§65 BSIG + Art. 34 NIS 2

Procedura nałożenia kary w NIS 2 krok po kroku

Artykuł 34 NIS 2 ustanawia pułap. Niemieckie Ordnungswidrigkeitengesetz ustanawia procedurę. §65 BSIG łączy je ze sobą.

Simon OrzelSimon Orzel·

Co opisuje ten artykuł

NIS 2 zobowiązuje państwa członkowskie do przewidzenia administracyjnych kar pieniężnych wobec podmiotów, które nie wypełniają obowiązków w zakresie zarządzania ryzykiem cyberbezpieczeństwa lub zgłaszania. Artykuł 34 NIS 2 ustanawia kwoty maksymalne i kryteria obliczenia. Każde państwo członkowskie wbudowuje ten pułap we własne prawo o wykroczeniach administracyjnych.

W Niemczech ustawa o BSI wdraża katalog kar w §65 BSIG. Tory proceduralne znajdują się w Ordnungswidrigkeitengesetz (OWiG): wysłuchanie na podstawie §55 OWiG, decyzja o karze na podstawie §41 OWiG, sprzeciw w ciągu dwóch tygodni na podstawie §67 OWiG. Materialne reguły obliczenia w §17 OWiG działają obok specyficznych dla NIS 2 czynników z Artykułu 34(7).

Ta strona opisuje, jak procedura wygląda z zewnątrz. Nie doradza, jak na nią odpowiedzieć. Konkretna obrona w procedurze z §65 BSIG wymaga radcy z zakresu prawa karnego i regulacyjnego.

Zakotwiczenie prawne w trzech warstwach
Pułap z dyrektywy, krajowy katalog kar, kodeks proceduralny.

Warstwa UE: Artykuł 34 NIS 2

Member States shall ensure that administrative fines imposed on essential and important entities pursuant to this Article in respect of infringements of this Directive are, in each individual case, effective, proportionate and dissuasive.

Artykuł 34(4) ustala maksimum na 10 milionów EUR lub 2 procent całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego dla podmiotów kluczowych. Artykuł 34(5) ustala 7 milionów EUR lub 1,4 procent dla podmiotów ważnych, w zależności od tego, która kwota jest wyższa w danym przypadku.

Warstwa krajowa: §65 BSIG (Niemcy)

Eine Ordnungswidrigkeit kann bei einer besonders wichtigen Einrichtung mit einer Geldbuße bis zu zehn Millionen Euro oder bis zu zwei Prozent des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes des Unternehmens, dem die Einrichtung angehört, geahndet werden, je nachdem, welcher Betrag höher ist. Bei einer wichtigen Einrichtung beträgt die Geldbuße bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des Gesamtumsatzes.

§65 BSIG odzwierciedla pułap z Artykułu 34 NIS 2. Lista czynów podlegających karze w §65(1) BSIG obejmuje między innymi naruszenia środków zarządzania ryzykiem z §30 BSIG, pominięte zgłoszenie incydentu z §32 BSIG oraz pominiętą rejestrację z §33 BSIG.

Kodeks proceduralny: OWiG

Vor Erlass eines Bußgeldbescheids ist dem Betroffenen Gelegenheit zu geben, sich zu der Beschuldigung zu äußern. (§55 OWiG)

OWiG reguluje procedurę. §55 OWiG wymaga wysłuchania przed wydaniem decyzji o karze. §41 OWiG określa formę Bußgeldbescheid. §67 OWiG daje adresatowi dwa tygodnie od doręczenia na wniesienie Einspruch. §17 OWiG reguluje materialne obliczenie, stosowane łącznie z kryteriami Artykułu 34(7) NIS 2.

Trzy podstawowe etapy procedury
Wszczęcie, Anhörung, obliczenie. Każdy etap jest ustalony kodeksem, a nie negocjacjami.
Wyzwalacz

Wszczęcie

Procedura z §65 BSIG zwykle rozpoczyna się po tym, jak organ nadzorczy ustali zdarzenie wyzwalające: naruszenie środków cyberbezpieczeństwa z §30 BSIG wykryte w audycie lub samodzielnym zgłoszeniu, pominięte lub spóźnione zgłoszenie incydentu z §32 BSIG (24-godzinne wczesne ostrzeżenie, 72-godzinne zgłoszenie uzupełniające, raport końcowy w ciągu jednego miesiąca) lub pominięta rejestracja z §33 BSIG. Organ wszczyna Ordnungswidrigkeitenverfahren i zawiadamia podmiot.

