

Załącznik II NIS2 - pozostałe sektory krytyczne

Lista sektorów, których podmioty są klasyfikowane jako 'ważne' (wichtige Einrichtungen), gdy spełniają próg wielkości. Obejmuje: usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności, produkcję (wyroby medyczne, elektronika, maszyny, pojazdy), dostawców usług cyfrowych (internetowe platformy handlowe, wyszukiwarki, sieci społecznościowe) oraz organizacje badawcze.

Dyrektywa NIS2 załącznik II, §28 ust. 2 BSIG

CSIRT (Computer Security Incident Response Team)

Computer-Notfallteam

Krajowy zespół odpowiedzialny za przyjmowanie zgłoszeń incydentów cyberbezpieczeństwa i reagowanie na nie. W Niemczech BSI pełni rolę krajowego CSIRT. Gdy zgłaszasz poważny incydent na podstawie §32 BSIG, BSI-CSIRT przyjmuje i przetwarza Twoje zgłoszenie. Może również zapewnić pomoc techniczną podczas reagowania na incydent - nie jest tylko skrzynką odbiorczą, ale zasobem operacyjnym.

Dyrektywa NIS2 art. 10, §32 BSIG