Art. 20 + Art. 27 NIS 2 · §33(5) + §38 + §65 BSIG

Schimbarea organului de conducere: transferul in siguranta al responsabilitatii NIS 2

Cand CEO sau Geschäftsführer pleaca, obligatia de instruire din §38 BSIG nu pleaca odata cu el. Trei lucruri trebuie sa se intample la predare, altfel raspunderea personala se transfera in cel mai prost mod.

Simon OrzelSimon Orzel·

De ce predarea este cel mai trecut cu vederea moment NIS 2

Cele mai multe entitati se pregatesc pentru ziua in care NIS 2 li se aplica pentru prima data. Putine se pregatesc pentru ziua in care persoana care detine implementarea o preda mai departe. Acel moment este locul in care raspunderea personala din §38 BSIG se transfera in liniste, in care datele de inregistrare BSI se invechesc si in care acceptarile de risc semnate raman orfane.

In temeiul art. 20 NIS 2 organul de conducere 'poate fi tras la raspundere' pentru incalcari. Raspunderea se ataseaza rolului, nu persoanei. Geschäftsführer-ul care intra mosteneste tot ce a aprobat cel care a iesit, inclusiv riscuri despre care nu a fost niciodata informat. Protocolul de predare exista pentru a face ca acea informare sa se intample documentat.

Nu exista o reglementare separata de predare NIS 2. Obligatiile vin din trei locuri: regula de actualizare in 2 saptamani din §33(5) BSIG pentru datele de inregistrare, obligatia de instruire din §38 BSIG pentru noul membru al organului de conducere si obligatia generala de aprobare si supraveghere din art. 20 NIS 2 care se transfera in momentul in care noua persoana semneaza numirea.

Trei obligatii care se activeaza in ziua predarii
Niciuna nu este optionala, toate trei pot fi ratate in zgomotul unei tranzitii de CEO.

Art. 20(1) NIS 2 + §38 BSIG (instruire)

Statele membre se asigura ca organele de conducere ale entitatilor esentiale si importante pot fi trase la raspundere pentru incalcarea de catre entitati a articolului 21. Membrii organelor de conducere sunt obligati sa urmeze o instruire pentru a dobandi cunostinte suficiente.

Raspunderea si obligatia de instruire se ataseaza in ziua in care noul membru al organului de conducere este inregistrat, nu la o data convenabila ulterioara. Nu exista o perioada de gratie in directiva.

§33(5) BSIG + art. 27(2) NIS 2 (actualizarea registrului)

Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.

Termen de doua saptamani. Persoana de contact inregistrata la BSI este canalul prin care sosesc solicitarile privind incidentele, avizele si notificarile de supraveghere. O persoana de contact invechita inseamna ca solicitarile BSI esueaza in liniste.

Art. 20(1) NIS 2 (continuitatea aprobarii)

Organele de conducere ale entitatilor esentiale si importante aproba masurile de gestionare a riscurilor de securitate cibernetica luate de aceste entitati si supravegheaza punerea lor in aplicare.

'A aproba' este o obligatie continua. Aprobarile semnate de CEO-ul care iese obliga entitatea, dar CEO-ul care intra devine responsabil de supravegherea lor din prima zi. Nu pot respinge ceea ce despre care nu au fost informati, asa ca informarea trebuie sa se intample la predare.

Ce trebuie sa fie in pachetul de predare
Patru artefacte. Ele exista deja daca entitatea ruleaza un ISMS; predarea doar le face vizibile pentru noul membru al organului de conducere.

Evidente de instruire §38 BSIG (cel care iese)

Dovada finalizarii pentru membrul organului de conducere care iese. Instruirea §38 proprie a noului membru trebuie aranjata separat si prompt.

Acceptari de risc semnate

Fiecare intrare din registrul de risc pe care CEO-ul care iese a acceptat-o (in loc sa o atenueze) este acum o obligatie pe care CEO-ul care intra o mosteneste. Revizuiti-le la predare, nu le descoperiti la audit.

Harta dependentelor de furnizori

Care furnizori poarta risc NIS 2 in temeiul art. 21(2)(d). CEO-ul care intra trebuie sa stie pe cine nu pot rezilia rapid, cine detine raspundere contractuala, cine este in intarziere cu revizuirea.

