Sancțiuni NIS2: ce riști de fapt
Patru praguri de sancțiuni, exemple concrete de calcul pentru trei mărimi de companii, scenarii realiste de aplicare și răspunderea personală a conducerii pe care asigurarea D&O probabil nu o acoperă.
Cadrul de sancțiuni este real, dar proporțional
Sancțiunile NIS2 sunt modelate după structura de sancțiuni GDPR, concepute să fie suficient de mari încât companiile să nu poată trata amenzile drept un cost al activității. Sumele maxime (până la 10 mil. EUR sau 2% din cifra de afaceri globală) ajung pe prima pagină, dar realitatea pentru majoritatea companiilor de talie medie este mai nuanțată. Amenzile se stabilesc în funcție de gravitatea încălcării, de mărimea companiei, de buna-credință a companiei și de măsurile corective luate.
Acestea fiind spuse, cadrul de sancțiuni nu este teoretic. BSI are competențe de aplicare, amenzile sunt codificate în §65 BSIG, iar răspunderea personală a conducerii conform §38 este un mecanism juridic separat. Ignorarea NIS2 nu este o strategie viabilă de gestionare a riscurilor. Înțelegerea structurii reale a sancțiunilor te ajută să iei decizii proporționale privind investiția în conformitate, fără a intra în panică, dar nici a ignora riscurile.
Până la 10.000.000 EUR sau 2% din cifra de afaceri anuală globală
Entități esențiale: încălcări ale măsurilor de securitate cibernetică
Se aplică entităților esențiale (sectoarele din Anexa I) care nu implementează măsuri adecvate de securitate cibernetică conform §30 BSIG, nu raportează incidente semnificative conform §32 sau încalcă în alt mod obligațiile substanțiale NIS2. Amenda este valoarea MAI MARE dintre 10 mil. EUR sau 2% din cifra de afaceri globală a exercițiului financiar anterior.
Până la 7.000.000 EUR sau 1,4% din cifra de afaceri anuală globală
Entități importante: încălcări ale măsurilor de securitate cibernetică
Se aplică entităților importante (wichtige Einrichtungen, sectoarele din Anexa II) pentru aceleași încălcări substanțiale. Plafonul mai redus reflectă principiul proporționalității din Directiva NIS2: entitățile importante se află în sectoare cu un nivel de criticitate mai scăzut. Amenda este valoarea MAI MARE dintre 7 mil. EUR sau 1,4% din cifra de afaceri globală a exercițiului financiar anterior.
Până la 500.000 EUR
Încălcări de înregistrare
Sancțiune specifică pentru neînregistrarea la BSI conform §33 BSIG sau pentru furnizarea de informații de înregistrare incorecte. Aceasta este o încălcare de sine stătătoare: poți fi amendat pentru neînregistrare chiar dacă măsurile tale de securitate cibernetică sunt adecvate. Sancțiunea de înregistrare se aplică atât entităților esențiale, cât și celor importante.
Până la 500.000 EUR
Încălcări de raportare
Sancțiune specifică pentru neraportarea incidentelor semnificative în termenele cerute (avertizare timpurie la 24h, notificare la 72h, raport final într-o lună) sau pentru nefurnizarea informațiilor cerute pe durata investigațiilor BSI. Fiecare deficiență de raportare este o potențială încălcare separată.
| Tip de companie | Cifră de afaceri anuală | Amendă max. (esențială) | Amendă max. (importantă) |
|---|---|---|---|
| Talie medie mică | 15.000.000 EUR | 10.000.000 EUR (se aplică plafonul fix, 2% ar fi doar 300.000 EUR) | 7.000.000 EUR (se aplică plafonul fix, 1,4% ar fi doar 210.000 EUR) |
| Talie medie mijlocie | 50.000.000 EUR | 10.000.000 EUR (se aplică plafonul fix, 2% ar fi doar 1.000.000 EUR) | 7.000.000 EUR (se aplică plafonul fix, 1,4% ar fi doar 700.000 EUR) |
| Întreprindere mare | 200.000.000 EUR | 10.000.000 EUR (se aplică plafonul fix, 2% ar fi 4.000.000 EUR) | 7.000.000 EUR (se aplică plafonul fix, 1,4% ar fi 2.800.000 EUR) |
Patru scenarii realiste de aplicare
Ce declanșează de fapt aplicarea de către BSI și cum arată consecințele în practică.
