Art. 27 NIS 2 + §33 BSIG

Autoclasificarea in temeiul NIS 2: tacerea BSI nu este o aparare

Cele mai multe echipe de Mittelstand asteapta o scrisoare care nu va sosi niciodata. NIS 2 pune obligatia pe seama voastra de a stabili daca sunteti in domeniul de aplicare, iar ceasul ruleaza fie ca verificati, fie ca nu.

Simon OrzelSimon Orzel·

Cea mai scumpa conceptie gresita

Multe entitati de Mittelstand iau absenta unei scrisori de la BSI drept dovada ca nu sunt in domeniul de aplicare al NIS 2. Se inseala. Directiva si §33 BSIG pun obligatia de inregistrare pe seama entitatii, nu pe seama autoritatii.

Mecanismul este simplu. Art. 27(1) NIS 2 obliga statele membre sa creeze un registru al entitatilor esentiale si importante. §33(1) BSIG transpune acest lucru: entitatile se inregistreaza in termen de trei luni de la indeplinirea conditiilor. Termenul porneste cand indepliniti criteriile, nu cand va spune cineva.

In practica, acest lucru inseamna ca o firma de gestionare a deseurilor cu 70 de persoane din Anexa II poate fi in liniste in domeniul de aplicare timp de peste un an, acumuland amenzi in temeiul §65 BSIG si raspundere personala in temeiul §38 BSIG, pana cand cineva verifica in sfarsit anexa.

Unde se afla obligatia
Doua articole fac munca grea. Unul in directiva, unul in transpunerea germana.

Art. 27(1) NIS 2 (obligatia de registru)

Statele membre solicita entitatilor esentiale si importante sa transmita autoritatilor competente cel putin urmatoarele informatii: denumirea; adresa; date de contact actualizate; sectorul si subsectorul; lista statelor membre in care furnizeaza servicii.

Obligatia merge de la entitate catre autoritate, nu invers. Nu exista nicio prevedere in NIS 2 care sa ceara autoritatii sa identifice mai intai entitatile din domeniul de aplicare.

§33(1) BSIG (termen de 3 luni)

Wesentliche und wichtige Einrichtungen registrieren sich innerhalb von drei Monaten nach erstmaligem Eintritt der Voraussetzungen beim Bundesamt.

Trei luni din momentul in care entitatea indeplineste pentru prima data conditiile. Nu exista o perioada de asteptare pentru o scrisoare de la BSI. Ceasul ruleaza pe calendarul propriu al entitatii.

Art. 2 + Anexa I/II NIS 2 (sector + marime)

Prezenta directiva se aplica entitatilor publice sau private de un tip mentionat in Anexa I sau II care se incadreaza ca intreprinderi mijlocii in temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depasesc plafoanele pentru intreprinderile mijlocii.

Doua intrebari decid includerea in domeniul de aplicare: sunteti un tip din Anexa I sau II si sunteti cel putin de marime mijlocie (50+ angajati si fie >10 mil. EUR cifra de afaceri, fie >10 mil. EUR bilant). Plus suprascrierile 'indiferent de marime' pentru servicii de incredere, DNS, registre TLD, administratie publica, furnizori unici dintr-un stat membru.

Cum functioneaza autoclasificarea in practica
Trei verificari. Prima este sectoriala, a doua este marimea, a treia este suprascrierile.
Schritt 1

Verificati Anexa I si II in raport cu afacerea voastra

Anexa I cuprinde entitatile esentiale (energie, transport, banci, piata financiara, sanatate, apa potabila, ape uzate, infrastructura digitala, gestionarea serviciilor TIC, administratie publica, spatiu). Anexa II cuprinde entitatile importante (postal, deseuri, produse chimice, alimente, fabricatie, furnizori digitali, cercetare). Potriviti dupa activitatea reala, nu dupa forma juridica.

Schritt 2

Verificati marimea in raport cu definitia UE a IMM-urilor

Mijlocie: 50 pana la 249 de angajati SI (cifra de afaceri sau bilant peste 10 mil. EUR). Mare: 250+ angajati SAU cifra de afaceri peste 50 mil. EUR SAU bilant peste 43 mil. EUR. Folositi Recomandarea 2003/361/CE textual, numarati intreprinderile legate si partenere conform regulilor din recomandare.

