§33 BSIG

Przegapiłeś termin rejestracji w BSI. Co teraz?

Około 18 000 niemieckich firm przegapiło termin rejestracji wynikający z §33 BSIG. Portal BSI jest nadal otwarty. Oto, co liczy się teraz, i co naprawdę się dzieje, jeśli zadziałasz szybko.

Simon OrzelSimon Orzel·Laufend geprüft

Krótka odpowiedź

Bez paniki. Nie jesteś sam, i nie jest za późno, żeby to naprawić. BSI oszacowało, że w Niemczech pod NIS2 podpada około 30 000 podmiotów. Termin rejestracji upłynął 6 marca 2026 r., ale znacząca liczba firm nadal się nie zarejestrowała. Jesteś daleki od bycia jedynym w tej sytuacji.

Portal rejestracyjny wynikający z §33 BSIG jest nadal otwarty. Możesz zarejestrować się dzisiaj. BSI zasygnalizowało, że będzie priorytetowo egzekwować przepisy wobec firm, które całkowicie ignorują swoje obowiązki, a nie wobec tych, które zarejestrowały się z opóźnieniem, lecz działają w dobrej wierze. Późno jest lepsze niż nigdy, a „nigdy” to jedyna naprawdę niebezpieczna opcja.

Najważniejsze jest, by działać teraz, udokumentować, że się zaczęło, i rozpocząć faktyczną pracę nad zgodnością. Spóźniona rejestracja z widocznym postępem wygląda dla organu nadzorczego zasadniczo inaczej niż całkowity brak rejestracji.

Pięć kroków, by wrócić na właściwe tory
Trzymaj się tej kolejności. Każdy krok opiera się na poprzednim, a razem tworzą udokumentowany ślad, który pokazuje BSI, że traktujesz zgodność poważnie.
1

1. Potwierdź, że faktycznie podlegasz zakresowi

Zanim się zarejestrujesz, zweryfikuj, czy NIS2 dotyczy Twojej firmy. Kryteria są w §28 BSIG: musisz działać w jednym z 18 wymienionych sektorów ORAZ spełniać próg wielkości (50+ pracowników lub 10 mln EUR+ rocznego obrotu). Jeśli nie masz pewności, sprawdź listy sektorów BSI w Załączniku I i Załączniku II do dyrektywy NIS2. Wiele firm zakłada, że są poza zakresem, podczas gdy nie są, i odwrotnie. Jeśli naprawdę masz wątpliwości, uzyskaj opinię prawną przed rejestracją, ale nie wykorzystuj niepewności jako wymówki do zwłoki.

2

2. Zarejestruj się przez portal BSI niezwłocznie

Przejdź do portalu rejestracyjnego NIS2 prowadzonego przez BSI i dokończ swoją rejestrację wynikającą z §33 BSIG. Będziesz potrzebować: danych swojej firmy, klasyfikacji sektorowej, osoby kontaktowej do spraw cyberbezpieczeństwa oraz zakresów adresów IP dla swoich systemów krytycznych. Sama rejestracja zajmuje około 30 minut, jeśli masz przygotowane informacje. Zrób to dzisiaj, każdy dzień zwłoki powiększa lukę między terminem a datą Twojej rejestracji.

3

3. Udokumentuj, że zacząłeś

Stwórz pisemny zapis, nawet prostą wewnętrzną notatkę, który dokumentuje, kiedy dowiedziałeś się o swoich obowiązkach wynikających z NIS2, kiedy się zarejestrowałeś i jakie kroki podejmujesz. To tworzy ślad dokumentacyjny, który świadczy o dobrej wierze. Jeśli BSI kiedykolwiek zapyta, dlaczego zarejestrowałeś się z opóźnieniem, „zidentyfikowaliśmy obowiązek, zarejestrowaliśmy się niezwłocznie i rozpoczęliśmy pracę nad zgodnością dnia [data]” to mocna odpowiedź.