Detinerea raspunsului la incidente

Cine are acces la portal, cine aproba notificarile, cine este responsabilul desemnat de raportare. Nume, date de contact, lant de escaladare. Acesta este documentul scos la 03:00 in timpul unui incident.

Trei pasi in primele doua saptamani
Fereastra de 2 saptamani din §33(5) BSIG dicteaza cadenta. Tratati ziua 1 a noului membru al organului de conducere drept ziua 1 a ceasului.

Pasul 1 - Actualizati inregistrarea BSI

Prin portalul BSI in temeiul §33(5) BSIG: noua persoana de contact, rol, date de contact. Doua saptamani de la data numirii. Folositi certificatul de organizatie ELSTER existent, acesta nu se schimba cand se schimba organul de conducere.

Pasul 2 - Programati instruirea §38 BSIG

Noul membru este obligat sa urmeze instruire de gestionare a riscurilor de securitate cibernetica. Niciun termen fix in BSIG, dar 'unverzüglich' (fara intarziere nejustificata) in temeiul §38(2). Programati in primul trimestru al noului rol.

Pasul 3 - Reconfirmati sau inlocuiti aprobarile celui care iese

Parcurgeti cu noul membru registrul de risc si harta furnizorilor. Semnatura lor proprie pe orice doresc sa pastreze, o decizie separata pe orice doresc sa reanalizeze. Documentati data informarii.

Trei lucruri care merg prost in liniste
Toate trei sunt esecuri tacute. Apar la suprafata doar cand loveste un incident sau un audit.

  • Contactul BSI niciodata actualizat

    Ceasul de doua saptamani din §33(5) ruleaza in fundalul unei tranzitii agitate. Actualizarea ratata inseamna ca persoana de contact pentru incidente a BSI este cineva care nu mai lucreaza la entitate. Expunere la amenzi in temeiul §65 BSIG plus, in cel mai rau caz, un esec de notificare a incidentelor.

  • Acceptari de risc mostenite orbeste

    CEO-ul care intra semneaza numirea, prin efectul legii devine responsabil de riscurile acceptate de predecesor. Fara o informare nu pot apara pozitia la audit. Informarea la predare este puntea.

  • Instruirea §38 programata 'mai tarziu'

    Nu exista un termen specific, asa ca aluneca. Trec ani. La urmatoarea supraveghere BSI cere dovada si nu exista niciuna. Programati in primul trimestru, nu 'cand este timp'.

Ce se intampla daca predarea este informala

Trei moduri de esec se cumuleaza. Primul, inregistrarea BSI este invechita, asa ca notificarea incidentelor nu ajunge la nimeni. Al doilea, CEO-ul care intra nu are nicio informare despre riscurile pe care le-a mostenit, asa ca apararea la audit se prabuseste. Al treilea, instruirea §38 lipseste, ceea ce este o incalcare separata in temeiul §38(3) BSIG.

Fiecare dintre cele trei declanseaza aceeasi cale de aplicare a legii: notificare de supraveghere in temeiul art. 32 NIS 2, posibila amenda in temeiul §65 BSIG, expunere personala a membrului organului de conducere care a semnat fara a verifica. Niciunul nu este reversibil printr-o informare retroactiva.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), art. 20, art. 27, art. 32, www.eur-lex.europa.eu
  • Legea privind Oficiul Federal pentru Securitatea Informatiei (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
  • BSI Handreichung zu §38 BSIG (aprilie 2026, versiunea 1.0), www.bsi.bund.de
  • Legea de implementare NIS-2 si de consolidare a securitatii cibernetice (NIS2UmsuCG)

Aceasta pagina ofera indrumare structurata pe baza unor surse disponibile public (Directiva NIS 2, BSIG, BSI Handreichung §38). Nu constituie consultanta juridica in sensul §2 RDG. Expunerea la raspundere personala a membrilor organului de conducere este o chestiune juridica pentru un avocat admis in barou. La data de 2026-06-04.

Rulati o predare curata inainte de urmatoarea schimbare
Platforma produce un pachet de predare cu memento de actualizare a registrului, urmaritor de instruire §38 si sablon de informare privind acceptarea riscului.
Conectati-va la platforma