Întrebări frecvente NIS2

Va mai modifica sau ajusta Uniunea Europeană Directiva NIS 2?

Directiva NIS 2 (UE) 2022/2555 este drept UE aplicabil din ianuarie 2023 și stabilește cadrul obligatoriu. O modificare ar fi posibilă numai printr-o nouă procedură legislativă a UE și nu este planificată în prezent. Detalierile vin în schimb prin acte de punere în aplicare, precum CIR (UE) 2024/2690, care precizează măsurile tehnice minime în temeiul articolului 21 pentru anumite entități, nu printr-o reformare a directivei în sine. Pentru companii, acest lucru înseamnă: conținutul este stabilit, nu așteptați modificări, ci puneți în aplicare obligațiile în temeiul dreptului aplicabil.

Va exista finanțare federală pentru a sprijini implementarea NIS 2 în companii?

O subvenție federală dedicată special implementării NIS 2 nu este planificată în prezent. Obligațiile în temeiul articolului 21 din Directiva NIS 2 sunt bazate pe risc și proporționale: efortul crește în funcție de mărime, expunerea la risc și probabilitatea de producere, astfel încât o întreprindere mijlocie nu are nevoie de o soluție de grup corporativ. Subvențiile generale pentru digitalizare și consultanță din partea guvernului federal și a landurilor pot cofinanța măsuri individuale în funcție de program, lucru pe care cel mai bine îl verificați cu biroul de finanțare responsabil sau cu camera de comerț (IHK). Așadar, planificați implementarea pe cont propriu, finanțarea nu este garantată.

Care este stadiul actual al BSIG și când intră în vigoare Legea de punere în aplicare a NIS 2?

Legea de punere în aplicare a NIS 2 este deja în vigoare: Bundestagul a adoptat-o la 13 noiembrie 2025, Bundesratul a aprobat-o la 21 noiembrie 2025, promulgarea în Monitorul Oficial Federal a avut loc la 5 decembrie 2025, iar legea se aplică din 6 decembrie 2025. Acest lucru pune în aplicare Legea BSI revizuită fundamental (BSIG versiune nouă), care transpune Directiva NIS 2 în dreptul german. Perioada de înregistrare de trei luni de la intrarea în vigoare a expirat la 6 martie 2026. Oricine este vizat și nu s-a înregistrat încă ar trebui să o facă fără întârziere (a se vedea ../anwendungsbereich/nis2-registrierung).

Unde găsesc BSIG / Legea de punere în aplicare a NIS 2?

Veți găsi Directiva NIS 2 (UE) 2022/2555 în text integral pe EUR-Lex (Jurnalul Oficial L 333 din 27 decembrie 2022), iar regulamentul de punere în aplicare aferent ca CIR (UE) 2024/2690 tot acolo. Transpunerea germană, adică Legea BSI aplicabilă în versiunea sa nouă, o citiți în prezent pe gesetze-im-internet.de (BSIG). Textul de promulgare al Legii de punere în aplicare a NIS 2 (o lege omnibus) apare în Monitorul Oficial Federal din 5 decembrie 2025. Pentru practica curentă, versiunea consolidată a BSIG de pe gesetze-im-internet.de este sursa cea mai simplă.

Prin ce diferă Legea de punere în aplicare a NIS 2 de BSIG?

BSIG este actul de fond: o lege individuală de sine stătătoare care reglementează permanent atribuțiile BSI, precum și obligațiile entităților esențiale și importante. Legea de punere în aplicare a NIS 2, în schimb, este o lege omnibus, adică învelișul legislativ care reformează BSIG și, în același timp, modifică alte legi specifice sectoarelor (de exemplu în domeniul telecomunicațiilor, energiei și dreptului asigurărilor sociale) pentru a transpune integral Directiva NIS 2 în dreptul german. Pe scurt: Legea de punere în aplicare a NIS 2 și-a îndeplinit rolul la intrarea în vigoare și și-a introdus modificările în legile în vigoare. Ceea ce vă reglementează obligațiile de zi cu zi este, prin urmare, BSIG în versiunea sa nouă, nu învelișul.

Poate o companie să fie reglementată chiar dacă serviciile relevante nu sunt furnizate în Germania?

Da. Ceea ce contează nu este locul unde se furnizează un serviciu, ci locul unde este stabilită entitatea (articolul 26 din Directiva NIS 2, transpus în Germania prin §59 și §60 BSIG). Oricine este stabilit în Germania sau a desemnat un reprezentant aici poate fi supus supravegherii germane, chiar dacă clienții se află în străinătate. O regulă specială se aplică furnizorilor de DNS, cloud, centre de date și similari, precum și furnizorilor de rețele publice de comunicații electronice și de servicii: pentru aceștia este determinant sediul principal din UE, adică statul membru în care se iau predominant deciziile privind măsurile de gestionare a riscurilor. Care sediu contează în fiecare caz este detaliat pe pagina wiki despre un sediu principal în afara UE.

Ce se înțelege exact prin termenul „neglijabil” în contextul §28 alin. (3) BSIG și conform căror criterii se face această clasificare?

Neglijabil înseamnă o activitate al cărei amploare, în ansamblul companiei, este atât de mică încât nu cântărește pentru clasificarea ca entitate importantă sau esențială. Indicatori sunt numărul de persoane angajate acolo, cifra de afaceri generată de această activitate și cota de bilanț aferentă, fiecare raportată la întreaga activitate. Nicio cifră singură nu decide de una singură: contează imaginea de ansamblu. În plus, dacă activitatea apare și în obiectul de activitate (statut, act constitutiv), acest lucru pledează împotriva caracterului neglijabil. În caz de dubiu, activitatea ar trebui documentată și tratată conservator ca neneglijabilă.

Sunt regiile proprii municipale (Eigenbetriebe) vizate de NIS 2?

Nu în mod automat. Activitatea pur administrativă la nivel municipal este în principiu reglementată de dreptul landului (Landesrecht) și nu de BSIG; Consiliul de planificare IT (IT-Planungsrat) a exclus în mod expres nivelul municipal aici. O regie proprie municipală devine vizată numai atunci când ea însăși intră în unul dintre sectoarele acoperite (precum energie, apă, ape uzate, deșeuri) și fie operează o instalație critică, fie atinge pragurile de mărime pentru entități importante sau esențiale. Decisivă este, prin urmare, activitatea concretă a regiei individuale, nu forma juridică a unei regii proprii (Eigenbetrieb). Pentru operatorii de utilități și de eliminare a deșeurilor, testele de pe wiki sunt utile, de exemplu regie municipală de utilități sau operator de eliminare a apelor uzate.

Intră compania mea în domeniul de aplicare al BSIG / Legii de punere în aplicare a NIS 2?

Aceasta depinde de trei întrebări: sector, mărime și cazuri speciale. În primul rând, activitatea dumneavoastră trebuie să intre sub unul dintre sectoarele denumite în anexa I sau II la Directiva NIS 2 (în Germania anexele 1 și 2 la BSIG). În al doilea rând, de regulă trebuie să aveți cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri anuală și total al bilanțului anual (întreprindere mijlocie conform Recomandării 2003/361/CE); companiile mai mici sunt acoperite numai în cazuri excepționale desemnate. În al treilea rând, există constelații care se aplică indiferent de mărime, de exemplu operatorii de instalații critice sau anumiți furnizori din sectorul infrastructurii digitale. Clasificarea este o autoclasificare; BSI nu trimite înștiințări. Testul complet este oferit pe pagina wiki Cine este vizat.

Cum se clasifică termenii de entitate esențială, importantă și deosebit de importantă?

Directiva NIS 2 cunoaște două clase: entități esențiale (anexa I) și entități importante (anexa II), articolul 3 din Directiva NIS 2. BSIG german preia acest lucru, dar numește clasa superioară entitate deosebit de importantă (§28 alin. (1) BSIG) și pe cealaltă entitate importantă (§28 alin. (2) BSIG); esențial și deosebit de important înseamnă, prin urmare, același nivel. Diferența nu constă în obligațiile de securitate, care sunt în esență aceleași, ci în supraveghere: entitățile deosebit de importante sunt supuse supravegherii proactive, entitățile importante numai supravegherii ex-post declanșate de o ocazie specifică. Faptul că intrați în clasa superioară sau inferioară rezultă din sector, mărime și statutul de operator al unei instalații critice.

Cum se evaluează caracterul vizat al entităților în temeiul §28 alin. (1) nr. 4 BSIG?

§28 alin. (1) nr. 4 BSIG acoperă entitățile de tipurile din anexa 1 care oferă bunuri sau servicii unei alte persoane în schimbul unei remunerații și au o cifră de afaceri anuală de peste 50 de milioane de euro și, în același timp, un total al bilanțului anual de peste 43 de milioane de euro (transpunerea articolului 3 alineatul (1) din Directiva NIS 2). Evaluarea se realizează, prin urmare, în doi pași: aparține activitatea dumneavoastră unui sector din anexa 1 și depășiți cumulativ ambele praguri financiare? În calcul trebuie incluse întreprinderile legate și partenere conform Recomandării 2003/361/CE. Dacă ambele praguri sunt depășite, vă numărați printre entitățile deosebit de importante, fără ca numărul de angajați să conteze.

Pe ce se întemeiază pragurile privind numărul de angajați, cifra de afaceri anuală și totalul bilanțului anual care sunt utilizate pentru clasificarea categoriilor de întreprinderi la articolul 2 alineatul (1) din Directiva NIS 2, în special în ceea ce privește trimiterea la articolul 2 din anexa la Recomandarea 2003/361/CE?