4

4. Rozpocznij faktyczną pracę nad zgodnością

Rejestracja to dopiero pierwszy krok, §30 BSIG wymaga, abyś wdrożył środki zarządzania ryzykiem w cyberbezpieczeństwie. Zacznij od podstaw: inwentaryzacja zasobów, metodyka oceny ryzyka oraz procedury zgłaszania incydentów. Nie musisz osiągnąć pełnej zgodności z dnia na dzień, ale musisz w widoczny sposób ku niej dążyć. BSI patrzy na trajektorię, nie tylko na stan obecny.

5

5. Rozważ doradztwo prawne, jeśli zakres jest niejasny

Jeśli Twoja firma znajduje się blisko progu (blisko 50 pracowników lub 10 mln EUR obrotu), działa w sektorze, który można interpretować na wiele sposobów, lub ma złożoną strukturę korporacyjną, skonsultuj się z prawnikiem specjalizującym się w regulacjach IT. Koszt opinii prawnej (2 000–5 000 EUR) jest znikomy w porównaniu z kosztem zarówno niezgodności, jak i zbędnej zgodności. Niektóre stowarzyszenia branżowe (jak Bitkom czy BDI) oferują również członkom wytyczne dotyczące zakresu NIS2.

Jakie są rzeczywiste ryzyka spóźnionej rejestracji?

Uczciwość wobec ryzyk pomaga podejmować proporcjonalne decyzje. Konsekwencje są realne, ale nie katastrofalne, jeśli zadziałasz teraz.

Kary administracyjne

§65 BSIG przewiduje kary do 500 000 EUR konkretnie za naruszenia obowiązku rejestracji. W praktyce BSI ma ograniczone zdolności egzekucyjne i koncentruje się na wprowadzeniu firm do systemu, a nie na karaniu spóźnialskich. Firma, która rejestruje się z opóźnieniem i wykazuje aktywne starania o zgodność, raczej nie zostanie ukarana maksymalną sankcją. Firma, która nigdy się nie rejestruje, to inna historia.

Nakazy zgodności

BSI może wydać wiążące nakazy zgodności, wymagające od Ciebie rejestracji i wdrożenia określonych środków w wyznaczonym terminie. Niezastosowanie się do takiego nakazu znacząco zaostrza sytuację prawną. Proaktywna rejestracja, nawet spóźniona, całkowicie omija tę ścieżkę eskalacji.

Osobista odpowiedzialność kierownictwa

§38 BSIG czyni Geschäftsführung osobiście odpowiedzialną za zapewnienie zgodności z NIS2. Jeśli Twoja firma podlega zakresowi, a Ty, jako kierownictwo, świadomie opóźniłeś rejestrację, tworzy to osobistą ekspozycję. Odpowiedzialność ta nie może być uchylona uchwałą wspólników. Udokumentowanie, że działałeś, gdy tylko się dowiedziałeś, to ważna ochrona.

Zwiększona kontrola w przyszłych audytach

W przypadku podmiotów kluczowych BSI przeprowadza okresowe audyty. Spóźniona rejestracja będzie widoczna w Twojej osi czasu zgodności. Jednak dobrze udokumentowany proces nadrabiania zaległości, który wykazuje systematyczną poprawę, postrzegany jest zupełnie inaczej niż wzorzec zaniedbań. Audytorzy oceniają trajektorię, a nie tylko punkt wyjścia.

Dlaczego tak wiele firm przegapiło termin

Luka w rejestracji NIS2 nie jest spowodowana przede wszystkim niedbalstwem. Niemiecki proces legislacyjny był wielokrotnie opóźniany, NIS2UmsuCG przeszła miesiące po pierwotnym unijnym terminie transpozycji. Wiele firm rozsądnie czekało na sfinalizowanie niemieckiej ustawy, zanim podjęły działania. Inne nie były świadome, że podlegają zakresowi, ponieważ definicje sektorów drastycznie się rozszerzyły w porównaniu ze starym reżimem KRITIS.