§55 OWiG

Anhörungsschreiben

Zanim może zostać wydana jakakolwiek decyzja o karze, organ wysyła Anhörungsschreiben, w którym wymienia zarzucane czyny, podstawę prawną z §65 BSIG oraz termin na ustosunkowanie się. Pismo o wysłuchaniu ma charakter proceduralny, nie jest wyrokiem. Milczenie nie wstrzymuje procedury. Ramy §65 BSIG przewidują, że sprawa zostanie rozstrzygnięta na podstawie akt, jeśli podmiot nie odpowie.

Art. 34(7) NIS 2 + §17 OWiG

Bußgeldbescheid

Jeśli organ stwierdzi, że wykroczenie zostało ustalone, wydaje Bußgeldbescheid na podstawie §41 OWiG. Kwota jest obliczana według kryteriów Artykułu 34(7) NIS 2 (dotkliwość, czas trwania, umyślność lub niedbalstwo, wcześniejsze naruszenia, korzyść finansowa, współpraca, wcześniejsze środki) łącznie z §17 OWiG. Decyzja zawiera pouczenie z §67 OWiG: dwa tygodnie na wniesienie Einspruch.

Dwie zasady, które kształtują wysokość kary
Obie znajdują się w Artykule 34 NIS 2 i obowiązują we wszystkich państwach członkowskich.

Skuteczne, proporcjonalne, odstraszające

Artykuł 34(1) NIS 2 wiąże organ proporcjonalnością. Pułap 10 milionów EUR lub 2 procent to maksimum, a nie taryfa. §17 OWiG wymaga, aby organ rozważył wagę wykroczenia i sytuację ekonomiczną podmiotu. W praktyce obliczenie idzie w obie strony: w górę za dotkliwość i powtarzalność, w dół za rzeczywistą współpracę i dające się wykazać wcześniejsze środki.

Współpraca jest czynnikiem obliczenia

Artykuł 34(7)(f) NIS 2 wymienia stopień współpracy z właściwymi organami jako czynnik łagodzący. Dobrowolne ujawnienie naruszenia, dowody na środki naprawcze oraz pełny dostęp do akt liczą się przy obliczeniu. Wcześniejsze środki podmiotu z §30 BSIG (Artykuł 34(7)(d) NIS 2) są oceniane względem tego samego punktu odniesienia.

Kto prowadzi procedurę
Ten sam pułap NIS 2, trzy organy krajowe, które go prowadzą.
DE

Bundesamt für Sicherheit in der Informationstechnik

BSI jest właściwym organem nadzorczym dla większości sektorów NIS 2 w Niemczech na podstawie §1 BSIG. Wszczyna i prowadzi procedurę nałożenia kary z §65 BSIG. Operatorzy instalacji krytycznych (KRITIS) podlegają temu samemu organowi. Bußgeldbescheide i korespondencja w sprawie Einspruch przechodzą przez BSI.

EU

ENISA i Grupa Współpracy

ENISA nie nakłada kar. Opracowuje wytyczne i koordynuje Grupę Współpracy NIS na podstawie Artykułu 14 NIS 2. Produkty ENISA (taksonomia incydentów, wytyczne dla poszczególnych sektorów) wpływają na to, co liczy się jako stan wiedzy na podstawie Artykułu 21(2) NIS 2, i dlatego zasilają obliczenie z Artykułu 34(7).

DE

Nadzorcy sektorowi

Dla finansów, energetyki, transportu i zdrowia regulatorzy sektorowi zachowują równoległą rolę na podstawie §61 BSIG i prawa sektorowego. Pułap z §65 BSIG nadal obowiązuje. Tam, gdzie DORA obejmuje podmiot finansowy, własny reżim sankcji DORA ma pierwszeństwo w zakresie środków cyberbezpieczeństwa, ale obowiązek rejestracji z Artykułu 27 NIS 2 nadal obowiązuje.

