Art. 41 NIS 2 + NIS2UmsuCG

NIS2UmsuCG: niemiecka ustawa transponująca NIS 2

NIS 2 to dyrektywa UE. Artykuł 41 nakazał każdemu państwu członkowskiemu wpisać ją do prawa krajowego do 17 października 2024 r. Niemcy przekroczyły ten termin. NIS2UmsuCG ostatecznie został uchwalony i wprowadził obowiązki do znowelizowanej BSIG. Dyrektywa pozostaje źródłem.

Simon OrzelSimon Orzel·

Krótka wersja

NIS 2 to dyrektywa, a nie rozporządzenie. Dyrektywy wiążą państwa członkowskie co do rezultatu. Każdy kraj musi napisać własne prawo krajowe, które ten rezultat osiąga. NIS 2 ustanawia jeden ogólnoeuropejski standard obowiązków cyberbezpieczeństwa w 27 ustawach transponujących.

Niemiecka ustawa transponująca nazywa się NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Nie istnieje jako samodzielna księga. Jest ustawą zmieniającą, która przepisuje ustawę o BSI (BSIG). Gdy niemieccy praktycy mówią dziś „BSIG”, mają na myśli BSIG w brzmieniu znowelizowanym przez NIS2UmsuCG.

Niemcy przekroczyły termin 17 października 2024 r. wyznaczony przez Artykuł 41 NIS 2. NIS2UmsuCG został uchwalony później. Według stanu na połowę 2026 r. ustawa obowiązuje. Obowiązki podmiotów kluczowych i ważnych znajdują się wewnątrz znowelizowanej BSIG.

Źródło prawne
Trzy warstwy. Dyrektywa (prawo UE, ustanawia standard). Obowiązek transpozycji (Artykuł 41 NIS 2, nakazuje państwom członkowskim działanie). Sama transpozycja (NIS2UmsuCG → znowelizowana BSIG).

Dyrektywa NIS 2 (UE) 2022/2555

This Directive lays down measures that aim to achieve a high common level of cybersecurity across the Union.

NIS 2 to dyrektywa. Została przyjęta 14 grudnia 2022 r. i weszła w życie 16 stycznia 2023 r. Wiąże każde państwo członkowskie tym samym standardem. Istota każdej krajowej ustawy NIS 2 w UE pochodzi z tego tekstu.

Artykuł 41(1) NIS 2

By 17 October 2024, Member States shall adopt and publish the measures necessary to comply with this Directive. They shall immediately inform the Commission thereof. They shall apply those measures from 18 October 2024.

Artykuł 41 to klauzula transpozycji. Wyznaczył dwie daty. Ustawy krajowe musiały być w mocy do 17 października 2024 r. Obowiązki musiały być stosowane od 18 października 2024 r. Niemcy przekroczyły obie. Komisja wszczęła postępowania w sprawie uchybienia zobowiązaniom przeciwko spóźnionym z transpozycją państwom członkowskim w listopadzie 2024 r.

NIS2UmsuCG → znowelizowana BSIG (Niemcy)

The NIS2UmsuCG amends the BSI Act to implement Directive (EU) 2022/2555.

NIS2UmsuCG to niemiecka ustawa zmieniająca. Przepisuje BSIG. Znowelizowana BSIG to to, do czego audytor lub BSI będzie Cię w Niemczech rozliczać. Brzmienie ściśle podąża za dyrektywą, czasem słowo w słowo.

Sześć sekcji BSIG, które naprawdę się liczą
Znowelizowana BSIG ma wiele sekcji. Sześć z nich niesie obowiązki, które każdy podmiot kluczowy lub ważny musi znać. Każda transponuje konkretny artykuł NIS 2.
§28 + §30 BSIG

Zakres i dziesięć środków

§28 BSIG określa, kto jest objęty zakresem: podmioty „szczególnie ważne” i „ważne”, oceniane według sektora (załącznik I i II NIS 2) oraz wielkości (50+ osób zatrudnionych lub 10 mln EUR+ obrotu, z odstępstwami). §30 BSIG wymienia dziesięć środków cyberbezpieczeństwa, które każdy podmiot objęty zakresem musi wdrożyć. §30 transponuje Artykuł 21(2) dyrektywy.