Directiva NIS 2 nu definește ea însăși categoriile de mărime, ci face trimitere la definiția UE pentru întreprinderile mici și mijlocii din articolul 2 din anexa la Recomandarea 2003/361/CE. Conform acesteia: o întreprindere mijlocie are mai puțin de 250 de angajați și fie cel mult 50 de milioane de euro cifră de afaceri anuală, fie cel mult 43 de milioane de euro total al bilanțului anual; o întreprindere mică este sub 50 de angajați și cel mult 10 milioane de euro pentru ambele valori. NIS 2 acoperă în principiu întreprinderile de la mărimea mijlocie în sus, adică de la 50 de angajați sau peste 10 milioane de euro cifră de afaceri și total al bilanțului. În calcul se aplică regulile de legătură și parteneriat din recomandare, cu excepția articolului 3 alineatul (4) din anexa la aceasta.

Se referă numărul de angajați și nivelul cifrei de afaceri la o singură (sucursală) unitate de exploatare sau, după caz, la întreaga companie?

Ceea ce contează este întreaga companie, nu sucursala individuală sau sediul comercial. Numărul de angajați, cifra de afaceri și totalul bilanțului se determină la nivelul persoanei juridice, incluzând întreprinderile partenere și legate care trebuie luate în considerare conform Recomandării 2003/361/CE (§28 alin. (4) BSIG). O sucursală nu trebuie, prin urmare, considerată de sine stătător, ci ca parte a întregului. Altceva se poate aplica numai dacă o parte a exploatării lucrează în mod demonstrabil pe deplin independent în ceea ce privește sistemele, componentele și procesele IT.

Trebuie incluse în calculul indicatorilor de prag de mărime întreprinderile legate care nu sunt active în Germania sau nu în UE?

Da. În calculul pragurilor, întreprinderile partenere și legate conform Recomandării 2003/361/CE trebuie incluse integral, indiferent dacă se află în Germania, în alt stat membru al UE sau în afara UE (§28 alin. (4) BSIG coroborat cu recomandarea). Angajații, cifra de afaceri și totalul bilanțului companiilor legate se adaugă, prin urmare, proporțional sau integral pe bază mondială. Localizarea geografică a unei companii-mamă sau soră nu schimbă nimic în ceea ce privește includerea acesteia. Faptul că societatea dumneavoastră este apoi efectiv supusă supravegherii germane se stabilește separat prin întrebarea privind stabilirea (articolul 26 din Directiva NIS 2).

Dacă o societate-mamă și o filială cu IT comun trebuie atribuite fiecare unuia dintre tipurile de entități acoperite și (împreună) îndeplinesc regula privind pragul de mărime, sunt atunci ambele companii acoperite sau este suficient ca cerințele să fie îndeplinite de grupul-mamă?

Ambele sunt acoperite. NIS 2 se atașează persoanei juridice individuale: dacă societatea-mamă și filiala trebuie atribuite fiecare unui sector acoperit și ating pragurile, fiecare este, de drept propriu, o entitate cu propriile obligații în temeiul §30 și urm. BSIG. IT-ul utilizat în comun nu schimbă nimic în această privință și nu exceptează filiala. În practică, gestionarea riscurilor, raportarea și dovezile pot fi organizate și partajate la nivel central, dar răspunderea juridică rămâne separată pentru fiecare entitate. Înregistrarea și conformitatea trebuie, prin urmare, asigurate în mod independent pentru fiecare companie vizată.

La cine se poate adresa cineva dacă, în ciuda verificării caracterului vizat de către BSI, rămân întrebări privind caracterul vizat în cazul individual concret?

BSI publică un autotest online (verificare a caracterului vizat) pentru clasificarea de bază, dar nu oferă consiliere obligatorie din punct de vedere juridic în cazuri individuale și nu emite înștiințări declarative. Dacă rămân îndoieli după autotest, o examinare juridică a cazului individual concret este calea curată, de exemplu de către avocați sau consultanți specializați în NIS 2. Documentați clasificarea dumneavoastră și cifrele care stau la bază într-un mod ușor de înțeles, deoarece în caz de dubiu trebuie să puteți justifica dumneavoastră înșivă autoclasificarea. Cum se înregistrează curat această clasificare este arătat pe pagina wiki despre autoclasificare.

Aș dori să solicit o scutire de la NIS 2. Este posibil acest lucru?

Nu. Nu există o procedură bazată pe cerere prin care o entitate să se poată exonera de NIS 2. Puținele excepții sunt stabilite în lege însăși (§37 BSIG, întemeiat pe articolul 2 din Directiva NIS 2) și se află exclusiv în inițiativa autorităților federale denumite acolo, de exemplu pentru anumite activități în domeniul securității naționale, apărării sau aplicării legii. BSI nu poate nici solicita, nici acorda astfel de excepții. Dacă credeți că nu sunteți vizat, calea corectă nu este, prin urmare, o cerere, ci o autoclasificare curată, documentată, care dovedește că pragurile de sector sau de mărime nu sunt îndeplinite.

Entitățile esențiale și importante trebuie, printre altele, să transmită intervalele lor de adrese IP publice în temeiul Legii de punere în aplicare a NIS 2. Ce informații trebuie furnizate aici?

La înregistrare, articolul 27 din Directiva NIS 2 (transpus în Germania în §33 BSIG) impune denumirea și forma juridică, adresa, datele de contact actuale, sectorul relevant, o listă a statelor membre în care se furnizează servicii și, într-adevăr, intervalele de adrese IP publice. Aceasta se referă numai la intervalele de adrese statice, rutate public, sub care entitatea dumneavoastră este accesibilă din exterior sau operează sisteme critice. Adresele dinamice și intervalele IP pe care le atribuiți clienților finali nu sunt incluse. În practică, indicați, prin urmare, propriile dumneavoastră rețele înregistrate (adesea în notație CIDR), nu fiecare adresă individuală. Procedura și termenele sunt explicate la /wiki/anwendungsbereich/nis2-registrierung.

Cum sunt definite serviciile digitale?

Directiva NIS 2 nu introduce un termen-umbrelă unic „serviciu digital”, ci denumește trei tipuri specifice la articolul 6: piață online, motor de căutare online și platformă de servicii de rețele sociale. Fiecare dintre acestea este un serviciu în sensul Directivei (UE) 2015/1535, adică un serviciu prestat în mod normal în schimbul unei remunerații, la distanță, prin mijloace electronice și la cererea individuală a unui destinatar. Acești trei furnizori aparțin sectorului serviciilor digitale din anexa I la directivă. Cloud computing, centrele de date, CDN și serviciile comparabile sunt categorii separate de infrastructură digitală, nu fac parte din această definiție. Verificați cazul dumneavoastră specific prin /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Ce strategii sunt necesare pentru a integra cerințe juridice eventual divergente pentru implementarea NIS 2, precum cele existente în Germania și în alte părți ale Europei, într-un singur sistem de management al securității informației (ISMS) într-un mod conform din punct de vedere juridic și pentru a asigura acest lucru în mod continuu?

Construiți-vă ISMS-ul pe fundamentul comun al UE: obligațiile în temeiul articolului 21 din Directiva NIS 2 și cerințele tehnice minime ale regulamentului de punere în aplicare CIR 2024/2690 se aplică identic în toate statele membre și formează nucleul. Peste acest nucleu adăugați, ca un strat, particularitățile naționale ale țărilor în care operați, de exemplu reguli de notificare diferite sau obligații suplimentare. În practică, acest lucru înseamnă: un singur set de măsuri și dovezi, plus un registru care documentează, pentru fiecare țară, abaterea și autoritatea competentă. Acolo unde țările sunt diferit de stricte, îndepliniți cel mai înalt nivel din întregul grup, apoi sunteți conform peste tot. Standarde recunoscute precum ISO 27001 sau IT-Grundschutz al BSI oferă cadrul comun pentru aceasta.

Ce înseamnă „stadiul tehnicii actuale”? Există o definiție pentru aceasta?

Nu există o definiție juridică fixă, iar acest lucru este intenționat: stadiul tehnicii actuale descrie ceea ce este în prezent stabilit și dovedit în practică drept măsuri de securitate eficace și se dezvoltă în timp. Articolul 21 alineatul (1) din Directiva NIS 2 (în Germania §30 BSIG) vă impune să îl luați în considerare și să vă bazați în acest sens pe standardele europene și internaționale relevante. Reperul sunt, prin urmare, lucrările recunoscute, precum ISO/IEC 27001, IT-Grundschutz al BSI sau orientările ENISA, nu ceea ce este cel mai nou pe piață. Măsurile trebuie să fie, de asemenea, proporționale: se iau în considerare situația de risc, mărimea entității și costurile de implementare. Vă orientați după standardele actuale și documentați de ce alegerea dumneavoastră se potrivește riscului.

Întrebări privind clasificarea companiilor din grup și a serviciilor IT pe care le furnizează în legătură cu clasificarea ca furnizor de servicii gestionate (MSP)

Un serviciu gestionat există în temeiul articolului 6 punctul 39 din Directiva NIS 2 atunci când un furnizor instalează, operează, gestionează sau întreține sisteme sau aplicații IT pentru altcineva și poartă răspunderea operațională în acest sens. Decisivă este această răspundere operațională, nu apartenența la grup. O companie IT centrală care administrează activ sisteme pentru firme surori se poate, prin urmare, califica ea însăși drept MSP și intra în mod independent în domeniul de aplicare. O simplă societate holding care se ocupă numai de direcționarea afacerii, fără a rula operațional sistemele unei alte părți, nu este, în schimb, MSP. Verificați separat pentru fiecare companie din grup cine operează efectiv ce servicii: /wiki/anwendungsbereich/bin-ich-msp-managed-service-provider.

Sunt companiile care operează instalații critice în temeiul vechiului cadru juridic (BSIG înainte de 6 decembrie 2025 coroborat cu BSI-KritisV) și care își au sediul în străinătate încă operatori KRITIS după intrarea în vigoare a BSIG (versiune nouă)?

Da. Pentru operatorii KRITIS contează unde se află instalația critică și unde aceasta furnizează servicii de alimentare în Germania, nu unde se află sediul grupului. Oricine operează o instalație care atinge pragurile regulamentului KRITIS în Germania rămâne, prin urmare, operator KRITIS și în temeiul noului BSIG, indiferent de un sediu social în străinătate. Situația diferă numai pentru anumite servicii transfrontaliere (precum părți ale infrastructurii digitale), pentru care articolul 26 din Directiva NIS 2 prevede propria regulă de competență. Mai multe despre întrebarea privind sediul social la /wiki/anwendungsbereich/nis2-hauptsitz-ausserhalb-eu.