Înregistrare la BSI tardivă sau lipsă
Compania ta îndeplinește criteriile din domeniul de aplicare NIS2, dar nu s-a înregistrat la BSI conform §33 BSIG. BSI te identifică prin bazele de date sectoriale, listele de membri ai asociațiilor industriale sau registrele comerciale.
BSI emite un ordin de conformare care impune înregistrarea într-un termen stabilit. Dacă te conformezi, chestiunea se poate încheia aici, mai ales dacă poți demonstra că, în mod sincer, nu cunoșteai obligația. Dacă ignori ordinul, se pot stabili amenzi de până la 500.000 EUR. Lipsa înregistrării creează totodată o documentație care arată că ai fost neconform de la început, ceea ce îți slăbește poziția în orice altă încălcare NIS2.
Neraportarea unui incident semnificativ
Compania ta suferă un atac ransomware care perturbă serviciile timp de 48 de ore. Gestionezi răspunsul tehnic, dar nu raportezi la BSI. Incidentul devine public prin acoperirea mediatică sau prin plângerile clienților.
Neînaintarea avertizării timpurii inițiale în 24 de ore este o încălcare separată de neînaintarea notificării la 72 de ore și a raportului final, fiecare fiind un declanșator independent de sancțiune. BSI investighează și constată că nu a fost înaintat niciun raport. Pe lângă amendă (până la 500.000 EUR per deficiență de raportare), neraportarea ridică întrebări despre întreaga ta poziție de conformitate, putând declanșa un audit mai amplu.
Niciun proces de gestionare a riscurilor implementat
Pe durata unui audit BSI (pentru entitățile esențiale) sau în urma unui incident (pentru entitățile importante), BSI constată că în compania ta nu există nicio evaluare de risc documentată, niciun inventar de active și nicio măsură de securitate cibernetică dincolo de operațiunile IT de bază.
Aceasta este cea mai gravă încălcare substanțială, o absență completă a conformității cu §30 BSIG. Se aplică sancțiunile maxime (10 mil./2% pentru esențiale, 7 mil./1,4% pentru importante). În practică, BSI ar emite probabil mai întâi instrucțiuni obligatorii și ar impune sancțiuni pentru neconformarea cu acele instrucțiuni. Dar lipsa oricărui proces de gestionare a riscurilor nu lasă loc pentru apărarea „am încercat cu bună-credință”.
Lacune în securitatea lanțului de aprovizionare
Compania ta externalizează operațiunile IT către un furnizor de servicii gestionate. Furnizorul suferă o încălcare a securității datelor care expune datele clienților tăi. BSI investighează și constată că nu există nicio evaluare de securitate a furnizorului, nicio cerință contractuală de securitate cibernetică și nicio monitorizare a poziției de securitate a furnizorului.
Ești responsabil pentru securitatea lanțului tău de aprovizionare conform §30 alin. (2) pct. 4 BSIG, indiferent de locul în care a avut loc încălcarea. Absența diligenței privind furnizorul înseamnă că nu ai implementat măsurile cerute. Acest lucru poate declanșa sancțiuni în cadrul măsurilor de securitate cibernetică (până la 10 mil./7 mil. EUR în funcție de tipul entității), iar incidentul în sine declanșează obligații de raportare. Dacă nici nu raportezi, sancțiunile se cumulează.
§38 BSIG creează un mecanism de răspundere personală pentru conducerea companiei, separat de amenzile administrative aplicate companiei. Geschäftsführung trebuie să aprobe măsurile de gestionare a riscurilor de securitate cibernetică, să supravegheze implementarea lor și să parcurgă instruirea în securitate cibernetică. Dacă aceste obligații sunt neglijate și compania suferă prejudicii ca urmare, conducerea poate fi trasă la răspundere personală pentru acele prejudicii. Este o răspundere civilă: cererea de despăgubire vine din partea companiei (sau a administratorului ei de insolvență) împotriva administratorilor individuali.