§32 + §33 BSIG

Zgłaszanie incydentów i rejestracja

§32 BSIG ustanawia kaskadę zgłaszania incydentów: 24 godziny na wczesne ostrzeżenie, 72 godziny na zgłoszenie incydentu, jeden miesiąc na sprawozdanie końcowe. Transponuje Artykuł 23. §33 BSIG wymaga rejestracji w BSI. Termin rejestracji upłynął 6 marca 2026 r. §33 transponuje Artykuł 27.

§38 + §65 BSIG

Organ zarządzający i grzywny

§38 BSIG czyni organ zarządzający osobiście odpowiedzialnym za zgodność i wymaga regularnych szkoleń. Transponuje Artykuł 20. §65 BSIG ustanawia poziomy grzywien: do 10 mln EUR lub 2% globalnego obrotu dla podmiotów szczególnie ważnych, do 7 mln EUR lub 1,4% dla podmiotów ważnych. §65 transponuje Artykuł 34.

Dwie zasady czytania obu tekstów razem
Gdy dyrektywa i BSIG leżą obok siebie, dwie zasady mówią Ci, która z nich wygrywa i jak je czytać.

NIS 2 jest źródłem; BSIG ją kopiuje

Istota każdego obowiązku pochodzi z dyrektywy. NIS2UmsuCG kopiuje Artykuł 21 do §30 BSIG niemal słowo w słowo. To samo dotyczy Artykułów 20, 23, 27 i 34. Jeśli chcesz wiedzieć, co oznacza obowiązek, najpierw przeczytaj dyrektywę. Przeczytaj sekcję BSIG dla niemieckich mechanizmów (który organ, który portal, który poziom grzywien).

Gdzie się różnią, dyrektywa ma pierwszeństwo

Jeśli brzmienie BSIG odbiega od dyrektywy i różnica ma znaczenie, wygrywa dyrektywa. To ogólna zasada prawa UE: państwo członkowskie nie może niedostatecznie wdrożyć dyrektywy, pisząc łagodniejszy tekst krajowy. Sądy krajowe czytają prawo krajowe w świetle dyrektywy. Organy krajowe nie mogą egzekwować wbrew dyrektywie.

Niemcy obok pozostałych 26 transpozycji
Każde państwo członkowskie ma własną ustawę transponującą NIS 2. Niemiecką jest NIS2UmsuCG. Obowiązki są takie same, ponieważ dyrektywa ustanawia standard. Brzmienie, terminy i organ, z którym rozmawiasz, się różnią.
Niemcy

NIS2UmsuCG → BSIG, nadzór BSI

NIS2UmsuCG nowelizuje BSIG. Bundesamt für Sicherheit in der Informationstechnik (BSI) jest krajowym organem właściwym. Rejestracja przebiega przez portal BSI. BSI publikuje również Infopakete i wskazuje IT-Grundschutz jako praktyczną drogę do wdrożenia.

Cała UE

Tracker transpozycji ENISA

ENISA, unijna agencja ds. cyberbezpieczeństwa, publikuje przegląd statusu transpozycji. Pokazuje, które państwa członkowskie transponowały, które są spóźnione, a które są wciąż w procesie legislacyjnym. Użyj go, aby sprawdzić stan dowolnej krajowej ustawy NIS 2, nie tylko niemieckiej.

Inne państwa członkowskie

Równoważne ustawy transponujące

Holandia: Cyberbeveiligingswet. Austria: NISG. Francja: ordonnance n° 2024-1184. Belgia: NIS2-Wet. Każda z nich transponuje tę samą dyrektywę do swojego języka i stylu prawnego. Obowiązek w §30 BSIG ma dokładny odpowiednik w każdej z tych ustaw. Brzmienie się różni; obowiązek jest taki sam.

Trzy pułapki, które widzimy cały czas
Trzy błędne odczytania relacji dyrektywa kontra transpozycja, które pojawiają się w rozmowach przygotowujących do audytu. Wszystkie trzy prowadzą do luk.

  • Dyrektywa mnie nie wiąże, wiąże mnie tylko BSIG.