Operez un server DNS în mod privat. Trebuie să mă înregistrez în portalul BSI și să transmit notificări?

Nu. Directiva NIS 2 se adresează entităților care oferă un serviciu acoperit în mod comercial, nu operatorilor privați de hobby. În sectorul infrastructurii digitale sunt reglementați furnizorii de servicii DNS și registrele de nume TLD care furnizează aceste servicii ca organizație pentru terți (articolul 3 și anexa I la directivă). Un server DNS operat privat fără prestare de servicii comerciale nu este acoperit, deci nu există înregistrare și nu există obligații de notificare. De îndată ce acest lucru devine un serviciu oferit terților, clasificarea se schimbă.

Este o companie care în principiu este supusă NIS 2, dar este lichidată în scurt timp și nu mai desfășoară nicio activitate comercială semnificativă, în continuare clasificată ca entitate importantă sau esențială?

Atâta timp cât compania există din punct de vedere juridic și încă furnizează serviciul acoperit, rămâne o entitate importantă sau esențială, inclusiv în timpul lichidării. Clasificarea în temeiul articolului 3 din Directiva NIS 2 se leagă de activitatea efectivă, nu de intenția de a înceta. Dacă entitatea încetează permanent activitatea comercială acoperită, condiția nu se mai aplică și, odată cu ea, nici acoperirea în domeniul de aplicare; până atunci obligațiile continuă să se aplice. O simplă încetare a activității anunțată, dar nefinalizată încă, nu este suficientă. Atâta timp cât sistemele care merită protejate funcționează, înregistrarea și gestionarea riscurilor rămân datorate.

Trebuie serviciile SaaS oferite în mod independent clasificate ca servicii de cloud computing în sensul BSIG dacă rulează pe infrastructura unor furnizori de cloud externi, iar furnizorul SaaS nu operează el însuși resursele de calcul?

Decisivă este definiția unui serviciu de cloud computing din articolul 6 punctul 30 din Directiva NIS 2: un serviciu care permite administrarea la cerere și accesul larg de la distanță la un fond scalabil și elastic de resurse de calcul partajabile. Ceea ce contează este ce oferiți în exterior, nu dacă hardware-ul subiacent vă aparține. O ofertă SaaS poate îndeplini aceste caracteristici chiar dacă rulează pe infrastructura unei terțe părți. Dacă, în schimb, SaaS-ul dumneavoastră oferă o aplicație specializată clar definită, fără aceste caracteristici de cloud, nu este un serviciu de cloud computing în sensul directivei. Verificați caracteristicile specifice la /wiki/anwendungsbereich/bin-ich-cloud-anbieter-nis2.

Este distincția dintre răspunderea de afaceri și cea operațională, care este decisivă pentru MSP, transferabilă și la alte servicii din sectorul infrastructurii digitale (sau la alte sectoare BSIG)?

Distincția dintre răspunderea de afaceri și cea operațională este o idee de test utilă, dar nu înlocuiește definiția juridică respectivă. Pentru fiecare tip de serviciu se aplică mai întâi formularea articolului 6 din Directiva NIS 2, de exemplu pentru serviciul de cloud computing, serviciul de centru de date sau furnizorul de servicii DNS. Pentru multe dintre aceste servicii, clasificarea revine celui care furnizează și operează efectiv serviciul, adică celui care poartă răspunderea operațională. Simpla răspundere de afaceri sau contractuală, fără operare proprie, în general nu instituie rolul de entitate. Aplicați, prin urmare, criteriul per tip de serviciu, pe baza definiției de acolo, nu ca regulă generală.

Intru sub definiția unui furnizor de servicii de încredere?

Furnizorii de servicii de încredere sunt definiți la articolul 3 din Regulamentul eIDAS (UE) nr. 910/2014: furnizori de servicii electronice de încredere precum semnături și sigilii electronice, mărci temporale, servicii de distribuție electronică înregistrată sau certificate pentru autentificarea site-urilor web. Dacă oferiți un astfel de serviciu în mod comercial, intrați sub această definiție și, astfel, în domeniul de aplicare al NIS 2. Furnizorii calificați de servicii de încredere se numără, în această privință, printre entitățile esențiale, indiferent de mărimea lor. Oricine folosește semnături sau certificate numai intern, fără a le oferi ca serviciu, nu este furnizor de servicii de încredere. O verificare detaliată se găsește la /wiki/anwendungsbereich/bin-ich-vertrauensdiensteanbieter-nis2.

În sectorul „producția, fabricarea și comerțul cu substanțe chimice”, în ceea ce privește „comerțul cu substanțe chimice”, intră în domeniul de aplicare orice comerț cu produse finite alcătuite din substanțe chimice?

Nu, nu orice comerț cu produse care conțin substanțe chimice. Anexa II la Directiva NIS 2 acoperă fabricarea și comerțul cu substanțe și amestecuri chimice, precum și producția de articole din aceste substanțe, în fiecare caz în sensul Regulamentului REACH (CE) nr. 1907/2006. Se au în vedere, prin urmare, substanțele și amestecurile ca atare, nu orice produs finit care a fost la un moment dat fabricat din substanțe chimice. Oricine comercializează articole finite (precum mobilier sau electronice) nu desfășoară comerț cu substanțe chimice în acest sens. În plus, trebuie îndeplinite criteriile de mărime pentru ca acoperirea în domeniul de aplicare să apară.

Cum determin codul NACE al companiei mele?

Determinați codul NACE (mapat în Germania ca cod WZ, în prezent WZ 2025) în funcție de activitatea dumneavoastră economică principală, adică activitatea cu care generați cea mai mare parte a valorii adăugate sau a cifrei de afaceri. Repere sunt înregistrarea dumneavoastră în registrul comerțului sau în registrul comercial și codul menținut de Oficiul Federal de Statistică sau de IHK-ul dumneavoastră. Dacă societatea dumneavoastră desfășoară mai multe activități, atribuiți fiecăreia clasa corespunzătoare și verificați-o pe fiecare în mod individual pentru acoperirea în domeniul de aplicare. Puteți găsi codul și prin baza de date de clasificare a Oficiului Federal de Statistică. Decisiv pentru NIS 2 este ceea ce faceți efectiv, nu codul înregistrat de unul singur.

Ce rol joacă codurile NACE în determinarea faptului dacă o entitate intră în domeniul de aplicare?

Codurile NACE sunt un ajutor de orientare, dar nu criteriul juridic. Faptul că intrați în domeniul de aplicare este reglementat de sectoarele și tipurile de entități din anexele I și II la Directiva NIS 2, împreună cu pragurile de mărime, nu de simpla atribuire a codului. Codul NACE sau WZ vă ajută să vă atribuiți activitatea unuia dintre aceste sectoare, dar nu înlocuiește evaluarea de fond. Se poate întâmpla ca un cod să se potrivească aproximativ, dar activitatea să nu intre sub definiția juridică, și viceversa. Ceea ce rămâne decisiv este activitatea dumneavoastră efectivă, măsurată în raport cu definiția: puteți găsi testul complet la /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

Trebuie companiile să constituie o echipă de criză pentru gestionarea incidentelor?

Nu, o echipă de criză formală nu este impusă de lege. Articolul 21 alineatul (2) litera (c) din Directiva NIS 2 (transpus în §30 BSIG) impune măsuri pentru continuitatea activității și gestionarea crizelor, dar lasă deschis modul în care organizați acest lucru. Ceea ce contează este ca responsabilitățile, disponibilitatea și procedurile pentru o urgență să fie definite și exersate. Într-o exploatare de două persoane, acesta poate fi un set scurt de instrucțiuni, în organizații mai mari o echipă desemnată. Reperul este proporționalitatea în temeiul articolului 21 alineatul (1).

Se referă analiza de risc impusă în temeiul Legii de punere în aplicare a NIS 2 la întreaga companie sau în mod specific la amenințările cibernetice și la impactul lor asupra sistemelor IT?

Se referă la riscurile pentru rețelele și sistemele dumneavoastră informatice, nu la o analiză generală a riscurilor corporative. Articolul 21 alineatul (2) litera (a) din Directiva NIS 2 (§30 BSIG) denumește în mod expres politici pentru analiza riscurilor și securitatea sistemelor informatice. Aceasta înseamnă sistemele cu care procesați, stocați sau transmiteți informații și amenințările care pun în pericol disponibilitatea, integritatea și confidențialitatea lor. Amploarea nu este rigidă: urmează riscul efectiv și importanța sistemelor pentru operațiunile dumneavoastră (articolul 21 alineatul (1)).

Compania mea îndeplinește criteriile pentru a se califica drept entitate esențială sau operator KRITIS, ori drept entitate importantă. Care obligații trebuie îndeplinite?

Trei seturi de obligații se aplică în mod egal ambelor categorii. În primul rând, înregistrarea la BSI, inclusiv datele de contact (articolul 27, §33 BSIG). În al doilea rând, măsurile de gestionare a riscurilor din catalogul de la articolul 21 alineatul (2) (§30 BSIG), de la analiza riscurilor la gestionarea incidentelor și lanțul de aprovizionare, până la criptografie și controlul accesului. În al treilea rând, raportarea eșalonată a incidentelor de securitate semnificative în temeiul articolului 23 (§32 BSIG): avertizare timpurie în 24 de ore, confirmare în 72 de ore, raport final după o lună. Diferența constă în supraveghere: entitățile esențiale sunt supravegheate proactiv, entitățile importante pe bază ex-post. Puteți găsi testul complet de clasificare la Wer ist betroffen.

De când se aplică obligațiile BSIG / Legii de punere în aplicare a NIS 2?

