BSIG 2025

Nowy obowiązek bezpieczeństwa IT dla niemieckich firm

Jeżeli szukałeś 'IT Sicherheitspflicht', szukasz NIS2. Od grudnia 2025 r. znowelizowany BSIG czyni cyberbezpieczeństwo obowiązkiem prawnym dla około 29 500 niemieckich firm.

Simon OrzelSimon Orzel·Laufend geprüft

NIS2 to obowiązek bezpieczeństwa IT, o którym słyszysz

W Niemczech nie istnieje samodzielna 'ustawa o obowiązku bezpieczeństwa IT'. Istnieje dyrektywa NIS2 (EU 2022/2555), transponowana do prawa niemieckiego poprzez NIS2UmsuCG, która gruntownie zmieniła federalną ustawę o cyberbezpieczeństwie (BSIG). To prawo tworzy wiążące obowiązki bezpieczeństwa IT dla firm w 18 sektorach krytycznych.

BSIG wszedł w życie 6 grudnia 2025 r. Wymaga on od dotkniętych firm wdrożenia 10 konkretnych środków zarządzania ryzykiem w cyberbezpieczeństwie (Sekcja 30 BSIG), rejestracji w BSI, zgłaszania istotnych incydentów w ścisłych terminach oraz zabezpieczenia łańcuchów dostaw. Zarząd ponosi osobistą odpowiedzialność na podstawie Sekcji 38 BSIG za zapewnienie zgodności.

Jeżeli twoja firma zatrudnia 50 lub więcej pracowników albo przekracza 10 milionów euro rocznego przychodu i działa w jednym z 18 sektorów NIS2, te obowiązki dotyczą cię już teraz. Termin rejestracji przypadał na 6 marca 2026 r. Wdrożenie wszystkich środków jest wymagane do 17 października 2026 r.

Czy to dotyczy mojej firmy?
Cztery kryteria decydują o tym, czy twoja firma podlega BSIG. Musisz spełnić kryterium sektorowe ORAZ co najmniej jedno z kryteriów wielkości.

Sektor

Twoja firma działa w jednym z 18 sektorów: energetyka, transport, bankowość, ochrona zdrowia, woda, infrastruktura cyfrowa, usługi ICT, administracja publiczna, przestrzeń kosmiczna, usługi pocztowe, gospodarka odpadami, chemikalia, produkcja żywności, produkcja przemysłowa lub dostawcy cyfrowi.

Liczba pracowników

Zatrudniasz 50 lub więcej pracowników. Wynika to z unijnej definicji MŚP i obejmuje wszystkich pracowników w całej grupie, nie tylko podmiot niemiecki. Pracownicy w niepełnym wymiarze liczą się proporcjonalnie.

Roczny przychód

Twój roczny obrót przekracza 10 milionów euro ORAZ suma bilansowa przekracza 10 milionów euro. Jeżeli przekraczasz próg pracowników ALBO próg finansowy, jesteś objęty zakresem.

Usługi krytyczne

Niektóre typy podmiotów są objęte zakresem niezależnie od wielkości: dostawcy DNS, rejestry TLD, kwalifikowani dostawcy usług zaufania, operatorzy KRITIS oraz jedyni dostawcy usług kluczowych w danym regionie.

Co musisz zrobić
BSIG wymaga pięciu konkretnych kroków. Rejestracja powinna być już wykonana. Pozostałe środki muszą zostać wdrożone do października 2026 r.
1

Zarejestruj się w BSI

Zakończ swoją rejestrację za pośrednictwem portalu BSI (muk.bsi.bund.de). To obowiązek prawny na podstawie Sekcji 33 BSIG z własną karą do 500 000 euro. Portal działa od stycznia 2026 r., a termin przypadał na 6 marca 2026 r. Jeżeli go przekroczyłeś, zarejestruj się natychmiast.

2

Przeprowadź ocenę ryzyka

Zidentyfikuj swoje krytyczne zasoby IT, oceń ryzyka dla każdego z nich i udokumentuj decyzje dotyczące postępowania. Sekcja 30 BSIG wymaga środków zarządzania ryzykiem proporcjonalnych do ekspozycji na ryzyko. Potrzebujesz inwentaryzacji zasobów i ustrukturyzowanej oceny ryzyka, zanim będziesz mógł wdrożyć środki.

3

Wdróż 10 środków bezpieczeństwa

Sekcja 30 BSIG definiuje 10 obowiązkowych obszarów: polityki zarządzania ryzykiem, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczeństwo sieci, zarządzanie podatnościami, higiena cyberbezpieczeństwa, kryptografia, kontrola dostępu oraz uwierzytelnianie wieloskładnikowe. Każdy obszar wymaga udokumentowanych polityk i dowodów wdrożenia.

4

Skonfiguruj zgłaszanie incydentów

Istotne incydenty cyberbezpieczeństwa muszą zostać zgłoszone do BSI w ciągu 24 godzin (wstępne wczesne ostrzeżenie), 72 godzin (pełne zgłoszenie) oraz 1 miesiąca (raport końcowy). Zdefiniuj, co istotny incydent oznacza dla twojej firmy, i ustanów jasny łańcuch zgłaszania, zanim coś się wydarzy.

