Glosar de terminologie NIS2

Entitate esențială

Besonders wichtige Einrichtung

Firme din sectoarele cu criticitate ridicată (Anexa I a NIS2) peste pragul de mărime. În Germania, acestea se confruntă cu cele mai stricte cerințe și cele mai mari sancțiuni conform §28 BSIG. Gândiți-vă: energie, transport, sectorul bancar, sănătate, apă, infrastructură digitală. Entitățile esențiale fac obiectul auditurilor proactive ale BSI: BSI vă poate inspecta fără un factor declanșator specific.

§28(1) BSIG, Directiva NIS2 art. 3(1)

Entitate importantă

Wichtige Einrichtung

Firme din alte sectoare incluse în domeniul de aplicare (Anexa II a NIS2) peste pragul de mărime. Aceleași obligații de bază ca entitățile esențiale, dar sancțiuni maxime mai mici și supraveghere reactivă, nu proactivă: BSI investighează dacă ceva merge prost, nu pe un calendar de rutină. Gândiți-vă: deșeuri, alimente, fabricație, poștă, produse chimice, cercetare.

§28(2) BSIG, Directiva NIS2 art. 3(2)

KRITIS (Infrastructură critică)

Kritische Infrastrukturen

Operatori de facilități critice care depășesc pragurile definite în regulamentul BSI-KritisV (de obicei 500.000 de persoane deservite). Operatorii KRITIS sunt clasificați automat ca entități esențiale și se confruntă cu obligații suplimentare dincolo de NIS2 standard: audituri de dovezi la fiecare trei ani, sisteme obligatorii de detectare a atacurilor și termene mai stricte de raportare a incidentelor.

BSI-KritisV, §28 BSIG

BSIG (BSI-Gesetz)

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

Legea federală germană care reglementează BSI (Oficiul Federal pentru Securitatea Informației) și obligațiile de securitate cibernetică. NIS2UmsuCG a modificat BSIG pentru a include toate cerințele NIS2. Când cineva spune 'conformitate NIS2 în Germania', se referă la conformitatea cu BSIG modificat. Aceasta este legea care vi se aplică, nu Directiva NIS2 însăși.

BSIG astfel cum a fost modificat prin NIS2UmsuCG

NIS2UmsuCG

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Legea de punere în aplicare a NIS-2 și de consolidare a securității cibernetice: transpunerea națională germană a Directivei NIS2. Adoptată la 13 noiembrie 2025 și în vigoare de la 6 decembrie 2025. Ea modifică substanțial BSIG și aduce toate obligațiile NIS2 în dreptul german. Când dreptul german se referă la 'conformitate NIS2', înseamnă conformitatea cu BSIG astfel cum a fost modificat prin NIS2UmsuCG.

NIS2UmsuCG (BGBl. 2025)

Directiva NIS2

Legislația la nivelul UE (Directiva 2022/2555) care a cerut tuturor statelor membre să implementeze reglementări de securitate cibernetică pentru entitățile critice și importante. Ea stabilește cerințele minime, fiecare țară transpunând-o apoi în dreptul național. În Germania, aceasta a devenit BSIG modificat. Nu vă conformați direct Directivei; vă conformați BSIG.

Directiva (UE) 2022/2555

CIR 2024/2690

Regulamentul de punere în aplicare al UE care specifică cerințele tehnice și metodologice exacte pentru entitățile NIS2. Spre deosebire de Directivă, acesta se aplică direct în toate statele membre fără transpunere. El detaliază ce înseamnă de fapt în practică 'măsuri adecvate de securitate cibernetică': gândiți-vă la el ca la manualul tehnic care completează detaliile pe care Directiva le-a lăsat deschise.

Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690

Cod NACE

NACE-Code

Clasificarea statistică a activităților economice în Comunitatea Europeană (Nomenclature statistique des Activités économiques dans la Communauté Européenne). NIS2 și BSIG folosesc codurile NACE pentru a defini care sectoare și activități economice intră în domeniul de aplicare. Codul NACE al firmei dumneavoastră este primul lucru pe care BSI îl verifică atunci când evaluează aplicabilitatea.