Schritt 3

Verificati suprascrierile indiferent de marime

Furnizorul unic al unui serviciu intr-un stat membru, administratiile publice ale guvernului central, furnizorii de servicii DNS, registrele de nume TLD, prestatorii de servicii de incredere calificati intra in domeniul de aplicare indiferent de marime. De retinut: daca va incadrati in oricare dintre acestea, pragul de marime nu se aplica.

Ce se intampla cand sunteti descoperit tarziu
Doua centre de cost se deschid in acelasi timp: amenzi administrative si raspundere personala.

Amenda administrativa in temeiul §65 BSIG

Pana la 10 milioane de euro sau 2 la suta din cifra de afaceri anuala mondiala, oricare este mai mare, pentru entitatile esentiale. Pana la 7 milioane de euro sau 1,4 la suta pentru entitatile importante. Amenda se ataseaza entitatii. Incalcarea nu este doar intarzierea inregistrarii; este neconformitatea subiacenta cu obligatiile art. 21 si art. 23 acumulata in perioada de tacere.

Raspunderea personala a organului de conducere in temeiul §38 BSIG

Art. 20(1) NIS 2 transpus in §38 BSIG face organul de conducere responsabil de aprobarea si supravegherea masurilor de gestionare a riscurilor. Descoperirea tarzie nu este o aparare; organul ar fi trebuit sa se asigure ca s-a facut clasificarea.

Escaladarea competentei de supraveghere

Art. 32 NIS 2 permite autoritatii competente sa impuna obligatii, sa solicite audituri si, in cel mai rau caz, sa suspende operatiunile. Cei care intra tarziu tind sa atraga mai multa supraveghere, deoarece autoritatea trebuie sa verifice recuperarea.

Ce trebuie sa faceti acum
Trei pasi. Niciunul nu depinde de a auzi de la BSI.

Rulati verificarea de aplicabilitate astazi

Mapati activitatea voastra la Anexa I sau II, numarati angajatii si cifra de afaceri, parcurgeti suprascrierile indiferent de marime. Documentati rezultatul chiar daca este negativ. O analiza scrisa de tip 'nu in domeniul de aplicare' este singura aparare intr-un litigiu ulterior.

Daca sunteti in domeniul de aplicare, inregistrati-va in termen de trei luni

Prin portalul BSI in temeiul §33 BSIG. Necesita un certificat de organizatie ELSTER, care el insusi dureaza doua pana la trei saptamani. Incepeti mai intai cererea ELSTER daca termenul de inregistrare este strans.

Reluati verificarea anual

Anexele pot fi modificate (revizuirea din art. 6 NIS 2). Numarul de angajati si cifra de afaceri se schimba. O pozitie de tip 'nu in domeniul de aplicare' devine invechita. Programati o reverificare anuala.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), art. 2, art. 3, Anexa I, Anexa II, art. 27, www.eur-lex.europa.eu
  • Legea privind Oficiul Federal pentru Securitatea Informatiei (BSIG), §33, §38, §65, www.gesetze-im-internet.de
  • Recomandarea 2003/361/CE a Comisiei privind definitia microintreprinderilor si a intreprinderilor mici si mijlocii, www.eur-lex.europa.eu
  • Legea de implementare NIS-2 si de consolidare a securitatii cibernetice (NIS2UmsuCG)

Aceasta pagina ofera indrumare structurata pe baza unor surse disponibile public (Directiva NIS 2, BSIG, Recomandarea UE privind IMM-urile). Nu constituie consultanta juridica in sensul §2 RDG. Pentru cazuri specifice consultati un avocat admis in barou. La data de 2026-06-04.

Aflati astazi daca sunteti in domeniul de aplicare
Verificarea gratuita de aplicabilitate parcurge cei trei pasi, produce un rezultat scris si va spune care este termenul §33 BSIG in cazul vostru.