Procedura amenzii NIS 2 pas cu pas
Articolul 34 NIS 2 stabilește plafonul. Ordnungswidrigkeitengesetz german stabilește procedura. §65 BSIG le leagă împreună.
Ce descrie acest articol
NIS 2 obligă statele membre să prevadă amenzi administrative împotriva entităților care nu își respectă obligațiile de gestionare a riscurilor de securitate cibernetică sau de raportare. Articolul 34 NIS 2 stabilește sumele maxime și criteriile de calcul. Fiecare stat membru integrează acel plafon în propria lege privind contravențiile administrative.
În Germania, Legea BSI pune în aplicare catalogul amenzilor în §65 BSIG. Cadrul procedural se află în Ordnungswidrigkeitengesetz (OWiG): audierea în temeiul §55 OWiG, notificarea de amendă în temeiul §41 OWiG, opoziția în termen de două săptămâni în temeiul §67 OWiG. Normele de calcul de fond din §17 OWiG funcționează alături de factorii specifici NIS 2 din Articolul 34(7).
Această pagină descrie cum arată procedura din exterior. Nu oferă consultanță privind modul de a răspunde. Apărarea concretă într-o procedură conform §65 BSIG necesită consultanță juridică penală și de reglementare.
Stratul UE: Articolul 34 NIS 2
Statele membre se asigură că amenzile administrative aplicate entităților esențiale și importante în temeiul prezentului articol pentru încălcări ale prezentei directive sunt, în fiecare caz în parte, efective, proporționale și disuasive.
Articolul 34(4) stabilește maximul la 10 milioane EUR sau 2 la sută din cifra de afaceri anuală mondială totală din exercițiul financiar precedent pentru entitățile esențiale. Articolul 34(5) stabilește 7 milioane EUR sau 1,4 la sută pentru entitățile importante, luându-se în calcul valoarea mai mare în fiecare caz.
Stratul național: §65 BSIG (Germania)
Eine Ordnungswidrigkeit kann bei einer besonders wichtigen Einrichtung mit einer Geldbuße bis zu zehn Millionen Euro oder bis zu zwei Prozent des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes des Unternehmens, dem die Einrichtung angehört, geahndet werden, je nachdem, welcher Betrag höher ist. Bei einer wichtigen Einrichtung beträgt die Geldbuße bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des Gesamtumsatzes.
§65 BSIG reflectă plafonul din Articolul 34 NIS 2. Lista comportamentelor sancționabile din §65(1) BSIG acoperă, printre altele, neîndeplinirea măsurilor de gestionare a riscurilor din §30 BSIG, omiterea raportării incidentelor din §32 BSIG și omiterea înregistrării din §33 BSIG.
Codul procedural: OWiG
Vor Erlass eines Bußgeldbescheids ist dem Betroffenen Gelegenheit zu geben, sich zu der Beschuldigung zu äußern. (§55 OWiG)
OWiG reglementează procedura. §55 OWiG impune o audiere înainte de notificarea de amendă. §41 OWiG precizează forma Bußgeldbescheid-ului. §67 OWiG acordă destinatarului două săptămâni de la comunicare pentru a depune un Einspruch. §17 OWiG reglementează calculul de fond, aplicat împreună cu criteriile din Articolul 34(7) NIS 2.
Inițiere
O procedură conform §65 BSIG începe de regulă după ce autoritatea de supraveghere stabilește un eveniment declanșator: neîndeplinirea măsurilor de securitate cibernetică din §30 BSIG descoperită într-un audit sau o autoraportare, o notificare de incident din §32 BSIG omisă sau întârziată (avertizare timpurie la 24 de ore, raport intermediar la 72 de ore, raport final la o lună) sau o înregistrare omisă din §33 BSIG. Autoritatea deschide o Ordnungswidrigkeitenverfahren și notifică entitatea.
Anhörungsschreiben
Înainte ca o notificare de amendă să poată fi emisă, autoritatea trimite un Anhörungsschreiben care enumeră comportamentul invocat, temeiul juridic din §65 BSIG și un termen pentru a formula observații. Scrisoarea de audiere este procedurală, nu un verdict. Tăcerea nu oprește procedura. Cadrul §65 BSIG prevede ca chestiunea să fie decisă pe baza dosarului dacă entitatea nu răspunde.
Bußgeldbescheid
Dacă autoritatea concluzionează că contravenția este dovedită, emite un Bußgeldbescheid în temeiul §41 OWiG. Suma este calculată în raport cu criteriile din Articolul 34(7) NIS 2 (gravitate, durată, intenție sau neglijență, încălcări anterioare, beneficiu financiar, cooperare, măsuri anterioare) împreună cu §17 OWiG. Notificarea conține o instrucțiune din §67 OWiG: două săptămâni pentru a depune un Einspruch.
Efective, proporționale, disuasive
Articolul 34(1) NIS 2 obligă autoritatea la proporționalitate. Plafonul de 10 milioane EUR sau 2 la sută este un maxim, nu un tarif. §17 OWiG impune autorității să cântărească semnificația contravenției și circumstanțele economice ale entității. În practică, calculul se mișcă în ambele sensuri: în sus pentru gravitate și recidivă, în jos pentru cooperare reală și măsuri anterioare demonstrabile.