Obligațiile se aplică direct odată ce transpunerea germană intră în vigoare. Legea de punere în aplicare a NIS 2 a fost promulgată la 5 decembrie 2025 și a intrat în vigoare la 6 decembrie 2025. Obligațiile de gestionare a riscurilor și de raportare se aplică, prin urmare, din acel moment; o perioadă de grație separată pentru măsurile de fond nu este prevăzută. Numai înregistrarea are propriul termen (§33 BSIG), a se vedea Registrierung.

Va exista o perioadă de tranziție?

Pentru obligațiile de securitate de fond nu există o perioadă generală de tranziție. Oricine intră în domeniul de aplicare trebuie să îndeplinească măsurile în temeiul articolului 21 (§30 BSIG) din momentul în care se aplică. Numai înregistrarea este eșalonată în timp: trebuie efectuată în termen de trei luni din momentul în care vă calificați drept entitate (§33 BSIG). Operatorii KRITIS al căror termen existent de prezentare a dovezilor a căzut în primele douăsprezece luni de la intrarea în vigoare pot, la alegerea lor, să utilizeze data lor inițială.

Ce cerințe sunt impuse privind disponibilitatea entităților importante și esențiale?

Trebuie să oferiți BSI un punct de contact accesibil, de regulă un număr de telefon și o adresă de e-mail, și să mențineți aceste date actualizate (articolul 27, §33 BSIG). Prin acest canal, BSI transmite rapoarte de incidente, avertizări și întrebări de urmărire. Legea nu prescrie nicio calificare specială pentru persoanele din spate. Contează numai ca punctul de contact să fie efectiv accesibil și ca rapoartele să poată fi prelucrate prompt, astfel încât avertizarea timpurie de 24 de ore în temeiul articolului 23 să funcționeze. Pentru operatorii KRITIS se aplică suplimentar cerințe de disponibilitate mai stricte.

Ne-am externalizat complet IT-ul către furnizori de servicii externi. Care obligații mai trebuie atunci, în general, să îndeplinim noi, ca entitate importantă?

Puteți externaliza operațiunile, dar nu și răspunderea. Obligațiile în temeiul §30 BSIG rămân adresate entității dumneavoastră, nu furnizorului de servicii. În mod concret, aceasta înseamnă: trebuie să gestionați securitatea lanțului de aprovizionare (articolul 21 alineatul (2) litera (d)), adică să asigurați contractual ca furnizorul dumneavoastră de servicii să implementeze măsuri adecvate și să vă raporteze incidentele. Înregistrarea, raportarea incidentelor semnificative în temeiul articolului 23, precum și aprobarea și supravegherea măsurilor de către conducere (articolul 20, §38 BSIG) rămân la dumneavoastră. Mai multe despre acest lucru la Bin ich MSP-Kunde.

De când se consideră instalația fotovoltaică de pe acoperișul companiei drept infrastructură critică?

O instalație pe acoperiș pentru autoaprovizionare nu este, de regulă, infrastructură critică. Statutul KRITIS apare numai atunci când o instalație de producere a energiei atinge pragul BSI-KritisV, în prezent 104 megawați de capacitate nominală netă instalată (anexa 1, sectorul energie). Decisivă este alimentarea în rețeaua generală de aprovizionare, nu autoconsumul. Clasificarea ca instalație critică intră, în plus, în vigoare numai la 1 aprilie al anului următor primei depășiri a pragului. O instalație tipică pe acoperiș se află cu ordine de mărime sub aceasta.

Trebuie companiile să demonstreze conformitatea cu cerințele?

Da, trebuie să puteți dovedi implementarea, dar forma dovezii diferă în funcție de categorie. Entitățile esențiale și importante sunt supuse supravegherii BSI (articolele 32 și 33, §61 și urm. BSIG): BSI poate solicita informații, documente și inspecții, dar o certificare obligatorie periodică nu este prescrisă pentru ele. Ar trebui, prin urmare, să documentați politicile, măsurile și gestionarea incidentelor astfel încât să le puteți prezenta la cerere. O obligație periodică de dovedire în sens restrâns se aplică numai operatorilor KRITIS.

Sunt operator KRITIS. Când trebuie să-mi transmit documentele de dovedire în conformitate cu BSIG / Legea de punere în aplicare a NIS 2?

Operatorii KRITIS demonstrează BSI îndeplinirea cerințelor la fiecare trei ani (§39 BSIG); ciclul de audit a fost prelungit de la doi la trei ani. BSI a notificat individual operatorilor înregistrați noile lor date de prezentare. Dacă data dumneavoastră anterioară a căzut în primele douăsprezece luni de la intrarea în vigoare, puteți, la alegerea dumneavoastră, să utilizați data inițială. Decisivă este întotdeauna data care vă este indicată în mod specific, nu o dată-limită generală.

Cum pot demonstra că societatea mea implementează măsurile cerute?

Furnizați dovada prin propria documentație: gestionarea riscurilor, măsurile tehnice și organizatorice pe care le-ați luat și dovada că acestea sunt eficace (politici, configurări, rapoarte de audit, evidențe de instruire). Dispoziția care reglementează este articolul 21 din Directiva (UE) 2022/2555 (NIS 2), transpus în Germania în § 30 BSIG; CIR (UE) 2024/2690 detaliază măsurile pentru anumite tipuri de entități. Un certificat emis de un organism extern poate susține această documentație, dar nu o înlocuiește: contează ca evidențele dumneavoastră să acopere cerințele juridice specifice. O obligație de a transmite dovezi către BSI apare numai după ce BSI dispune o inspecție (§ 61 BSIG) sau cădeți sub obligația periodică de dovedire ca operator de instalații critice (§ 39 BSIG).

Este IT-Grundschutz al BSI obligatoriu pentru toate entitățile acoperite de NIS 2?

Nu. Articolul 21 din Directiva NIS 2 și § 30 BSIG nu prescriu nicio procedură anume, ci impun măsuri adecvate, proporționale și eficace, în concordanță cu stadiul tehnicii actuale. IT-Grundschutz este metodologia publicată de BSI cu care aceste cerințe pot fi îndeplinite curat, iar organismele de evaluare o acceptă. Puteți îndeplini obligațiile în egală măsură prin ISO 27001 sau prin alt ISMS recunoscut, atâta timp cât măsurile acoperă riscurile dumneavoastră specifice. Contează nu denumirea standardului, ci ca punctele enumerate la § 30 să fie efectiv implementate și documentate.

În afară de ISO 27001 și BSI Grundschutz, este o certificare a companiei conform VdS 10000 de asemenea suficientă pentru a îndeplini cerințele Legii de punere în aplicare a NIS 2?

VdS 10000 poate fi un punct de plecare rezonabil, dar de unul singur nu acoperă automat toate cerințele § 30 BSIG și ale articolului 21 din Directiva NIS 2. Niciun certificat, nici măcar ISO 27001 sau IT-Grundschutz, nu este o dovadă generală de conformitate: ceea ce rămâne decisiv este dacă măsurile dumneavoastră acoperă domeniile cerute de lege integral și într-un mod proporțional cu riscul. Așadar, folosiți VdS 10000 ca o componentă a gestionării riscurilor și reconciliați-o în mod specific cu cerințele § 30 pentru a închide eventualele lacune (de exemplu în lanțul de aprovizionare sau în raportare).

Dacă o certificare ISO 27001 nu este suficientă pentru a îndeplini cerințele în temeiul BSIG, cum pot fi asigurați clienții că societatea mea este conformă cu NIS 2? Trebuie pentru aceasta dezvăluit întregul ISMS?

Nu, nu trebuie să dezvăluiți întregul dumneavoastră ISMS. Față de clienți, demonstrați de obicei conformitatea cu articolul 21 din Directiva NIS 2 și § 30 BSIG prin dovezi țintite: un certificat ISO 27001 împreună cu o Declarație de aplicabilitate corespunzătoare, o declarație de conformitate NIS 2, chestionare de furnizor completate sau rezumate de audit individuale. Contează ca aceste dovezi să reflecte măsurile relevante pentru relația de afaceri, nu întregul dumneavoastră corp intern de reguli. O obligație formală de dovedire față de BSI există numai pentru operatorii de instalații critice (§ 39 BSIG) sau la dispoziție (§ 61 BSIG); față de clienți, se aplică ceea ce conveniți contractual.

Există cerințe obligatorii de certificare pentru consilierea companiilor și entităților în contextul NIS 2 și cum se aplică acest lucru la efectuarea inspecțiilor pentru producerea de dovezi?

Pentru activitatea de consiliere în sine, nici Directiva NIS 2, nici BSIG nu denumesc o certificare obligatorie: oricine poate consilia, iar o acreditare a consilierilor nu este impusă de lege. Este altfel pentru inspecțiile formale de dovedire pentru operatorii de instalații critice în temeiul § 39 BSIG: acestea se efectuează prin audituri de securitate, examinări sau certificări la fiecare trei ani, iar BSI stabilește cerințele pentru organismele care le efectuează. Dacă BSI dispune o inspecție la alte entități esențiale (§ 61 BSIG), cerințele sale se aplică în mod corespunzător. Așadar, fiți atent la calificarea organismului care inspectează acolo unde legea impune o inspecție formală, nu deja în cazul simplei consilieri.

Poate cerința în temeiul § 30 alin. (2) nr. 4 BSIG privind securitatea lanțului de aprovizionare să fie îndeplinită prin solicitarea de certificate (ISO 27001, TISAX etc.) de la furnizorii sau prestatorii de servicii direcți?

Nu, un certificat de unul singur nu îndeplinește cerința. Articolul 21 alineatul (2) litera (d) din Directiva NIS 2, transpus în Germania în § 30 alin. (2) nr. 4 BSIG, impune propriul dumneavoastră concept pentru securitatea lanțului de aprovizionare: trebuie să evaluați riscurile fiecărui furnizor direct, să definiți criterii de selecție și să monitorizați totul pe durata contractului. Un certificat ISO 27001 sau TISAX este aici o componentă utilă și poate înlesni evaluarea, dar nu înlocuiește propria dumneavoastră evaluare bazată pe risc, deoarece domeniul unui certificat acoperă adesea numai părți din furnizor. Așadar, verificați exact ce este certificat și documentați de ce certificatul este suficient pentru serviciul pe care îl achiziționați.

