NIS2 w Niemczech
Niemcy transponowały dyrektywę NIS2 do prawa krajowego ustawą NIS2UmsuCG, gruntownie nowelizując federalną ustawę o cyberbezpieczeństwie (BSIG). Wszystkie obowiązki obowiązują od 6 grudnia 2025 r.
| Data | Zdarzenie |
|---|---|
| 27 grudnia 2022 | Dyrektywa NIS2 opublikowana w Dzienniku Urzędowym UE L 333 (przyjęta 14 grudnia 2022) |
| 16 stycznia 2023 | NIS2 wchodzi w życie na poziomie UE |
| 17 października 2024 | Termin transpozycji w UE (Niemcy go nie dotrzymały) |
| 13 listopada 2025 | Bundestag uchwala NIS2UmsuCG |
| 21 listopada 2025 | Bundesrat zatwierdza |
| 5 grudnia 2025 | Opublikowano w Bundesgesetzblatt |
| 6 grudnia 2025 | Nowa BSIG wchodzi w życie, wszystkie obowiązki obowiązują natychmiast |
| 6 stycznia 2026 | Portal rejestracyjny BSI zostaje uruchomiony |
| 6 marca 2026 | Termin rejestracji w BSI |
| ~2028 | Operatorzy KRITIS: termin pierwszego dowodu zgodności |
Nie ma okresu przejściowego. Środki zarządzania ryzykiem, zgłaszanie incydentów oraz odpowiedzialność kierownictwa obowiązują od dnia wejścia ustawy w życie.
| Termin UE | Termin niemiecki | Skrót |
|---|---|---|
| Podmiot kluczowy | Besonders wichtige Einrichtung | bwE |
| Podmiot ważny | Wichtige Einrichtung | wE |
| Operator infrastruktury krytycznej | Betreiber kritischer Anlagen | KRITIS |
Hierarchia: KRITIS ⊂ podmioty kluczowe ⊂ wszystkie podmioty NIS2. Operatorzy KRITIS są automatycznie klasyfikowani jako podmioty kluczowe.
Kary
| Kategoria | Maksymalna kara | Alternatywa oparta na obrocie |
|---|---|---|
| Podmioty kluczowe | 10 000 000 EUR | 2% rocznego światowego obrotu grupy |
| Podmioty ważne | 7 000 000 EUR | 1,4% rocznego światowego obrotu grupy |
| Naruszenie | Maksymalna kara |
|---|---|
| Brak wdrożenia środków cyberbezpieczeństwa (§30) | 10 mln EUR / 7 mln EUR |
| Brak zgłoszenia incydentów (§32) | 10 mln EUR / 7 mln EUR |
| Niezgodność z poleceniami BSI | 10 mln EUR / 7 mln EUR |
| KRITIS: uchybienie w zgłaszaniu komponentów krytycznych | 5 000 000 EUR |
| KRITIS: uchybienie w procedurach dowodu z audytu | 2 000 000 EUR |
| Naruszenia obowiązku rejestracji, brak powiadomienia BSI | 500 000 EUR |
| Utrudnianie kontroli BSI | 500 000 EUR |
| Uchybienia w zakresie dostępności kontaktu | 100 000 EUR |
Trzy podstawowe obowiązki
Zatwierdzenie (Billigung)
Kierownictwo musi formalnie zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie zgodnie z §30 BSIG.
Nadzór (Überwachung)
Aktywne monitorowanie wdrożenia, a nie bierna świadomość. Kierownictwo musi weryfikować, czy środki są faktycznie wdrażane.
Szkolenie (Schulung)
Obowiązkowy osobisty udział w szkoleniach z cyberbezpieczeństwa co najmniej raz na 3 lata. Tego obowiązku nie można delegować.
Członkowie kierownictwa ponoszą osobistą odpowiedzialność wobec własnej spółki, gdy w sposób zawiniony naruszają te obowiązki. Delegowanie zadań operacyjnych jest dozwolone, jednak odpowiedzialność strategiczna i nadzór pozostają przy kierownictwie. Kierownictwo nie może powoływać się na brak wiedzy technicznej jako linię obrony.
§38 BSIG wyraźnie zakazuje umownych zrzeczeń się odpowiedzialności przez wspólników, które są nieproporcjonalne do istniejącej niepewności co do praw.
Termin: 6 marca 2026 r. (3 miesiące po wejściu BSIG w życie).
Rejestracja przebiega w dwóch krokach: najpierw należy założyć konto przez Mein Unternehmenskonto (MUK/ELSTER), a następnie zarejestrować się przez portal BSI (działający od 6 stycznia 2026 r.).
Rejestracja jest obowiązkiem samoidentyfikacji, bez powiadomienia ze strony BSI. Firmy muszą same ustalić, czy są objęte zakresem. BSI może również nakazać firmie rejestrację, jeśli ustali, że firma mieści się w zakresie.
| Aspekt | Kluczowe | Ważne |
|---|---|---|
| Nadzór | Proaktywny (ex ante), BSI może przeprowadzić audyt w dowolnym momencie | Reaktywny (ex post), wyłącznie na podstawie dowodów niezgodności |
| Maksymalna kara | 10 mln EUR lub 2% światowego obrotu | 7 mln EUR lub 1,4% światowego obrotu |
| Wymogi audytowe | Wyrywkowe kontrole BSI oparte na ryzyku | Wyłącznie przy uzasadnionym podejrzeniu |
| Cykl audytu KRITIS | Co 3 lata (jeśli operator KRITIS) | Nie dotyczy |