    Obowiązki działają przez BSIG, to prawda. Ale BSIG czyta się w świetle dyrektywy. Jeśli organ krajowy lub sąd interpretuje niejednoznaczny przepis BSIG, sięga do dyrektywy. Dla kwestii ogólnoeuropejskich (transgraniczne umowy z dostawcami, polityka ryzyka obejmująca wiele jurysdykcji) dyrektywa jest właściwym odniesieniem. BSIG to niemieckie wdrożenie, a nie zamknięty, samowystarczalny kodeks.

  • Czekamy, aż ustawa wejdzie w życie, zanim zapewnimy zgodność.

    Dyrektywa była stosowana od 18 października 2024 r. Spóźniona transpozycja Niemiec nie opóźniła Twojego materialnego obowiązku. Ubezpieczyciele cybernetyczni, duzi klienci i organy audytowe zaczęli prosić o dowody NIS 2 w 2025 r., zanim NIS2UmsuCG został uchwalony. Gdy BSIG została znowelizowana, obowiązki stały się bezpośrednio egzekwowalne. Spóźniona transpozycja skróciła czas na rozbieg, nie wydłużyła go.

  • NIS2UmsuCG to unikalne prawo niemieckie.

    Każde państwo członkowskie ma równoważną transpozycję. Obowiązki są takie same. Różnią się tylko brzmienie, organ nadzorujący i poziom grzywien. Jeśli działasz w trzech krajach UE, nie potrzebujesz trzech ram ryzyka. Potrzebujesz jednych ram, które spełniają dyrektywę, oraz trzech krótkich krajowych załączników dla lokalnych mechanizmów (który portal, jaki format terminu, który organ).

Jak faktycznie czytać oba teksty

Większość operatorów z Mittelstandu powinna przeczytać oba. Dyrektywę dla istoty. BSIG dla szczegółów proceduralnych. Przeczytaj Artykuł 21 NIS 2, aby dowiedzieć się, co oznacza zarządzanie ryzykiem. Przeczytaj §30 BSIG, aby zobaczyć, jak Niemcy to formułują i które wytyczne BSI mają zastosowanie. Oba razem mówią Ci, co jesteś winien.

Dla operacji wielokrajowych dyrektywa jest tekstem roboczym. Buduj swój rejestr ryzyka, swój podręcznik incydentów i swoje umowy z dostawcami w oparciu o dyrektywę. Następnie utrzymuj krótki krajowy załącznik dla każdego kraju: w którym organie się rejestrujesz, przez który portal zgłaszasz, który poziom grzywien ma zastosowanie. To utrzymuje jedne materialne ramy z cienkimi krajowymi nakładkami, zamiast 27 równoległych.

Jak obsługujemy to na platformie

Mapujemy dyrektywę i BSIG obok siebie. Każdy wymóg na platformie pokazuje artykuł NIS 2, który transponuje, obok sekcji §30 / §32 / §33 / §38 BSIG, która operacjonalizuje go w Niemczech. Ten sam obowiązek, dwa odczyty. Czytasz poziom, który pasuje do tego, co robisz właśnie teraz.

Jeśli działasz w więcej niż jednym kraju UE, widok dyrektywy pozostaje stały. Krajowa nakładka (który organ, który portal, który poziom grzywien) zmienia się w zależności od kraju. Rozszerzamy ten sam model na inne państwa członkowskie (NL, AT, FR), w miarę jak dodajemy treści krajowe.

Źródła
  • Directive (EU) 2022/2555 (NIS 2), Artykuł 41 (transpozycja) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestag-Drucksache i Bundesgesetzblatt
  • Ustawa o BSI (BSIG), §§28, 30, 32, 33, 38, 65 w brzmieniu znowelizowanym przez NIS2UmsuCG
  • Pakiet w sprawie uchybienia zobowiązaniom Komisji Europejskiej z listopada 2024 r., wezwania do usunięcia uchybienia za spóźnioną transpozycję NIS 2
  • Przegląd statusu transpozycji NIS 2 ENISA
Prowadź NIS 2 i BSIG obok siebie
Każdy wymóg na platformie pokazuje artykuł dyrektywy i sekcję BSIG. Darmowe, open source, bez lock-inu.
Otwórz darmową platformę