BSIG 2025

Noua obligatie de securitate IT pentru companiile germane

Daca ati cautat 'IT Sicherheitspflicht', cautati NIS2. Din decembrie 2025, BSIG revizuit face din securitatea cibernetica o obligatie legala pentru aproximativ 29.500 de companii germane.

Simon OrzelSimon Orzel·Laufend geprüft

NIS2 este obligatia de securitate IT despre care ati tot auzit

Nu exista o 'lege de sine statatoare a obligatiei de securitate IT' in Germania. Ce exista este Directiva NIS2 (UE 2022/2555), transpusa in dreptul german prin NIS2UmsuCG, care a revizuit Legea federala privind securitatea cibernetica (BSIG). Aceasta este legea care creeaza obligatii obligatorii de securitate IT pentru companiile din 18 sectoare critice.

BSIG a intrat in vigoare la 6 decembrie 2025. Cere companiilor afectate sa implementeze 10 masuri specifice de gestionare a riscurilor de securitate cibernetica (sectiunea 30 BSIG), sa se inregistreze la BSI, sa raporteze incidentele semnificative in termene stricte si sa isi securizeze lanturile de aprovizionare. Conducerea este personal raspunzatoare in temeiul sectiunii 38 BSIG pentru asigurarea conformitatii.

Daca firma voastra are 50 sau mai multi angajati sau depaseste 10 milioane de euro cifra de afaceri anuala si opereaza intr-unul dintre cele 18 sectoare NIS2, aceste obligatii vi se aplica chiar acum. Termenul de inregistrare a fost 6 martie 2026. Implementarea tuturor masurilor este obligatorie pana la 17 octombrie 2026.

Mi se aplica acest lucru companiei?
Patru criterii determina daca firma voastra intra sub BSIG. Trebuie sa indepliniti criteriul sectorial SI cel putin unul dintre criteriile de marime.

Sector

Firma voastra opereaza intr-unul dintre 18 sectoare: energie, transport, banci, sanatate, apa, infrastructura digitala, servicii TIC, administratie publica, spatiu, servicii postale, gestionarea deseurilor, produse chimice, productie alimentara, fabricatie sau furnizori digitali.

Numar de angajati

Aveti 50 sau mai multi angajati. Acest lucru urmeaza definitia UE a IMM-urilor si include toti angajatii din grup, nu doar entitatea germana. Angajatii cu fractiune de norma se numara proportional.

Cifra de afaceri anuala

Cifra voastra de afaceri anuala depaseste 10 milioane de euro SI bilantul total depaseste 10 milioane de euro. Daca depasiti fie pragul de angajati, fie pragul financiar, sunteti in domeniul de aplicare.

Servicii critice

Unele tipuri de entitati sunt in domeniul de aplicare indiferent de marime: furnizorii DNS, registrele TLD, prestatorii de servicii de incredere calificati, operatorii KRITIS si furnizorii unici de servicii esentiale dintr-o regiune.

Ce trebuie sa faceti
BSIG cere cinci pasi concreti. Inregistrarea ar trebui sa fie deja facuta. Masurile ramase trebuie implementate pana in octombrie 2026.
1

Inregistrati-va la BSI

Finalizati-va inregistrarea prin portalul BSI (muk.bsi.bund.de). Aceasta este o obligatie legala in temeiul sectiunii 33 BSIG, cu propria penalitate de pana la 500.000 de euro. Portalul este activ din ianuarie 2026, iar termenul a fost 6 martie 2026. Daca l-ati ratat, inregistrati-va imediat.

2

Efectuati o evaluare a riscului

Identificati activele IT critice, evaluati riscurile fiecaruia si documentati deciziile de tratare. Sectiunea 30 BSIG cere masuri de gestionare a riscurilor proportionale cu expunerea la risc. Aveti nevoie de un inventar de active si de o evaluare structurata a riscului inainte de a putea implementa masuri.

3

Implementati 10 masuri de securitate

Sectiunea 30 BSIG defineste 10 domenii obligatorii: politici de gestionare a riscurilor, gestionarea incidentelor, continuitatea activitatii, securitatea lantului de aprovizionare, securitatea retelei, gestionarea vulnerabilitatilor, igiena de securitate cibernetica, criptografie, control al accesului si autentificare multifactoriala. Fiecare domeniu necesita politici documentate si dovezi de implementare.