Samo BSI publicznie przyznało skalę luki rejestracyjnej. Agencja przyjęła pragmatyczne stanowisko: priorytetem jest zarejestrowanie wszystkich 30 000 podmiotów i wprowadzenie ich do systemu zgodności, a nie karanie pierwszej fali spóźnionych rejestrujących. Ten pragmatyzm ma granice, dotyczy firm, które aktywnie dążą do zgodności, a nie tych, które wykorzystują cierpliwość BSI jako wymówkę, by nic nie robić.

Najczęściej zadawane pytania

Czy portal rejestracyjny BSI jest nadal otwarty?

Tak. Portal rejestracyjny wynikający z §33 BSIG pozostaje otwarty. Nie ma terminu, po którym nie można już się zarejestrować, obowiązek jest ciągły. Termin określał, kiedy powinieneś był się zarejestrować, a nie kiedy mogłeś. Zarejestruj się teraz.

Jaka jest kara za spóźnioną rejestrację?

§65 BSIG przewiduje kary do 500 000 EUR za naruszenia obowiązku rejestracji. Kary są jednak wymierzane indywidualnie dla każdego przypadku, z uwzględnieniem powagi, czasu trwania oraz tego, czy firma działała w dobrej wierze. Firma, która rejestruje się z kilkumiesięcznym opóźnieniem i wykazuje aktywne starania o zgodność, ma zupełnie inny profil ryzyka niż taka, która całkowicie ignoruje obowiązek.

Czy spóźniona rejestracja wpływa na moje pozostałe obowiązki wynikające z NIS2?

Nie. Twoje obowiązki wynikające z §30 BSIG (środki cyberbezpieczeństwa), §32 (zgłaszanie incydentów) oraz §38 (odpowiedzialność kierownictwa) istnieją niezależnie od tego, czy się zarejestrowałeś. Rejestracja nie tworzy obowiązków, wypełnia jeden z nich. Pozostałe obowiązki obowiązują od chwili, gdy spełnisz kryteria zakresu, niezależnie od statusu rejestracji.

Czy mogę się zarejestrować, jeśli nie mam pewności, że podlegamy zakresowi?

Tak, a BSI zaleca, by w razie niepewności decydować na korzyść rejestracji. Rejestracja w sytuacji, gdy okaże się, że jesteś poza zakresem, nie ma negatywnych konsekwencji, rejestrację można skorygować. Brak rejestracji, gdy podlegasz zakresowi, niesie realne ryzyko prawne. W razie wątpliwości zarejestruj się.

Co, jeśli zarejestrowaliśmy się, ale nie rozpoczęliśmy pracy nad zgodnością?

Rejestracja bez pracy nad zgodnością jest jak złożenie deklaracji podatkowej bez zapłaty podatku, wypełniłeś jeden obowiązek, ale nie te merytoryczne. Zacznij teraz od środków z §30 BSIG: inwentaryzacja zasobów, ocena ryzyka, procedury zgłaszania incydentów. BSI oczekuje, że zarejestrowane podmioty będą aktywnie dążyć do zgodności, a nie tylko siedzieć na numerze rejestracyjnym.

Źródła
  • BSI - statystyki rejestracji NIS2 i publiczne oświadczenia dotyczące podejścia do egzekwowania (2025)
  • G DATA CyberDefense - badanie świadomości NIS2: 44% firm średniej wielkości nieświadomych obowiązków (2024)
  • BSIG - §33 (obowiązek rejestracji), §65 (kary administracyjne), §38 (odpowiedzialność kierownictwa)
  • NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
  • BMI - dokumentacja parlamentarna i wytyczne dotyczące wdrożenia NIS2UmsuCG
Zarejestruj się, a następnie zbuduj swój ślad zgodności
Platforma prowadzi Cię od rejestracji aż do pełnej zgodności z §30 BSIG, tworząc udokumentowany ślad dowodowy, który pokazuje BSI, że traktujesz to poważnie.
Rozpocznij swój proces zgodności z NIS2