Regulamentul (CE) 1893/2006

Înregistrarea la BSI

BSI-Registrierung

Înregistrarea obligatorie a entităților din domeniul de aplicare la BSI prin portalul său online. Cerută de §33 BSIG, cu propria sa dispoziție privind sancțiunile. Furnizați datele firmei, clasificarea pe sector, o persoană de contact pentru securitate cibernetică și intervalele de adrese IP. Aceasta este o obligație juridică de sine stătătoare: îndeplinirea ei nu satisface celelalte cerințe NIS2, dar neîndeplinirea ei este o încălcare proprie.

§33 BSIG

MUK (Mein Unternehmenskonto)

Mein Unternehmenskonto

Contul de afaceri central al Germaniei pentru serviciile de administrație federală, autentificat prin certificate ELSTER. O condiție prealabilă pentru înregistrarea la BSI: firmele trebuie mai întâi să creeze un cont MUK, apoi să acceseze portalul de înregistrare BSI prin acesta. Dacă nu aveți încă un cont MUK, nu vă puteți înregistra la BSI: acesta este primul pas practic înainte de orice activitate de conformitate.

OZG, ELSTER

Incident semnificativ

Erheblicher Sicherheitsvorfall

Un eveniment de securitate cibernetică care vă perturbă efectiv serviciul, cauzează daune financiare sau s-ar putea propaga la alții. Nu orice e-mail de phishing: doar evenimentele care depășesc praguri specifice de gravitate declanșează cascada obligatorie de raportare către BSI. CIR 2024/2690 definește praguri concrete: pierdere financiară care depășește 500.000 EUR sau 5% din cifra de afaceri, exfiltrarea de secrete comerciale sau impact asupra sănătății.

§32 BSIG, CIR 2024/2690 art. 3

Măsuri de gestionare a riscurilor

Risikomanagementmaßnahmen

Cele zece categorii de măsuri de securitate cibernetică pe care toate entitățile NIS2 trebuie să le implementeze conform §30 BSIG. Acestea variază de la evaluarea riscurilor și gestionarea incidentelor până la securitatea lanțului de aprovizionare și criptografie. Ele trebuie să fie 'adecvate și proporționale' cu mărimea și profilul dumneavoastră de risc: nu se așteaptă ca o firmă de deșeuri cu 50 de persoane să implementeze aceleași controale ca Deutsche Telekom.

§30(2) BSIG

Securitatea lanțului de aprovizionare

Sicherheit der Lieferkette

Cerința de a evalua și gestiona riscurile de securitate cibernetică din lanțul dumneavoastră de aprovizionare, în special furnizorii de servicii IT, furnizorii de cloud și orice furnizor cu acces la sistemele sau datele dumneavoastră. Trebuie să includeți cerințe de securitate în contracte, să evaluați practicile furnizorilor și să îi monitorizați în timp. Acest lucru este nou față de vechiul regim KRITIS.

§30(2)(4) BSIG

Răspunderea conducerii

Leitungsverantwortung

Răspunderea personală a conducerii firmei (Geschäftsführung) pentru conformitatea NIS2 conform §38 BSIG. Conducerea trebuie să aprobe măsurile de securitate cibernetică, să asigure implementarea lor, să urmeze instruire în securitate cibernetică și poate fi trasă la răspundere personală pentru daunele rezultate. Această răspundere nu poate fi renunțată, nici măcar prin hotărâre a asociaților. Aceasta este dispoziția care mută securitatea cibernetică din departamentul IT în sala de consiliu.

§38 BSIG

IT-Grundschutz

IT-Grundschutz

Metodologia proprie de securitate cibernetică a BSI: un cadru cuprinzător de module de securitate (Bausteine) cu ghid de implementare pas cu pas. §44(2) BSIG recunoaște explicit implementarea Grundschutz ca dovadă a conformității NIS2. Întrucât BSI atât publică Grundschutz, cât și aplică NIS2, folosirea metodologiei lor înseamnă că sunteți auditat după un standard pe care auditorul îl cunoaște perfect.

§44(2) BSIG, BSI-Standards 200-1 până la 200-4

Pistă de audit

O înregistrare cronologică a cine ce a făcut, când și de ce în procesul dumneavoastră de conformitate. NIS2 cere dovezi că măsurile nu sunt doar documentate, ci efectiv implementate și menținute. O pistă de audit îi arată auditorului BSI că politicile dumneavoastră sunt documente vii, nu hârtii lăsate pe raft: cine a aprobat o măsură, când a fost revizuită ultima dată, ce s-a schimbat.