Ce le recomandați companiilor vizate în temeiul BSIG să solicite de la producătorii de software și prestatorii de servicii?

Definiți cerințe de securitate concrete, verificabile, și înscrieți-le în contracte, în loc să vă bazați pe asigurări generale. Elemente rezonabile sunt: dovezi verificabile din partea producătorului privind securitatea produsului (precum strategia de corecție, tratarea vulnerabilităților, perioada de suport), o obligație a furnizorului de a raporta incidentele de securitate care vă protejează propriul termen de 24 de ore în temeiul articolului 23 NIS 2 (§32 BSIG), precum și un chestionar de furnizor standardizat, completat. Pentru cataloage de întrebări și cerințe minime aliniate la nivel de sector, BSI face trimitere la activitatea din UP KRITIS. Pentru prestatorii de servicii puternic interconectați, precum furnizorii de servicii gestionate, se aplică așteptări suplimentare (a se vedea ./bin-ich-msp-managed-service-provider).

Când este posibilă înregistrarea în temeiul § 33 alin. (1) BSIG în portalul BSI, cum se efectuează înregistrarea și cum funcționează procesul de raportare în temeiul § 32 BSIG?

Înregistrarea este posibilă de îndată ce vă calificați drept entitate vizată și trebuie să aibă loc în termen de trei luni de la momentul în care intrați în domeniul de aplicare pentru prima dată sau din nou (NIS 2 articolul 27, în Germania § 33 alin. (1) BSIG). Procesul are două etape: mai întâi creați un cont cu Mein Unternehmenskonto (MUK) folosind certificatul de organizație ELSTER, apoi înregistrați entitatea în portalul BSI. Ulterior, raportați incidentele de securitate tot prin portalul BSI, urmând procedura în trei pași: avertizare timpurie, raport de urmărire și raport final (NIS 2 articolul 23, în Germania § 32 BSIG). Puteți găsi un ghid pas cu pas la Înregistrare.

Ce face BSI pentru a sprijini companiile în privința înregistrărilor NIS 2 restante?

BSI oferă o verificare a aplicabilității, o secțiune de întrebări frecvente, pachete de informații și webinare, astfel încât entitățile să își poată evalua și îndeplini ele însele obligația de înregistrare (temei: NIS 2 articolul 27, § 33 BSIG). Dacă sunteți în general vizat este ceva ce clarificați mai întâi pe baza sectorului și a mărimii. Puteți găsi autotestul complet la Cine este vizat.

Cum poate o companie să înregistreze componente critice?

Componentele critice privesc numai operatorii de instalații critice (vechea logică KRITIS), nu fiecare entitate NIS 2, și se raportează specific pe sector. Sectorul energiei folosește pentru aceasta șabloane Excel criptate, sectorul telecomunicațiilor folosește propriile șabloane cu criptare PGP. Dacă nu sunteți operator al unei instalații critice, acest pas nu este relevant pentru dumneavoastră; ceea ce contează atunci este exclusiv înregistrarea entității în temeiul § 33 BSIG.

Poate fi efectuată înregistrarea în portalul BSI pentru o entitate care nu are un număr de identificare fiscală german?

Da. Mein Unternehmenskonto necesită un număr de identificare fiscală german, dar entitățile străine pot solicita unul la administrația fiscală Neubrandenburg (Referat RAB). Trimiteți formularul de cerere la adresa indicată acolo și primiți numărul de identificare fiscală prin poștă; la crearea contului, selectați Mecklenburg-Vorpommern ca land federal. Dacă sediul dumneavoastră se află în afara UE, ar trebui să verificați suplimentar obligația de a desemna un reprezentant în UE la Sediu în afara UE.

În timpul înregistrării în portalul BSI trebuie să indicați statele membre ale UE în care furnizați un „serviciu”. Ce se înțelege prin aceasta?

Se înțelege activitatea care vă aduce în primul rând entitatea în domeniul de aplicare, adică serviciul dumneavoastră de bază din sectorul respectiv, nu fiecare serviciu auxiliar și nu fiecare loc în care sunt utilizate doar produsele dumneavoastră. Trebuie să indicați statele membre în care furnizați efectiv acest serviciu (legat de NIS 2 articolul 26 privind competența). Dacă sunteți activ în mai multe țări, clasificarea la Autoclasificare este de ajutor.

Pot companiile active la nivel internațional să își efectueze înregistrarea și raportarea incidentelor de securitate central la BSI și să își îndeplinească astfel în același timp obligațiile în temeiul Legii de punere în aplicare a NIS 2 pentru toate statele membre ale UE?

Principiul unei competențe unice la sediu se aplică numai unui grup strict limitat de servicii digitale: serviciile DNS, registrele TLD, furnizorii de cloud și de centre de date, furnizorii de servicii gestionate, rețelele de distribuție de conținut și platformele online se înregistrează central la autoritatea sediului lor (NIS 2 articolele 26 și 27, în Germania § 60 BSIG). Toate celelalte entități sunt supuse supravegherii fiecărui stat membru în care sunt active și trebuie să se înregistreze și să raporteze separat în fiecare dintre aceste state. O singură înregistrare la BSI, prin urmare, în general nu acoperă obligațiile dumneavoastră în celelalte țări.

Am întrebări despre portalul BSI și înregistrare. Oferă și BSI informații pe această temă?

Da. BSI menține propria secțiune de întrebări frecvente special privind portalul BSI și procedura de înregistrare și oferă acolo ghiduri și asistență. Pentru întrebări tehnice despre Mein Unternehmenskonto, contactați suportul acestuia; pentru întrebări de conținut despre înregistrarea NIS 2, folosiți canalele de contact ale BSI. Rezumăm procesul de înregistrare la Înregistrare.

Ca entitate reglementată de DORA, trebuie să mă înregistrez la BSI?

Da, obligația de înregistrare în temeiul § 33 BSIG rămâne în vigoare chiar dacă intrați sub DORA ca întreprindere financiară. DORA este lex specialis pentru obligațiile de securitate și de raportare de fond: ca întreprindere reglementată de DORA, sunteți exceptat de la §§ 30, 31, 32, 35, 36, 38 și 39 BSIG și raportați incidentele care privesc exclusiv entități DORA în temeiul regulilor DORA în loc de § 32 BSIG (temei: NIS 2 articolul 4). Trebuie totuși să efectuați înregistrarea în portalul BSI.

Ce obiectiv urmărește BSI cu obligația de notificare? Notificarea cât mai rapidă cu riscul ca un incident care s-a produs să nu fi condus la o amenințare efectivă, sau raportarea cu adevărat numai a incidentelor relevante în care o amenințare s-a materializat? Cum sunt definiți în mod specific termenii de luare la cunoștință (Kenntniserlangung) și incident de securitate pentru obligația de notificare?

Obiectivul este viteza înaintea completitudinii: art. 23 din Directiva NIS 2 (transpus în § 32 BSIG) impune o avertizare timpurie în 24 de ore, o notificare în 72 de ore și un raport final după o lună cel târziu. Termenul scurt de 24 de ore este menit să ofere autorității o imagine de situație timpurie, astfel încât alte entități să poată fi avertizate. Este mai bine să raportați prea devreme și cu incertitudine decât prea târziu. Luarea la cunoștință înseamnă momentul din care entitatea dumneavoastră poate evalua incidentul cu o certitudine rezonabilă ca semnificativ (nu numai după o analiză completă a cauzei-rădăcină), iar termenul de 24 de ore curge din acel moment. Un incident de securitate este semnificativ în temeiul art. 23 alin. (3) din Directiva NIS 2 dacă a cauzat sau este în măsură să cauzeze o perturbare operațională gravă sau o pierdere financiară, ori dacă a afectat sau este în măsură să afecteze alte persoane prin cauzarea unor daune materiale sau morale considerabile.

Va fi posibil să se facă notificări voluntare privind incidentele de securitate?

Da. Art. 30 din Directiva NIS 2 (transpus în § 35 BSIG) prevede în mod expres notificările voluntare, inclusiv pentru entitățile care nu intră deloc sub NIS 2 și pentru incidentele aflate sub pragul de semnificație. Notificările voluntare sunt prelucrate în același mod ca notificările obligatorii, dar cu prioritate mai mică: notificările obligatorii au întâietate. O notificare voluntară nu dă naștere unor obligații suplimentare și nu poate fi interpretată în dezavantajul entității care notifică.

Pot fi transmise notificările de incidente în limba engleză?

Limba procedurală a autorității este germana, deci notificările ar trebui făcute în germană. Totuși, din cauza termenului scurt de 24 de ore în temeiul art. 23 din Directiva NIS 2, se aplică următoarele: o avertizare timpurie rapidă în engleză este mai bună decât una tardivă în germană. Așadar, dacă este necesar, transmiteți mai întâi în engleză și adăugați detaliile în limba germană în notificările de urmărire.

Cum ar trebui să se procedeze în cazul unui incident de securitate relevant pentru NIS 2 cu efecte potențiale asupra unor sedii de exploatare din mai multe state membre ale UE, atunci când sediul principal al companiei afectate se află în Germania? Pe lângă BSI, trebuie informate și autoritățile competente din celelalte state afectate?

Se aplică principiul țării de origine în temeiul art. 26 din Directiva NIS 2: dacă sediul dumneavoastră principal este în Germania, sunteți în principiu supravegheat în scopuri de competență numai în Germania și raportați incidentul o singură dată către BSI. Nu trebuie să informați dumneavoastră autoritățile celorlalte state membre afectate. Partajarea transfrontalieră este gestionată de autorități între ele prin rețeaua CSIRT și Grupul de cooperare. O notificare multiplă în fiecare țară afectată nu este, prin urmare, necesară. O excepție se aplică furnizorilor de DNS, cloud, centre de date și furnizorilor de servicii digitale similari, a căror competență este determinată de locul sediului lor principal din UE.