5

Utrzymuj bieżącą zgodność

NIS2 to nie jest projekt jednorazowy. Potrzebujesz corocznych przeglądów oceny ryzyka, regularnych szkoleń dla zarządu (Sekcja 38 BSIG wymaga osobistego udziału), ponownych ocen dostawców oraz ciągłego monitorowania incydentów. Platforma śledzi wszystkie terminy i automatycznie eskaluje.

Co się stanie, jeżeli nic nie zrobisz

Ramy karne są wzorowane na GDPR. Podmioty kluczowe mierzą się z grzywnami do 10 milionów euro lub 2% globalnego rocznego obrotu. Podmioty ważne mierzą się z grzywnami do 7 milionów euro lub 1,4%. Same naruszenia rejestracji niosą grzywny do 500 000 euro. BSI ma uprawnienia egzekucyjne i może nakazać zapewnienie zgodności lub ograniczyć działalność.

Poza grzywnami Sekcja 38 BSIG tworzy osobistą odpowiedzialność zarządu. Kadra kierownicza musi zatwierdzać środki cyberbezpieczeństwa, nadzorować wdrożenie i ukończyć szkolenie. Odpowiada wobec własnej firmy za zawinione naruszenia. Tej odpowiedzialności nie można uchylić umownie. Twierdzenie, że nie rozumiałeś cyberbezpieczeństwa, wprost nie stanowi obrony.

Najczęściej zadawane pytania

Czy NIS2 to to samo, co obowiązek bezpieczeństwa IT, o którym ciągle słyszę?

Tak. Nie istnieje osobne prawo 'IT Sicherheitspflicht'. NIS2 to dyrektywa UE, która została transponowana do prawa niemieckiego jako znowelizowany BSIG poprzez NIS2UmsuCG. Gdy ludzie mówią o nowych obowiązkach bezpieczeństwa IT dla niemieckich firm, mają na myśli to prawo. Obowiązuje ono od 6 grudnia 2025 r.

Jesteśmy firmą produkcyjną zatrudniającą 60 osób. Czy to naprawdę nas dotyczy?

Bardzo prawdopodobnie tak. Produkcja przemysłowa jest wymieniona w Załączniku II NIS2 (obejmującym produkcję wyrobów medycznych, elektroniki, sprzętu elektrycznego, maszyn, pojazdów silnikowych oraz innego sprzętu transportowego). Przy 60 pracownikach przekraczasz próg 50 pracowników. Zostałbyś sklasyfikowany jako 'podmiot ważny' na podstawie Sekcji 28(2) BSIG i mają zastosowanie wszystkie obowiązki NIS2.

Termin rejestracji minął. Co powinniśmy zrobić?

Zarejestruj się natychmiast. Portal BSI pod adresem muk.bsi.bund.de wciąż przyjmuje rejestracje. Spóźniona rejestracja jest lepsza niż jej brak. Grzywna za brak rejestracji wynosi do 500 000 euro, lecz BSI ocenia dobrą wolę. Firma, która rejestruje się kilka tygodni po terminie i może wykazać, że aktywnie pracowała nad zgodnością, jest w nieporównanie lepszej pozycji niż taka, która nie zrobiła nic.

Czy nasz zewnętrzny dostawca IT może zająć się zgodnością z NIS2 za nas?

Może pomóc we wdrożeniu środków technicznych, lecz obowiązek prawny pozostaje przy twojej firmie. Sekcja 30 BSIG wprost stwierdza, że możesz zlecić na zewnątrz operacje, lecz nie odpowiedzialność. Twój zarząd pozostaje osobiście odpowiedzialny na podstawie Sekcji 38 BSIG. Musisz udokumentować, co robi twój dostawca IT, zweryfikować jego środki bezpieczeństwa i uwzględnić go w swoim procesie zarządzania dostawcami.

Ile kosztuje zgodność z NIS2 dla firmy średniej wielkości?

Dla firmy zatrudniającej od 50 do 250 pracowników spodziewaj się wydatku od 20 000 do 80 000 euro w pierwszym roku, w zależności od obecnego poziomu dojrzałości bezpieczeństwa. Obejmuje to ocenę ryzyka, dokumentację polityk, usprawnienia techniczne i szkolenia. Firmy, które już mają wdrożone podstawowe środki bezpieczeństwa IT, znajdują się w dolnej części przedziału. Bieżący koszt roczny znacząco spada po pierwszym roku, ponieważ większość pracy to konfiguracja, a nie utrzymanie.

Dowiedz się, czy NIS2 dotyczy twojej firmy
Odpowiedz na kilka pytań o swój sektor, wielkość i usługi. Sprawdzenie zastosowania zajmuje mniej niż 2 minuty i mówi ci, czy obowiązki BSIG cię dotyczą.
Sprawdź, czy NIS2 cię dotyczy