Autentificare multifactor (MFA)

Autentificare care necesită doi sau mai mulți factori de verificare: de obicei ceva ce știți (parola) și ceva ce aveți (telefon, cheie hardware). §30(2)(10) BSIG cere MFA pentru acces de la distanță, acces administrativ și acces la sistemele critice. Dacă nu folosiți deja MFA pe VPN, pe conturile de administrator și pe e-mail, aceasta este una dintre cele mai concrete cerințe tehnice de implementat.

§30(2)(10) BSIG

§30 BSIG - Măsuri de securitate cibernetică

Dispoziția centrală a NIS2 în dreptul german. Listează zece categorii de măsuri de gestionare a riscurilor de securitate cibernetică pe care toate entitățile din domeniul de aplicare trebuie să le implementeze. Acoperă evaluarea riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, dezvoltarea securizată, evaluarea eficacității, instruirea, criptografia, controlul accesului și autentificarea multifactor. Măsurile trebuie să fie 'adecvate și proporționale': nu exagerate, dar autentice.

§30 BSIG

§32 BSIG - Raportarea incidentelor

Meldepflichten

Cascada obligatorie de raportare a incidentelor în trei etape. Când are loc un incident semnificativ: avertizare timpurie către BSI în termen de 24 de ore, notificarea detaliată a incidentului în termen de 72 de ore, raport final în termen de o lună. Fiecare etapă are cerințe specifice de conținut. Rapoartele întârziate sau lipsă sunt încălcări separate, cu propriile lor dispoziții privind sancțiunile.

§32 BSIG

§33 BSIG - Obligația de înregistrare

Registrierungspflicht

Obligația juridică a tuturor entităților din domeniul de aplicare de a se înregistra la BSI. Furnizați informații despre entitate, clasificarea pe sector, datele de contact pentru securitate cibernetică și intervalele de adrese IP. Neînregistrarea este o încălcare de sine stătătoare, pasibilă de amenzi de până la 500.000 EUR, separată de orice sancțiuni pentru neimplementarea măsurilor reale de securitate.

§33 BSIG

§38 BSIG - Responsabilitatea conducerii

Billigung von Risikomanagementmaßnahmen

Dispoziția care face conducerea firmei răspunzătoare personal pentru conformitatea NIS2. Geschäftsführung trebuie să aprobe măsurile de gestionare a riscurilor, să supravegheze implementarea lor și să finalizeze instruirea în securitate cibernetică. Neîndeplinirea creează răspundere personală pentru daune, iar această răspundere nu poate fi renunțată de către asociați. Acesta este paragraful care atrage atenția directorilor.

§38 BSIG

NIS2 Anexa I - Sectoare cu criticitate ridicată

Lista sectoarelor ale căror entități sunt clasificate ca 'esențiale' (entități esențiale) atunci când ating pragul de mărime. Include: energie (electricitate, petrol, gaze, hidrogen, termoficare), transport (aerian, feroviar, naval, rutier), sectorul bancar, infrastructura pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, gestionarea serviciilor TIC, administrație publică și spațiu.

Directiva NIS2 Anexa I, §28(1) BSIG

NIS2 Anexa II - Alte sectoare critice

Lista sectoarelor ale căror entități sunt clasificate ca 'importante' (wichtige Einrichtungen) atunci când ating pragul de mărime. Include: servicii poștale și de curierat, gestionarea deșeurilor, fabricarea și distribuția de produse chimice, producția și distribuția de alimente, fabricație (dispozitive medicale, electronice, utilaje, vehicule), furnizori digitali (piețe online, motoare de căutare, rețele sociale) și organizații de cercetare.

Directiva NIS2 Anexa II, §28(2) BSIG

CSIRT (Echipa de răspuns la incidente de securitate informatică)

Computer-Notfallteam

Echipa națională responsabilă de primirea și răspunsul la rapoartele de incidente de securitate cibernetică. În Germania, BSI servește drept CSIRT național. Când raportați un incident semnificativ conform §32 BSIG, BSI-CSIRT primește și procesează raportul dumneavoastră. Pot oferi și asistență tehnică în timpul răspunsului la incidente: nu sunt doar o căsuță poștală, ci o resursă operațională.

Directiva NIS2 art. 10, §32 BSIG