BSI

Analiza luki rejestracyjnej NIS2

BSI oszacowało ~30 000 podmiotów podlegających NIS2 w Niemczech. Termin rejestracji upłynął 6 marca 2026 r. Znaczna część firm objętych zakresem wciąż się nie zarejestrowała - co naraża je na egzekucję na podstawie §65 BSIG.

Simon OrzelSimon Orzel·Laufend geprüft

§33 BSIG wymaga, aby każdy podmiot objęty NIS2 - czy to podmiot kluczowy, czy ważny - zarejestrował się w Bundesamt für Sicherheit in der Informationstechnik (BSI). To nie jest opcjonalne. Obowiązek rejestracji istnieje niezależnie od tego, czy firma wdrożyła jakiekolwiek środki cyberbezpieczeństwa. Najpierw musisz się zarejestrować, a następnie zapewnić zgodność.

Portal rejestracyjny BSI (muk.bsi.bund.de) ruszył 6 stycznia 2026 r. - miesiąc po wejściu BSIG w życie. Termin rejestracji na podstawie §33 BSIG przypadał na 6 marca 2026 r. (3 miesiące po wejściu w życie). Pomimo jasnego obowiązku prawnego i dwumiesięcznego okna znaczny odsetek z szacowanych 29 000-30 000 podmiotów objętych zakresem nie zarejestrował się do terminu. Badanie G DATA wykazało, że 44% dotkniętych firm w ogóle nie było świadomych swoich obowiązków NIS2.

Luka rejestracyjna jest szczególnie niepokojąca, ponieważ rejestracja jest warunkiem wstępnym dla nadzorczego reżimu BSI. Niezarejestrowane podmioty nie są niewidoczne - są domyślnie niezgodne z przepisami. Gdy BSI rozpocznie systematyczną egzekucję (zasygnalizowaną na 2026 r.), niezarejestrowane firmy zmierzą się z karami nie tylko za brak środków cyberbezpieczeństwa, lecz także za samo naruszenie obowiązku rejestracji - odrębne wykroczenie na podstawie §65 BSIG.

Rejestracja w liczbach
Obecny stan rejestracji NIS2 w Niemczech na podstawie danych BSI i badań branżowych.

~29 000-30 000

Szacunkowa liczba podmiotów objętych zakresem

Własne oszacowanie BSI dotyczące podmiotów podlegających obowiązkom NIS2 na podstawie NIS2UmsuCG, obejmujące zarówno podmioty kluczowe, jak i ważne.

44%

Nieświadomi obowiązków NIS2

Badanie G DATA (2024): 44% niemieckich firm średniej wielkości nie wiedziało, że NIS2 ich dotyczy - jeszcze zanim prawo weszło w życie.

2 miesiące

Okno rejestracji

Portal BSI ruszył 6 stycznia 2026 r. Termin rejestracji przypadał na 6 marca 2026 r. - dwumiesięczne okno dla ~30 000 podmiotów na rejestrację.

§33 BSIG

Podstawa prawna rejestracji

Rejestracja jest wymagana bez zbędnej zwłoki (unverzüglich) po ustaleniu, że podmiot mieści się w zakresie. Nie ma okresu karencji - obowiązek jest natychmiastowy z chwilą wejścia prawa w życie.

Dlaczego istnieje ta luka

Cztery czynniki strukturalne wyjaśniają, dlaczego większość niemieckich podmiotów NIS2 się nie zarejestrowała.

Brak świadomości

Badanie G DATA przeprowadzone w 2024 r. wykazało, że 44% niemieckich firm średniej wielkości nie było świadomych, że NIS2 ich dotyczy. Kryteria zakresu - 50+ pracowników lub 10 mln EUR obrotu w 18 objętych sektorach - nie są oczywiste dla firm, które nigdy nie miały do czynienia z regulacją bezpieczeństwa IT. Wiele firm w sektorach takich jak gospodarka odpadami, produkcja żywności i produkcja chemiczna nie postrzega siebie jako 'infrastruktury krytycznej'.

Złożoność ustalania zakresu

Ustalenie, czy firma podlega NIS2, wymaga odniesienia działalności do Załącznika I i II dyrektywy NIS2 (transponowanych do §28 BSIG). Definicje sektorów odwołują się do kodów NACE, progów obrotu i liczby pracowników - lecz przypadków granicznych jest mnóstwo. Firmy o mieszanych liniach biznesowych, częściowym pokryciu sektorowym lub strukturach grupowych stają wobec rzeczywistej niepewności co do tego, czy są objęte zakresem.