Esențial, §38 BSIG prevede că această răspundere nu poate fi înlăturată prin hotărâre a asociaților. Chiar și într-un GmbH administrat de proprietar, în care Geschäftsführer este și asociatul unic, răspunderea există. Polițele de asigurare D&O exclud de regulă amenzile și sancțiunile administrative, iar acoperirea pentru răspunderea specifică NIS2 este un domeniu în evoluție. Verifică-ți polița concretă, nu presupune că există acoperire. Implicația practică: conformitatea NIS2 este acum o chestiune de gestionare a riscului personal pentru fiecare Geschäftsführer, nu doar o bifă de guvernanță corporativă.
Întrebări frecvente
Care este amenda maximă pentru compania mea?
Depinde de clasificarea entității tale. Entități esențiale (sectoarele din Anexa I): valoarea mai mare dintre 10 mil. EUR sau 2% din cifra de afaceri anuală globală. Entități importante (sectoarele din Anexa II): valoarea mai mare dintre 7 mil. EUR sau 1,4% din cifra de afaceri anuală globală. Pentru majoritatea companiilor de talie medie (sub 500 mil. EUR cifră de afaceri), se aplică suma fixă, deoarece 2% din cifra de afaceri este mai mică decât 10 mil. EUR. Sancțiuni separate de până la 500.000 EUR se aplică pentru încălcări de înregistrare și de raportare.
Pot fi amendat personal în calitate de Geschäftsführer?
Amenzile administrative conform §65 BSIG se aplică companiei, nu persoanei fizice. Totuși, §38 BSIG creează o răspundere civilă personală pentru prejudiciile rezultate din neaprobarea și nesupravegherea măsurilor de securitate cibernetică. Asta înseamnă că riști răspunderea personală pentru pierderile companiei, nu o amendă de stat, ci potențial o cerere de despăgubire. Într-un scenariu de insolvență, administratorul de insolvență poate urmări această cerere împotriva ta personal.
Asigurarea D&O acoperă sancțiunile NIS2?
Majoritatea polițelor D&O exclud amenzile și sancțiunile administrative de reglementare, care sunt de regulă neasigurabile în dreptul german. Răspunderea civilă conform §38 BSIG (cererile de despăgubire) poate fi acoperită de asigurarea D&O, în funcție de termenii poliței tale. Analizează-ți polița concretă și discută expunerea la NIS2 cu brokerul tău. Nu presupune că există acoperire, cere confirmarea scrisă a ceea ce este și ce nu este acoperit.
Ce declanșează aplicarea de către BSI?
Pentru entitățile esențiale: BSI poate efectua audituri și inspecții proactive fără un declanșator specific. Pentru entitățile importante: aplicarea este de regulă reactivă, declanșată de un incident raportat, o plângere a unui terț, acoperirea mediatică a unei încălcări sau de neînregistrare. BSI face totodată corelări cu registrul comercial și bazele de date sectoriale pentru a identifica entitățile care ar trebui să fie înregistrate, dar nu sunt.
Sancțiunile sunt proporționale cu mărimea companiei?
Da, prin concepție. Calculul bazat pe procentul din cifra de afaceri asigură scalarea sancțiunilor în funcție de mărimea companiei. Pentru o companie cu cifră de afaceri de 15 mil. EUR, amenda maximă pentru o entitate esențială este 10 mil. EUR (plafonul fix, întrucât 2% înseamnă doar 300.000 EUR). Pentru o companie de 600 mil. EUR, maximul este 12 mil. EUR (2% din cifra de afaceri depășește pragul de 10 mil. EUR). În plus, BSI are obligația de a lua în calcul proporționalitatea la stabilirea sancțiunilor: mărimea companiei, gravitatea încălcării, durata și eforturile de bună-credință intră toate în calculul sumei efective a sancțiunii.
- BSIG, §38 (răspunderea conducerii), §65 (amenzi administrative și cadrul de sancțiuni)
- Directiva NIS2 (UE) 2022/2555, articolul 34 (măsuri de supraveghere pentru entitățile esențiale), articolul 35 (măsuri de supraveghere pentru entitățile importante), articolul 36 (sancțiuni)
- NIS2UmsuCG, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI, documentație parlamentară privind conceperea cadrului de sancțiuni și considerațiile de proporționalitate
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft), analiză a acoperirii asigurării D&O pentru răspunderea de reglementare (2025)