4

Configurati raportarea incidentelor

Incidentele semnificative de securitate cibernetica trebuie raportate la BSI in termen de 24 de ore (avertizare timpurie initiala), 72 de ore (notificare completa) si 1 luna (raport final). Definiti ce inseamna un incident semnificativ pentru firma voastra si stabiliti un lant clar de raportare inainte sa se intample ceva.

5

Mentineti conformitatea continua

NIS2 nu este un proiect unic. Aveti nevoie de revizuiri anuale ale evaluarii riscului, instruire periodica pentru conducere (sectiunea 38 BSIG cere participare personala), reevaluari ale furnizorilor si monitorizare continua a incidentelor. Platforma urmareste toate termenele si escaladeaza automat.

Ce se intampla daca nu faceti nimic

Cadrul de penalitati este modelat dupa GDPR. Entitatile esentiale se confrunta cu amenzi de pana la 10 milioane de euro sau 2% din cifra de afaceri anuala globala. Entitatile importante se confrunta cu pana la 7 milioane de euro sau 1,4%. Doar incalcarile de inregistrare atrag amenzi de pana la 500.000 de euro. BSI are competente de aplicare a legii si poate dispune conformitatea sau restrictiona operatiunile.

Pe langa amenzi, sectiunea 38 BSIG creeaza raspundere personala pentru conducere. Directorii trebuie sa aprobe masurile de securitate cibernetica, sa supravegheze implementarea si sa finalizeze instruirea. Ei raspund fata de propria companie pentru incalcari culpabile. Aceasta raspundere nu poate fi exclusa prin contract. A pretinde ca nu ati inteles securitatea cibernetica nu este explicit o aparare.

Intrebari frecvente

Este NIS2 acelasi lucru cu obligatia de securitate IT despre care tot aud?

Da. Nu exista o lege separata 'IT Sicherheitspflicht'. NIS2 este directiva UE care a fost transpusa in dreptul german ca BSIG revizuit prin NIS2UmsuCG. Cand oamenii vorbesc despre noi obligatii de securitate IT pentru companiile germane, se refera la aceasta lege. Este in vigoare din 6 decembrie 2025.

Suntem o companie de fabricatie cu 60 de persoane. Chiar ni se aplica?

Foarte probabil da. Fabricatia este enumerata in Anexa II NIS2 (acoperind fabricatia de dispozitive medicale, electronice, echipamente electrice, masini, autovehicule si alte echipamente de transport). Cu 60 de angajati, depasiti pragul de 50 de angajati. Ati fi clasificati ca 'entitate importanta' in temeiul sectiunii 28(2) BSIG, iar toate obligatiile NIS2 se aplica.

Termenul de inregistrare a trecut. Ce ar trebui sa facem?

Inregistrati-va imediat. Portalul BSI de la muk.bsi.bund.de inca accepta inregistrari. Inregistrarea tarzie este mai buna decat lipsa inregistrarii. Amenda pentru neinregistrare este de pana la 500.000 de euro, dar BSI evalueaza buna-credinta. O companie care se inregistreaza cu cateva saptamani intarziere si poate arata ca lucra activ la conformitate este intr-o pozitie mult mai buna decat una care nu a facut nimic.

Poate furnizorul nostru extern de IT sa gestioneze conformitatea NIS2 pentru noi?

Pot ajuta la implementarea masurilor tehnice, dar obligatia legala ramane la firma voastra. Sectiunea 30 BSIG prevede explicit ca puteti externaliza operatiunile, dar nu si responsabilitatea. Conducerea voastra ramane personal raspunzatoare in temeiul sectiunii 38 BSIG. Trebuie sa documentati ce face furnizorul vostru de IT, sa verificati masurile lor de securitate si sa ii includeti in procesul vostru de gestionare a furnizorilor.

Cat costa conformitatea NIS2 pentru o companie din segmentul mediu?

Pentru o companie cu 50 pana la 250 de angajati, asteptati-va sa cheltuiti intre 20.000 si 80.000 de euro in primul an, in functie de maturitatea voastra actuala de securitate. Aceasta include evaluarea riscului, documentarea politicilor, imbunatatiri tehnice si instruire. Companiile care au deja masuri de securitate IT de baza sunt la capatul inferior. Costul anual continuu scade semnificativ dupa primul an, deoarece cea mai mare parte a muncii este configurare, nu mentenanta.

Aflati daca NIS2 se aplica firmei voastre
Raspundeti la cateva intrebari despre sectorul, marimea si serviciile voastre. Verificarea aplicabilitatii dureaza mai putin de 2 minute si va spune daca obligatiile BSIG vi se aplica.
Verificati daca NIS2 vi se aplica