Ograniczenia zasobowe

Niemieckie firmy z Mittelstandu w przedziale 50-250 pracowników zazwyczaj nie posiadają wydzielonego personelu ds. zgodności lub bezpieczeństwa informacji. Osoba odpowiedzialna za 'IT' często odpowiada też za obiekty, zakupy i wszystko inne, co wiąże się z komputerem. Rejestracja NIS2 wymaga zrozumienia tekstu regulacyjnego, sklasyfikowania sektora firmy i poruszania się po portalu rządowym - zadań wykraczających poza normalną działalność.

Niepewność legislacyjna

NIS2UmsuCG przeszła przez wiele projektów i była kilkukrotnie opóźniana przed ostatecznym uchwaleniem. Wiele firm przyjęło podejście 'poczekamy i zobaczymy', oczekując dalszych zmian lub przedłużenia terminów. To był racjonalny, lecz błędny zakład - prawo weszło w życie, obowiązek rejestracji obowiązuje, a BSI nie oferuje przedłużeń.

Konsekwencje braku rejestracji
Rejestracja to nie tylko biurokracja administracyjna - brak rejestracji jest samodzielnym naruszeniem z własnymi karami.

Grzywny administracyjne

§65 BSIG przewiduje grzywny do 10 mln EUR lub 2% rocznego obrotu światowego dla podmiotów kluczowych oraz do 7 mln EUR lub 1,4% dla wichtige Einrichtungen (podmiotów ważnych). Brak rejestracji jest naruszeniem odrębnym od niezgodności z merytorycznymi środkami bezpieczeństwa - co oznacza, że firmy mogą ponieść kary za oba.

Osobista odpowiedzialność zarządu

Na podstawie §38 BSIG Geschäftsleitung (organ zarządzający) odpowiada osobiście za zapewnienie zgodności z obowiązkami NIS2 - w tym z rejestracją. Dyrektor zarządzający, który nie zarejestruje firmy, osobiście narusza swoje ustawowe obowiązki, tworząc narażenie na roszczenia z tytułu osobistej odpowiedzialności ze strony firmy lub jej wspólników.

Priorytet egzekucji

BSI wskazało, że będzie priorytetowo traktować egzekucję wobec podmiotów, które się nie zarejestrowały, ponieważ brak rejestracji sygnalizuje całkowitą niezgodność. Firma, która się zarejestrowała, lecz pracuje nad środkami, wykazuje dobrą wolę. Firma, która nawet się nie zarejestrowała, nie ma żadnej obrony w postaci trwających prac wdrożeniowych.

Wpływ reputacyjny i handlowy

Wymagania NIS2 dotyczące łańcucha dostaw (§30(2)(4) BSIG) oznaczają, że firmy objęte zakresem muszą oceniać postawę cyberbezpieczeństwa swoich dostawców. Niezarejestrowana firma nie może wykazać zgodności z NIS2 swoim klientom - co potencjalnie prowadzi do utraty kontraktów lub oznaczenia w audytach łańcucha dostaw. Ta presja handlowa będzie narastać w miarę, jak coraz więcej firm wdraża należytą staranność w łańcuchu dostaw.

Źródła
  • BSI - statystyki rejestracji NIS2, oświadczenia publiczne (2025)
  • G DATA CyberDefense - badanie świadomości NIS2: 44% firm średniej wielkości nieświadomych obowiązków (2024)
  • G DATA CyberDefense - badanie świadomości NIS2 wśród niemieckich firm średniej wielkości (2024)
  • BSIG - §33 (obowiązek rejestracji), §65 (grzywny administracyjne), §38 (odpowiedzialność zarządu)
  • NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie (ustawa wdrażająca NIS2)
  • BMI - Referentenentwürfe i dokumentacja parlamentarna dla NIS2UmsuCG
Zarejestruj się i zapewnij zgodność - zanim zapuka BSI
Platforma przeprowadzi cię przez wymagania rejestracji w BSI i natychmiast zacznie budować twoją ścieżkę dowodową zgodności - dzięki czemu przechodzisz od stanu niezarejestrowanego do gotowości do audytu w ustrukturyzowanym procesie.
Rozpocznij swój proces zgodności z NIS2