Dacă unele părți ale companiei mele sunt afectate de DORA și alte părți de NIS 2, trebuie furnizorul meu de servicii IT să raporteze incidentele de securitate de două ori?

Nu, nu este nevoie de raportare de două ori. DORA este regula mai specifică în raport cu NIS 2 (art. 4 DORA, art. 1 alin. (2) din Directiva NIS 2 și § 1 alin. (6) BSIG): în măsura în care un incident privește domeniul DORA, canalele și termenele de notificare ale DORA au întâietate și înlocuiesc obligația de notificare NIS 2 în acea măsură. Contează care regulă acoperă serviciul afectat, nu compania în ansamblu. Clarificați contractual în prealabil cu furnizorul dumneavoastră de servicii IT în temeiul cărei reguli raportează acesta care incident către care autoritate.

Este planificată pentru viitor o soluție europeană pentru înregistrare și notificare?

Anumiți furnizori de servicii digitale (de exemplu furnizorii de servicii DNS, furnizorii de cloud, centrele de date, piețele online) sunt deja înregistrați într-un registru la nivelul UE prin ENISA în temeiul art. 27 din Directiva NIS 2. Pentru toate celelalte entități, înregistrarea și notificarea rămân naționale, adică în Germania prin portalul BSI. O platformă europeană pe deplin unificată pentru toate entitățile, care să depășească acest lucru, nu a fost decisă în prezent. Deocamdată, canalul național de notificare rămâne decisiv.

Cum se asigură că datele de înregistrare și de companie colectate în temeiul regulilor NIS 2 / KRITIS sunt tratate confidențial și protejate împotriva accesului neautorizat?

Confidențialitatea este protejată prin lege: art. 23 alin. (9) din Directiva NIS 2 obligă autoritățile să protejeze interesul entității care notifică în privința confidențialității, iar BSIG conține în acest scop propriile reguli de confidențialitate și de limitare a scopului. Datele sunt utilizate numai în scopurile prevăzute de lege, de exemplu evaluarea situației și prevenirea amenințărilor, și nu sunt publicate. Accesul este limitat la organele competente; divulgarea către alte autorități are loc numai în cadrul permis din punct de vedere juridic și cu păstrarea confidențialității.

Ce se întâmplă dacă o companie obligată raportează un incident cu întârziere sau deloc către autoritatea competentă? Cine verifică dacă incidentele raportabile au fost raportate în mod corespunzător?

Obligația de raportare decurge din articolul 23 din Directiva NIS 2: o avertizare timpurie în 24 de ore, o notificare în 72 de ore și un raport final în termen de o lună de la incidentul semnificativ (transpus în Germania în §32 BSIG). Un raport tardiv, sau niciun raport, este o încălcare a obligației pe care autoritatea competentă (BSI pentru majoritatea entităților) o poate sancționa în temeiul regulilor de supraveghere și de aplicare din articolele 31-34 (§§61 și urm. și §65 BSIG). Măsurile posibile includ instrucțiuni, ordine obligatorii și amenzi al căror nivel depinde de tipul de entitate: pentru entitățile esențiale, articolul 34 stabilește un plafon de cel puțin 10 milioane de euro sau 2 % din cifra de afaceri anuală mondială (oricare este mai mare), iar pentru entitățile importante cel puțin 7 milioane de euro sau 1,4 %. Autoritatea evaluează dacă un raport a fost făcut în mod corespunzător pe baza raportului transmis și îl poate verifica prin competențele sale de supraveghere în temeiul articolelor 32 și 33 (precum cereri de informații, audituri, inspecții la fața locului). Un raport în timp util, complet, în formatul prescris, este, prin urmare, calea cea mai sigură. Veți găsi un ghid pas cu pas privind obligația și autoritatea la Înregistrare și obligație de raportare.

Ce obligații are conducerea în temeiul NIS 2?

Conducerea trebuie să aprobe măsurile de gestionare a riscurilor, să supravegheze implementarea lor și să participe la instruirea privind securitatea cibernetică (art. 20 Directiva NIS 2, transpus în §38 BSIG). Aprobarea înseamnă examinarea activă și consimțământul în scris, nu doar o semnătură de formă. Supravegherea înseamnă verificarea regulată a faptului dacă măsurile sunt implementate și eficace. Implementarea operațională poate fi delegată, dar răspunderea conducerii rămâne la conducere. Faptul că sunteți în general în domeniul de aplicare este ceva ce ar trebui să clarificați mai întâi cu testul complet.

Ce înseamnă obligația de aprobare și de supraveghere a conducerii?

Aprobarea înseamnă: conducerea examinează măsurile planificate de gestionare a riscurilor, le înțelege în substanță și le aprobă într-un mod documentat (art. 20 alin. (1) Directiva NIS 2, în Germania §38 alin. (1) BSIG). Supravegherea înseamnă: o măsură care este aprobată o dată și niciodată reexaminată nu îndeplinește obligația. Rapoarte fixe de stadiu, indicatori-cheie și o cale clară de escaladare au sens, astfel încât conducerea să poată demonstra în orice moment stadiul actual. Această obligație revine conducerii înseși, nu o poate ceda nimănui.

Trebuie conducerea să participe la instruire?

Da. Conducerea entităților esențiale și importante trebuie să participe regulat la instruirea privind securitatea cibernetică (art. 20 alin. (2) Directiva NIS 2, în Germania §38 alin. (3) BSIG). Scopul este ca conducerea să poată identifica riscurile, evalua măsurile de gestionare a riscurilor și aprecia impactul acestora asupra serviciilor. Directiva nu denumește un număr minim de ore sau intervale fixe; în orientările sale, BSI recomandă o actualizare anuală și indică aproximativ patru ore drept cifră de orientare pentru amploare. Această obligație se aplică fiecărei persoane numite să conducă entitatea prin lege, statut sau act constitutiv și nu poate fi delegată.

Poate conducerea să delege obligația sa de instruire?

Nu. Obligația de instruire revine personal organelor de conducere și nu poate fi cedată angajaților sau furnizorilor de servicii externi (art. 20 alin. (2) Directiva NIS 2, în Germania §38 alin. (3) BSIG). Puteți numi un responsabil cu protecția datelor sau cu securitatea și distribui implementarea operațională, dar participarea dumneavoastră înșivă la instruire rămâne sarcina dumneavoastră. Documentați cine a participat, cât timp și cu ce conținut, astfel încât să o puteți prezenta autorității la cerere.

Este conducerea răspunzătoare personal pentru încălcări?

Dacă un membru al conducerii își încalcă obligația de aprobare, de supraveghere sau de instruire, este răspunzător față de propria entitate pentru daunele cauzate cu vinovăție, în temeiul regulilor de drept societar ale formei juridice respective (art. 20 Directiva NIS 2, în Germania §38 BSIG). Această pretenție aparține companiei, nu terților, iar o renunțare deplină la răspundere prin actul constitutiv sau statut este exclusă. În practică, reduceți riscul documentând curat aprobările, controalele și evidențele de instruire. Cea mai bună protecție nu este renunțarea, ci setul de obligații îndeplinit în mod demonstrabil.

Vor fi înregistrate webinarele?

Nu. Webinarele BSI privind NIS 2 nu sunt înregistrate, deci fie participați în direct, fie deloc. Important: webinarele sunt o ofertă de informare voluntară, nu o parte obligatorie a implementării dumneavoastră. Ceea ce contează pentru obligațiile dumneavoastră sunt măsurile de gestionare a riscurilor în temeiul articolului 21 din Directiva NIS 2 (transpus în Germania în §30 BSIG), nu participarea la un webinar.

Cum primesc materialele pentru fiecare webinar?

Toți participanții înregistrați primesc ulterior setul de diapozitive prin e-mail. Condiția prealabilă este, prin urmare, înregistrarea pentru webinarul respectiv: oricine nu este înregistrat nu primește automat materialele. După sesiune, verificați și folderul de spam dacă e-mailul cu atașamentul nu sosește.

Poate BSI să sprijine entitățile cu implementarea NIS 2?

Da, dar numai în termeni generali, nu pentru cazul dumneavoastră individual. BSI oferă întrebări frecvente, pachete de informații, un pachet de pornire și seminare introductive, dar în temeiul mandatului său legal (§3 BSIG, care transpune atribuțiile din Directiva NIS 2) nu oferă în mod expres nici consiliere în cazuri individuale, nici consiliere juridică. Pentru implementarea concretă în compania dumneavoastră aveți, prin urmare, nevoie fie de propriul know-how, fie de un furnizor de servicii calificat sau de consiliere juridică. De unde puteți începe singur este arătat de testul complet de aplicabilitate la Wer ist betroffen.

Există deja informații sau orientări din partea BSI privind măsurile care trebuie implementate de entitățile esențiale și importante în temeiul NIS 2?

Da. Pe pagina sa web centrală NIS 2, BSI publică orientări concrete privind obligațiile și măsurile individuale. În substanță, acestea corespund măsurilor de gestionare a riscurilor din articolul 21 din Directiva NIS 2 și din Regulamentul de punere în aplicare (UE) 2024/2690 (transpus în Germania în §30 BSIG). Drept metodologie a modului în care, BSI denumește IT-Grundschutz: dacă îl aplicați, măsurile din §30 BSIG sunt în general considerate îndeplinite, ceea ce reprezintă cele mai practice orientări disponibile în prezent.

Acoperă sectorul furnizorilor de servicii de sănătate și unitățile de îngrijire de lungă durată?

