BSIG / NIS2UmsuCG

NIS2 în Germania

Germania a transpus Directiva NIS2 în legislația națională prin NIS2UmsuCG, reformând Legea federală privind securitatea cibernetică (BSIG). Toate obligațiile se aplică din 6 decembrie 2025.

Simon OrzelSimon Orzel·Laufend geprüft
Cronologie germană
DatăEveniment
27 dec. 2022Directiva NIS2 publicată în Jurnalul Oficial al UE L 333 (adoptată la 14 dec. 2022)
16 ian. 2023NIS2 intră în vigoare la nivelul UE
17 oct. 2024Termenul de transpunere la nivelul UE (Germania nu l-a respectat)
13 nov. 2025Bundestagul adoptă NIS2UmsuCG
21 nov. 2025Bundesratul aprobă
5 dec. 2025Publicată în Bundesgesetzblatt
6 dec. 2025Noua BSIG intră în vigoare, toate obligațiile se aplică imediat
6 ian. 2026Portalul de înregistrare al BSI devine operațional
6 mar. 2026Termenul pentru înregistrarea la BSI
~2028Operatori KRITIS: prima dovadă de conformitate este scadentă

Nu există perioadă de tranziție. Măsurile de gestionare a riscurilor, raportarea incidentelor și răspunderea conducerii s-au aplicat din ziua în care legea a intrat în vigoare.

Vezi cronologia completă NIS2
Categorii de entități
Germania folosește o terminologie diferită de cea a directivei UE. Aproximativ 29.500 de companii din Germania sunt vizate.
Termen UETermen germanAbreviere
Entitate esențialăBesonders wichtige EinrichtungbwE
Entitate importantăWichtige EinrichtungwE
Operator de infrastructură criticăBetreiber kritischer AnlagenKRITIS

Ierarhia: KRITIS ⊂ entități esențiale ⊂ toate entitățile NIS2. Operatorii KRITIS sunt clasificați automat ca entități esențiale.

Sancțiuni

După categoria entității
CategorieAmendă maximăAlternativă bazată pe cifra de afaceri
Entități esențiale10.000.000 EUR2% din cifra de afaceri anuală mondială a grupului
Entități importante7.000.000 EUR1,4% din cifra de afaceri anuală mondială a grupului
După tipul încălcării
ÎncălcareAmendă maximă
Neimplementarea măsurilor de securitate cibernetică (§30)10 mil. EUR / 7 mil. EUR
Neraportarea incidentelor (§32)10 mil. EUR / 7 mil. EUR
Neconformarea cu directivele BSI10 mil. EUR / 7 mil. EUR
KRITIS: deficiență în raportarea componentelor critice5.000.000 EUR
KRITIS: deficiență în procedurile de dovedire a auditului2.000.000 EUR
Încălcări de înregistrare, neînștiințarea BSI500.000 EUR
Obstrucționarea inspecțiilor BSI500.000 EUR
Deficiențe în accesibilitatea de contact100.000 EUR
Răspunderea conducerii (§38 BSIG)
Una dintre cele mai consecvente dispoziții ale implementării germane. Organele de conducere răspund personal pentru conformitatea în materie de securitate cibernetică.

Trei obligații fundamentale

Aprobare (Billigung)

Conducerea trebuie să aprobe formal măsurile de gestionare a riscurilor de securitate cibernetică conform §30 BSIG.

Supraveghere (Überwachung)

Monitorizarea activă a implementării, nu o simplă cunoaștere pasivă. Conducerea trebuie să verifice că măsurile sunt efectiv implementate.

Instruire (Schulung)

Participarea personală obligatorie la instruire în securitate cibernetică cel puțin o dată la 3 ani. Această obligație nu poate fi delegată.

Conducătorii răspund personal față de propria companie atunci când încalcă din culpă aceste obligații. Delegarea sarcinilor operaționale este permisă, însă responsabilitatea strategică și supravegherea rămân la nivelul conducerii. Conducerea nu poate invoca lipsa cunoștințelor tehnice drept apărare.

§38 BSIG interzice explicit renunțările contractuale la răspundere din partea asociaților care sunt disproporționate față de incertitudinea existentă privind drepturile.

Înregistrarea la BSI
Toate entitățile clasificate ca esențiale sau importante trebuie să se înregistreze la BSI.

Termen: 6 martie 2026 (la 3 luni după intrarea în vigoare a BSIG).

Înregistrarea folosește un proces în doi pași: mai întâi se creează un cont prin Mein Unternehmenskonto (MUK/ELSTER), apoi se face înregistrarea prin portalul BSI (operațional din 6 ianuarie 2026).

Înregistrarea este o obligație de autoidentificare, fără o înștiințare din partea BSI. Companiile trebuie să stabilească singure dacă intră în domeniul de aplicare. BSI poate, de asemenea, dispune ca o companie să se înregistreze dacă stabilește că aceasta intră în domeniul de aplicare.

Modelul de supraveghere
AspectEsențialăImportantă
SupraveghereProactivă (ex-ante), BSI poate audita oricândReactivă (ex-post), doar la dovada neconformității
Amendă maximă10 mil. EUR sau 2% din cifra de afaceri globală7 mil. EUR sau 1,4% din cifra de afaceri globală
Cerințe de auditControale punctuale bazate pe risc, realizate de BSIDoar la suspiciune justificată
Ciclu de audit KRITISLa fiecare 3 ani (dacă este operator KRITIS)Nu se aplică