Trzy pułapki w procedurach z §65 BSIG
Błędne odczytania procedury, których OWiG i Artykuł 34 NIS 2 nie potwierdzają.

  • Pułap 2 procent oblicza się od obrotu niemieckiego podmiotu.

    Artykuł 34(4) NIS 2 i §65 BSIG obliczają procent od całkowitego rocznego światowego obrotu przedsiębiorstwa, do którego podmiot należy, w poprzednim roku obrotowym. W przypadku spółek zależnych wewnątrz większej grupy może to podnieść pułap o rzędy wielkości powyżej lokalnych przychodów.

  • Jeśli zignorujemy Anhörung, sprawa zniknie.

    §55 OWiG wymaga jedynie, aby organ dał podmiotowi możliwość ustosunkowania się. Nie wymaga odpowiedzi. Ramy §65 BSIG przewidują, że sprawa przejdzie do Bußgeldbescheid na podstawie akt, jeśli nie wpłynie żadne stanowisko. Kodeks proceduralny nie zwalnia tempa z powodu milczenia.

  • Pełne ujawnienie każdego szczegółu operacyjnego zminimalizuje karę.

    Artykuł 34(7)(f) NIS 2 nagradza współpracę z właściwym organem. Nie wymaga od podmiotu, aby budował sprawę za organ. Granica między współpracą a samooskarżeniem to punkt, w którym angażuje się radcę. Przyznania proceduralne dokonane bez radcy trudno wycofać.

Spojrzenie praktyka

Dwutygodniowy termin na Einspruch z §67 OWiG biegnie od doręczenia Bußgeldbescheid. Jest to termin ustawowy, nie podlega negocjacjom. Jego przekroczenie czyni decyzję prawomocną na podstawie §66 OWiG, po czym pozostają jedynie wąskie ścieżki przywrócenia. Pismo o wysłuchaniu z §55 OWiG nie niesie własnego równoważnego terminu, ale organ wyznacza go w piśmie.

Konkretna obrona w procedurze z §65 BSIG wymaga radcy z zakresu prawa karnego i regulacyjnego. Ten artykuł opisuje procedurę i zakotwiczenia prawne. Nie odnosi się do tego, jak odpowiedzieć na konkretne pismo o wysłuchaniu lub decyzję o karze. Wszystko, co dotyka materii zarządzania ryzykiem podmiotu (§30 BSIG), jego historii zgłoszeń (§32 BSIG) lub jego wcześniejszych środków z Artykułu 21 NIS 2, powinno zostać omówione z radcą, zanim opuści podmiot.

Gdzie wpisuje się platforma

Procedura z §65 BSIG rozstrzygana jest na podstawie akt. Obliczenie z Artykułu 34(7) NIS 2 nagradza wcześniejsze środki, współpracę i udokumentowaną historię. Ta historia powstaje, zanim nadejdzie jakiekolwiek pismo: kto zatwierdził który środek kontrolny, kiedy zgłoszono incydent, jakie dowody stały za środkami zarządzania ryzykiem z §30 BSIG.

Platforma odnotowuje tę historię w sposób ciągły. Zatwierdzenia, ścieżki przypisań, zgłoszenia incydentów i akceptacje polityk niosą znaczniki czasu i tożsamości. Nic z tego nie rozstrzyga procedury. Całość jest właśnie tym rodzajem akt, na które patrzy obliczenie z §17 OWiG i Artykułu 34(7) NIS 2.

Źródła
  • Directive (EU) 2022/2555 (NIS 2), Article 34: General conditions for imposing administrative fines on essential and important entities.
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §65: Bußgeldvorschriften.
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (Risikomanagement), §32 (Meldepflichten), §33 (Registrierung).
  • Gesetz über Ordnungswidrigkeiten (OWiG), §17 (Bemessung), §41 (Bußgeldbescheid), §55 (Anhörung), §66 (Rechtskraft), §67 (Einspruch).
  • ENISA, NIS 2 Cooperation Group outputs and technical implementation guidance.
Najpierw sprawdź, czy podlegasz pod NIS 2
Zakres decyduje, czy §65 BSIG i Artykuł 34 NIS 2 w ogóle mają zastosowanie do podmiotu.
Uruchom sprawdzenie objęcia obowiązkiem