Nu. Tipul de entitate „furnizor de servicii de sănătate” se leagă de definiția de la articolul 3 litera (g) din Directiva 2011/24/UE, la care face trimitere NIS 2 (anexa I, sectorul sănătate al Directivei (UE) 2022/2555). Îngrijirea pură de lungă durată nu intră sub această definiție și, prin urmare, nu este acoperită ca atare. Important: dacă o unitate de îngrijire furnizează suplimentar servicii de sănătate în sensul definiției (precum tratament medical sau de îngrijire), această parte poate fi acoperită, cu condiția îndeplinirii pragurilor de mărime în temeiul §28 BSIG. Verificați pas cu pas: Cine este vizat.

Acoperă tipul de entitate „furnizor de servicii de sănătate” și distribuția sau furnizarea de dispozitive medicale?

Nu. Simpla distribuție sau furnizare de dispozitive medicale nu îndeplinește definiția unui serviciu de sănătate de la articolul 3 litera (g) din Directiva 2011/24/UE, la care face trimitere NIS 2 pentru sectorul sănătate (anexa I). Nu sunteți, prin urmare, vizat prin acest tip de entitate. Pot fi aplicabile însă alte puncte de referință: producătorii de dispozitive medicale critice aparțin sectorului sănătate, producătorii de dispozitive medicale și de dispozitive medicale pentru diagnostic in vitro aparțin sectorului producție (anexa II). Verificați suplimentar dacă sunteți acoperit ca instalație critică în temeiul KritisV.

Cum se procedează atunci când o exploatare se numără printre instalațiile critice (punct de eliberare pentru dispozitive medicale) și este astfel infrastructură critică în temeiul BSI-KritisV, dar pragul de venituri specificat pentru entitățile esențiale nu este atins?

Operatorii unei instalații critice sunt, în temeiul §28 alineatul 1 BSIG, o entitate esențială indiferent de mărime și venituri. Pragurile de mărime și de venituri din criteriul general de mărime nu joacă, prin urmare, niciun rol aici: oricine depășește pragul KritisV pentru instalație este acoperit, chiar dacă compania de dedesubt este o exploatare mică. Singurul factor decisiv este pragul cantitativ al categoriei de instalație respective din KritisV (§2 numărul 22 BSIG). Puteți atinge pragul KritisV fără a atinge pragul de angajați sau de venituri al criteriului general de mărime și sunteți atunci totuși pe deplin vizat.

Sunt unitățile de asistență pentru integrare (Eingliederungshilfe) afectate de NIS 2?

Asistența pentru integrare ca atare nu este un tip propriu de entitate în temeiul NIS 2 și nu intră sub definiția unui serviciu de sănătate de la articolul 3 litera (g) din Directiva 2011/24/UE. Nu sunteți, prin urmare, afectat doar pe motivul asistenței pentru integrare. Depinde de activitățile specifice desfășurate: dacă unitatea furnizează suplimentar servicii de sănătate în sensul definiției și atinge pragurile în temeiul §28 BSIG, această parte poate fi afectată. Pentru siguranță, ar trebui să verificați suplimentar dacă se aplică un alt sector NIS 2 sau o instalație critică în temeiul KritisV.

Sunt serviciile medicale de urgență afectate de NIS 2?

Depinde de activitatea desfășurată, nu de eticheta „serviciu medical de urgență”. În măsura în care un serviciu medical de urgență furnizează servicii de sănătate în sensul articolului 3 litera (g) din Directiva 2011/24/UE (precum îngrijirea medicală de urgență), poate fi acoperit prin sectorul sănătate (anexa I) dacă pragurile în temeiul §28 BSIG sunt îndeplinite. Transportul pur de pacienți fără tratament medical în general nu intră sub aceasta. Dacă serviciul medical de urgență se află în proprietate publică, verificați suplimentar regulile pentru administrația publică.

Intră serviciile de consultanță în securitate IT sub sectorul infrastructurii digitale, de exemplu sub tipul de entitate furnizor de servicii gestionate de securitate (MSSP)?

Nu. Consultanța pură în securitate IT nu este un serviciu gestionat de securitate. În temeiul NIS 2 (articolul 6 numărul 40 din Directiva (UE) 2022/2555), un MSSP este un MSP care furnizează operațional sau gestionează suport pentru activitățile de gestionare a riscurilor de securitate cibernetică, adică preia operarea continuă a funcțiilor de securitate pentru clienți. Oricine consiliază, auditează sau instruiește exclusiv, fără a opera sau gestiona continuu sistemele clienților, nu intră sub MSP sau MSSP (sectorul gestionării serviciilor TIC aparține anexei I, nu infrastructurii digitale). Totuși, de îndată ce gestionați efectiv serviciile de securitate ale clienților (precum operarea SOC, monitorizarea, gestionarea corecțiilor), clasificarea ca MSSP se poate aplica.

Trebuie considerate ca furnizori de servicii gestionate (MSP) sau furnizori de servicii gestionate de securitate (MSSP) filialele în care este organizată operarea IT centrală a unui grup corporativ?

Factorul decisiv este dacă serviciul IT este furnizat extern, pe piață. MSP și MSSP în temeiul NIS 2 (articolul 6 numerele 39 și 40 din Directiva (UE) 2022/2555) furnizează servicii pentru alte companii, nu pentru ele însele. O filială IT din interiorul grupului care deservește exclusiv propriul grup nu este, prin urmare, în general un MSP sau MSSP prin acest tip de entitate. Acest lucru nu înseamnă neapărat „neafectat”: dacă filiala deservește și terți din afara grupului, clasificarea ca MSP sau MSSP se poate aplica și, indiferent de acest lucru, angajații și veniturile companiilor afiliate se agregă pentru pragul de mărime (companii afiliate conform definiției IMM 2003/361/CE).

Intră găzduirea web sub unul dintre tipurile de entități? (Precum furnizor de cloud sau MSP)

Găzduirea web clasică în sine nu este nici un serviciu de cloud computing, nici un MSP. Un serviciu de cloud computing în temeiul NIS 2 (articolul 6 numărul 30 din Directiva (UE) 2022/2555) necesită resurse de calcul scalabile, furnizate elastic și partajabile, cu administrare la cerere, ceea ce găzduirea pură pe resurse fixe de obicei nu îndeplinește. Un MSP necesită gestionarea continuă a sistemelor IT ale clientului, nu doar furnizarea de stocare și spațiu web. Factorul decisiv este întotdeauna aranjamentul specific: dacă furnizorul oferă suplimentar resurse de cloud elastice sau gestionează activ sistemele clienților, o clasificare se poate aplica. Mai multe despre acest lucru: Sunt furnizor de cloud.

Sunt afectați de obligațiile de implementare a securității cibernetice și întreprinzătorii individuali care operează DNS autoritar pentru clienții de găzduire web?

Da, acest lucru se poate aplica. Furnizorii de servicii DNS sunt, în temeiul NIS 2 (anexa I, infrastructura digitală, termen la articolul 6 numărul 20 din Directiva (UE) 2022/2555), o entitate esențială indiferent de mărimea lor. Pragul obișnuit de angajați sau de venituri nu se aplică, prin urmare, aici, astfel încât și întreprinzătorii individuali pot fi acoperiți (§28 alineatul 1 BSIG). Factorul decisiv este dacă operați efectiv rezoluție DNS autoritară ca propriul dumneavoastră serviciu (nu simpla deținere a propriului domeniu). Dacă acest lucru se aplică, obligațiile privind gestionarea riscurilor, notificarea și înregistrarea se aplică în întregime.

Intră toate companiile în domeniul de aplicare al transpunerii naționale a Directivei NIS 2 dacă sunt un „furnizor de rețele publice de comunicații electronice sau de servicii de comunicații electronice disponibile public”?

Nu automat fiecare companie, dar pragul este scăzut. Furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice disponibile public aparțin infrastructurii digitale (anexa I la Directiva (UE) 2022/2555) și sunt, în temeiul §28 BSIG, acoperiți de îndată ce este atins pragul pentru companiile mijlocii (de la 50 de angajați, sau peste 10 milioane EUR venituri cu un total al bilanțului de peste 10 milioane EUR). Termenii sunt reglementați de Directiva (UE) 2018/1972 (Codul european al comunicațiilor electronice), nu de propria înțelegere a unei companii privind „serviciul de comunicații”. Notă: în măsura în care TKG conține cerințe relevante specifice sectorului pentru aceste servicii, obligațiile BSIG corespunzătoare se aplică numai în măsura în care TKG nu are întâietate (§28 BSIG).

Intră un serviciu de cloud computing care nu este autoscalabil, ceea ce este un criteriu de cloud în temeiul NIST [standardul de securitate cibernetică al SUA NIST SP 800], sub regulile Legii de punere în aplicare a NIS 2?

Factorul decisiv nu este standardul NIST, ci definiția serviciului de cloud computing din NIS 2 (articolul 6 numărul 30 din Directiva (UE) 2022/2555). Conform acesteia, serviciul trebuie să furnizeze resurse de calcul scalabile și elastice, adică scalabile la cerere în sus și în jos, partajabile, printr-o rețea. Dacă această scalabilitate și elasticitate lipsesc complet, atunci, sub definiția NIS 2, în general nu există un serviciu de cloud computing, iar tipul de entitate furnizor de cloud nu se aplică. Totuși, acest lucru nu înseamnă neapărat „deloc afectat”: verificați dacă se aplică un alt tip de entitate (precum serviciul de centru de date sau MSP) sau dacă sunteți acoperit prin alt sector. Detalii: Sunt furnizor de cloud.

Se confruntă entitățile financiare supuse DORA cu obligații de înregistrare dublă, de raportare dublă a incidentelor de securitate, de supraveghere dublă, de dovedire dublă etc. prin Legea de punere în aplicare a NIS 2 și prin DORA?

Nu, o reglementare dublă veritabilă nu este intenționată. Pentru entitățile financiare, DORA (Regulamentul (UE) 2022/2554) este regula mai specifică. În temeiul articolului 4 din Directiva NIS 2, cerințele DORA privind gestionarea riscurilor, raportarea incidentelor și supravegherea au, prin urmare, întâietate, iar obligațiile NIS 2 corespunzătoare se retrag. Ceea ce rămâne este exclusiv înregistrarea: articolul 27 din Directiva NIS 2 (reflectat în dreptul german prin obligația de înregistrare BSIG relevantă) acoperă și entitățile DORA, astfel încât autoritățile să poată ține o evidență completă. Continuați să raportați incidentele în temeiul DORA și vă înregistrați suplimentar, fără ca acest lucru să creeze un al doilea lanț de raportare sau un al doilea strat de supraveghere.