Cooperarea este un factor de calcul
Articolul 34(7)(f) NIS 2 enumeră gradul de cooperare cu autoritățile competente ca factor atenuant. Divulgarea voluntară a încălcării, dovada măsurilor corective și accesul complet la dosar contează toate în calcul. Măsurile anterioare ale entității din §30 BSIG (Articolul 34(7)(d) NIS 2) se citesc în raport cu aceeași referință.
Bundesamt für Sicherheit in der Informationstechnik
BSI este autoritatea de supraveghere competentă pentru majoritatea sectoarelor NIS 2 din Germania în temeiul §1 BSIG. Deschide și conduce procedura de amendă conform §65 BSIG. Operatorii de instalații critice (KRITIS) se află sub aceeași autoritate. Bußgeldbescheide și corespondența privind Einspruch trec prin BSI.
ENISA și Grupul de cooperare
ENISA nu aplică amenzi. Produce orientări și coordonează Grupul de cooperare NIS în temeiul Articolului 14 NIS 2. Rezultatele ENISA (taxonomia incidentelor, orientări specifice sectorului) influențează ceea ce se consideră stadiul actual al tehnicii în temeiul Articolului 21(2) NIS 2 și, prin urmare, alimentează calculul din Articolul 34(7).
Supraveghetori sectoriali
Pentru finanțe, energie, transport și sănătate, autoritățile de reglementare sectoriale păstrează un rol paralel în temeiul §61 BSIG și al legislației specifice sectorului. Plafonul din §65 BSIG se aplică în continuare. Acolo unde DORA acoperă o entitate financiară, regimul propriu de sancțiuni al DORA are prioritate asupra măsurilor de securitate cibernetică, dar obligația de înregistrare din Articolul 27 NIS 2 rămâne în vigoare.
Plafonul de 2 la sută se calculează pe cifra de afaceri a entității germane.
Articolul 34(4) NIS 2 și §65 BSIG calculează procentul pe cifra de afaceri anuală mondială totală a întreprinderii din care face parte entitatea în exercițiul financiar precedent. Pentru filialele dintr-un grup mai mare, acest lucru poate ridica plafonul cu ordine de mărime peste veniturile locale.
Dacă ignorăm Anhörung, chestiunea dispare.
§55 OWiG impune doar ca autoritatea să acorde entității posibilitatea de a formula observații. Nu impune un răspuns. Cadrul §65 BSIG prevede ca chestiunea să continue spre un Bußgeldbescheid pe baza dosarului dacă nu sosește nicio observație. Codul procedural nu încetinește pentru tăcere.
Divulgarea completă a fiecărui detaliu operativ va reduce la minimum amenda.
Articolul 34(7)(f) NIS 2 recompensează cooperarea cu autoritatea competentă. Nu impune entității să construiască cazul autorității în locul ei. Linia dintre cooperare și autoincriminare este punctul în care intervine consultanța juridică. Recunoașterile procedurale făcute fără consultanță juridică sunt greu de retras.
Termenul de două săptămâni pentru Einspruch din §67 OWiG curge de la comunicarea Bußgeldbescheid-ului. Este un termen legal, nenegociabil. Nerespectarea lui face notificarea definitivă în temeiul §66 OWiG, după care rămân doar căi înguste de restituire. Scrisoarea de audiere din §55 OWiG nu poartă un termen echivalent propriu, dar autoritatea stabilește unul în scrisoare.
Apărarea concretă într-o procedură conform §65 BSIG necesită consultanță juridică penală și de reglementare. Acest articol descrie procedura și ancorele juridice. Nu abordează modul de a răspunde la o anumită scrisoare de audiere sau notificare de amendă. Orice element care atinge substanța gestionării riscurilor entității (§30 BSIG), istoricul său de raportare (§32 BSIG) sau măsurile sale anterioare din Articolul 21 NIS 2 ar trebui discutat cu consultanța juridică înainte de a părăsi entitatea.
O procedură conform §65 BSIG se decide pe baza dosarului. Calculul din Articolul 34(7) NIS 2 recompensează măsurile anterioare, cooperarea și un istoric documentat. Acel istoric se construiește înainte de sosirea oricărei scrisori: cine a aprobat ce control, când a fost raportat un incident, ce probe se aflau în spatele măsurilor de gestionare a riscurilor din §30 BSIG.
Platforma înregistrează acel istoric în mod continuu. Aprobările, pistele de atribuire, notificările de incidente și aprobările de politici poartă marcaje de timp și identități. Niciuna dintre acestea nu decide o procedură. Toate reprezintă tipul de dosar la care se uită calculul din §17 OWiG și Articolul 34(7) NIS 2.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 34: Condiții generale pentru aplicarea amenzilor administrative entităților esențiale și importante.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §65: Bußgeldvorschriften.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (Risikomanagement), §32 (Meldepflichten), §33 (Registrierung).
- Gesetz über Ordnungswidrigkeiten (OWiG), §17 (Bemessung), §41 (Bußgeldbescheid), §55 (Anhörung), §66 (Rechtskraft), §67 (Einspruch).
- ENISA, rezultatele Grupului de cooperare NIS 2 și ghidul tehnic de punere în aplicare.