Prin ce diferă cerințele NIS 2 de cerințele specifice de securitate pentru gateway-ul de contor inteligent?

Cele două seturi de reguli operează la niveluri diferite și nu se exclud reciproc. NIS 2 (articolul 21 din directivă, în dreptul german §30 BSIG) impune organizației în ansamblu să mențină gestionarea riscurilor: procese, responsabilități, lanț de aprovizionare, planificare de urgență. Cerințele pentru gateway-ul de contor inteligent, în schimb, provin din Legea privind operarea punctelor de măsurare și din Ghidurile tehnice ale BSI (de exemplu TR-03109) și privesc securitatea tehnică a unui dispozitiv specific, inclusiv certificarea. Pe scurt: NIS 2 reglementează cum vă securizați compania, cerințele privind contorul inteligent reglementează cum trebuie proiectat un singur dispozitiv. Ambele se aplică în paralel.

Cum a survenit redenumirea în „Servicii energetice digitale”?

Vechea categorie de instalație a punctului de agregare (Buendelstelle) a fost redenumită „Servicii energetice digitale” deoarece termenul reflectă mai bine rolul în creștere al sistemelor IT și al proceselor digitale în sectorul energetic decât vechea denumire, care era strâns legată de agregarea citirilor de contor. Mai importantă decât denumirea este consecința: pentru această categorie, reglementarea securității informației nu mai revine BSIG, ci §5c și urm. EnWG, iar Bundesnetzagentur este responsabilă.

Ce înseamnă modificarea legală pentru punctul meu de agregare (BueStel)?

Punctul dumneavoastră de agregare este eliminat din reglementarea BSIG ca „Serviciu energetic digital”. Cerințele privind securitatea informației vor fi în viitor reglementate de §5c și urm. EnWG, iar autoritatea de supraveghere competentă este Bundesnetzagentur, nu mai BSI. Pentru instalația afectată din categoria 1.1.2, nu mai trebuie să furnizați dovezi către BSI în temeiul §8a BSIG. Punctul dumneavoastră de contact și cerințele tehnice se schimbă, prin urmare; verificați prompt cerințele Bundesnetzagentur.

Ce obligații față de BSI mai rămân după modificarea legală?

Față de BSI rămân, în esență, înregistrarea și menținerea actualizată a datelor dumneavoastră de bază în portalul BSI, atâta timp cât atribuirea este încă păstrată acolo. Supravegherea de fond și dovezile pentru instalațiile clasificate ca „Servicii energetice digitale” trec la Bundesnetzagentur în temeiul §5c și urm. EnWG. Dacă aveți și alte instalații înregistrate la BSI, obligațiile BSIG continuă să se aplice acestora nemodificate; numai serviciile energetice digitale sunt eliminate.

Ce bază de audit pot folosi pentru dovezi?

Pentru dovezile față de BSI rămâne decisivă baza consacrată: un standard de audit recunoscut, precum un standard de securitate specific sectorului (B3S) în temeiul §8a alineatul 2 BSIG, sau un standard echivalent care acoperă cerințele pentru instalația dumneavoastră. Pentru instalațiile eliminate ca „Servicii energetice digitale”, în schimb, baza de audit este reglementată de cerințele Bundesnetzagentur pe baza §5c și urm. EnWG. Decisiv este, prin urmare, sub care regim este păstrată instalația dumneavoastră după modificare; clarificați acest lucru mai întâi înainte de a selecta un standard de audit.

Cum aflu până când trebuie să furnizez dovezile?

Termenul decurge din categoria instalației dumneavoastră și din ciclul de dovedire care vi se aplică, nu dintr-o singură dată-limită uniformă. Pentru instalațiile care rămân în lumea BSIG se aplică ciclul regulat de dovedire cunoscut în temeiul §8a BSIG; BSI comunică data specifică ca parte a înregistrării dumneavoastră sau prin înștiințare oficială. Pentru instalațiile care au trecut la Bundesnetzagentur ca „Servicii energetice digitale”, aceasta stabilește datele de dovedire în temeiul §5c și urm. EnWG. În caz de dubiu, înștiințarea scrisă a autorității competente respective este decisivă; nu vă bazați pe o cifră anuală generală.

Ce impact are Legea de punere în aplicare a NIS 2 asupra celorlalte instalații ale companiei mele înregistrate la BSI?

Eliminarea privește numai instalațiile clasificate ca „Servicii energetice digitale” (fosta categorie 1.1.2). Toate celelalte instalații ale companiei dumneavoastră înregistrate la BSI rămân în regimul BSIG: obligațiile de înregistrare, de gestionare a riscurilor și de dovedire continuă acolo nemodificate. Nu apare nicio lacună și nu există nicio încetare automată; continuați să operați instalațiile neafectate exact ca înainte și păstrați BSI ca autoritate competentă.

Trebuie finalizat auditul în curs pentru furnizarea de dovezi în temeiul §8a BSIG pentru o instalație din categoria de instalație 1.1.2?

Nu. Pentru instalațiile din categoria 1.1.2 care ies din BSIG ca „Servicii energetice digitale”, nu mai trebuie furnizate către BSI dovezi în temeiul §8a BSIG, astfel încât un audit aflat în desfășurare în acest scop nu mai trebuie finalizat pentru BSI. Totuși, respectați cerințele viitoare ale Bundesnetzagentur în temeiul §5c și urm. EnWG; munca de audit deja efectuată poate continua să fie utilizabilă acolo. Clarificați tranziția exactă direct cu autoritatea competentă înainte de a întrerupe un audit.

Trebuie operatorii unei rețele de alimentare cu energie în temeiul §5d alineatul 4 EnWG să se înregistreze în portalul BSI?

Da. Operatorii unei rețele de alimentare cu energie în temeiul §5d alineatul 4 EnWG sunt obligați să se înregistreze în portalul BSI, chiar dacă nu sunt în același timp clasificați ca entitate esențială sau importantă în temeiul §28 BSIG. Obligația de înregistrare se atașează aici operării rețelei și există independent de pragul general de mărime al NIS 2. Introduceți datele dumneavoastră de bază în portalul BSI în termen. Mai multe despre procedură: nis2-registrierung.

Se numără restaurantele de hotel, restaurantele sau unitățile de alimentație publică printre „entitățile importante”?

De regulă, nu. Sectorul alimentar al anexei 2 acoperă numai companiile din comerțul cu ridicata, precum și din producția și prelucrarea industrială a alimentelor, nu alimentația publică clasică. Un restaurant de hotel, un restaurant sau o unitate de alimentație publică nu intră, prin urmare, sub NIS 2 doar din cauza preparării meselor. Ceea ce rămâne, de asemenea, decisiv este dacă pragurile de mărime sunt îndeplinite; verificați-vă clasificarea sistematic: wer-ist-betroffen-vollstaendiger-test.

Este „sowie” (precum și) echivalent cu „sau”?

Da. În formularea privind alimentele din anexa 2, „sowie” leagă activitățile denumite în mod enumerativ, nu cumulativ. O companie este, prin urmare, deja acoperită dacă este activă în comerțul cu ridicata sau în producția industrială sau în prelucrare; nu trebuie să desfășoare toate cele trei activități în același timp. Ceea ce este apoi suplimentar decisiv pentru acoperire este dacă pragurile de mărime relevante sunt îndeplinite.

Intră toți participanții la un lanț de aprovizionare securizat în domeniul securității aviației sub KRITIS, chiar dacă sunt întreprinderi mici aflate sub pragurile de aplicabilitate a NIS 2?

Nu. Participarea la lanțul de aprovizionare securizat în temeiul §9a LuftSiG nu transformă automat o companie într-o infrastructură critică și nu o transformă automat într-o entitate NIS 2. Două praguri separate sunt decisive: deveniți operator KRITIS numai dacă depășiți pragurile de volum ale BSI-KritisV pentru un serviciu critic (de obicei în sectoarele aviației sau logisticii). Aplicabilitatea NIS 2 în temeiul anexei I sau II la Directiva NIS 2 (UE) 2022/2555, la rândul ei, impune să fiți activ într-un sector acoperit și să îndepliniți criteriile de mărime (de regulă de la 50 de angajați sau peste 10 milioane EUR cifră de afaceri anuală; BSIG transpune acest lucru în §28). Oricine se află sub ambele praguri nu este acoperit nici de KRITIS, nici de NIS 2 prin simpla participare la lanțul de aprovizionare. Puteți găsi testul complet la Cine este vizat.

Care forme juridice intră sub sectorul financiar și subsectorul bancar conform NIS 2?

Clasificarea nu se bazează pe forma juridică (GmbH, AG, eG sau alta), ci pe activitate. În domeniul bancar, anexa I la Directiva NIS 2 (UE) 2022/2555 acoperă instituțiile de credit în sensul articolului 4 alineatul (1) punctul (1) din Regulamentul (UE) nr. 575/2013, adică întreprinderile a căror activitate constă în atragerea de depozite sau de alte fonduri rambursabile de la public și acordarea de credite pe cont propriu. Pentru aceasta nu este prescrisă nicio formă juridică specifică; contează exclusiv să fiți autorizat ca instituție de credit și să desfășurați această activitate. Important: Pentru instituțiile de credit, DORA (Regulamentul (UE) 2022/2554) se aplică cu prioritate ca lex specialis de la 17 ianuarie 2025, astfel încât obligațiile operaționale de gestionare a riscurilor și de raportare se îndeplinesc în temeiul DORA în loc de NIS 2. Puteți verifica dacă sunteți afectat ca bancă la Sunt o bancă în sensul NIS 2.