Art. 41 NIS 2 + NIS2UmsuCG

NIS2UmsuCG: legea germană de transpunere a NIS 2

NIS 2 este o directivă UE. Articolul 41 a impus fiecărui stat membru să o scrie în legislația națională până la 17 octombrie 2024. Germania a ratat acel termen. NIS2UmsuCG a fost adoptată în cele din urmă și a introdus obligațiile într-un BSIG modificat. Directiva rămâne sursa.

Simon OrzelSimon Orzel·

Pe scurt

NIS 2 este o directivă, nu un regulament. Directivele obligă statele membre la un rezultat. Fiecare țară trebuie să își scrie propria lege națională care atinge acel rezultat. NIS 2 stabilește un singur standard la nivelul UE pentru obligațiile de securitate cibernetică, în 27 de legi de transpunere.

Legea de transpunere a Germaniei se numește NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Nu există ca o lucrare de sine stătătoare. Este o lege de modificare care rescrie BSI-Gesetz (BSIG). Când practicienii germani spun „BSIG” astăzi, ei se referă la BSIG astfel cum a fost modificat prin NIS2UmsuCG.

Germania a ratat termenul de 17 octombrie 2024 stabilit de Articolul 41 NIS 2. NIS2UmsuCG a fost adoptată ulterior. La mijlocul lui 2026, legea este în vigoare. Obligațiile entităților esențiale și importante se află în BSIG modificat.

Sursa juridică
Trei niveluri. Directiva (legislație UE, stabilește standardul). Obligația de transpunere (Articolul 41 NIS 2, le impune statelor membre să acționeze). Transpunerea propriu-zisă (NIS2UmsuCG → BSIG modificat).

Directiva NIS 2 (UE) 2022/2555

Prezenta directivă stabilește măsuri care vizează atingerea unui nivel comun ridicat de securitate cibernetică în întreaga Uniune.

NIS 2 este o directivă. A fost adoptată la 14 decembrie 2022 și a intrat în vigoare la 16 ianuarie 2023. Obligă fiecare stat membru la același standard. Substanța fiecărei legi naționale NIS 2 din UE provine din acest text.

Articolul 41(1) NIS 2

Până la 17 octombrie 2024, statele membre adoptă și publică măsurile necesare pentru a se conforma prezentei directive. Ele informează imediat Comisia cu privire la aceasta. Ele aplică măsurile respective începând cu 18 octombrie 2024.

Articolul 41 este clauza de transpunere. A stabilit două date. Legile naționale trebuiau să fie adoptate până la 17 octombrie 2024. Obligațiile trebuiau să se aplice începând cu 18 octombrie 2024. Germania le-a ratat pe amândouă. Comisia a deschis proceduri de constatare a neîndeplinirii obligațiilor împotriva statelor membre care au transpus cu întârziere, în noiembrie 2024.

NIS2UmsuCG → BSIG modificat (Germania)

NIS2UmsuCG modifică BSI-Gesetz pentru a implementa Directiva (UE) 2022/2555.

NIS2UmsuCG este legea germană de modificare. Rescrie BSIG. BSIG modificat este ceea ce un auditor sau BSI vă vor cere în Germania. Formularea urmează îndeaproape directiva, uneori cuvânt cu cuvânt.

Cele șase secțiuni BSIG care contează cu adevărat
BSIG modificat are multe secțiuni. Șase dintre ele poartă obligațiile pe care fiecare entitate esențială sau importantă trebuie să le cunoască. Fiecare transpune un articol NIS 2 specific.
§28 + §30 BSIG

Domeniul de aplicare și cele zece măsuri

§28 BSIG stabilește cine intră în domeniul de aplicare: entitățile „deosebit de importante” și „importante”, evaluate după sector (Anexa I și II la NIS 2) și mărime (cel puțin 50 de angajați sau peste 10 milioane EUR cifră de afaceri, cu excepții). §30 BSIG enumeră cele zece măsuri de securitate cibernetică pe care fiecare entitate vizată trebuie să le pună în practică. §30 transpune Articolul 21(2) al directivei.

§32 + §33 BSIG

Raportarea incidentelor și înregistrarea

§32 BSIG stabilește cascada de raportare a incidentelor: 24 de ore pentru o avertizare timpurie, 72 de ore pentru o notificare a incidentului, o lună pentru un raport final. Transpune Articolul 23. §33 BSIG impune înregistrarea la BSI. Termenul de înregistrare a fost 6 martie 2026. §33 transpune Articolul 27.

§38 + §65 BSIG

Organul de conducere și amenzile

§38 BSIG trage la răspundere personală organul de conducere pentru conformitate și impune instruire regulată. Transpune Articolul 20. §65 BSIG stabilește pragurile amenzilor: până la 10 milioane EUR sau 2% din cifra de afaceri globală pentru entitățile deosebit de importante, până la 7 milioane EUR sau 1,4% pentru entitățile importante. §65 transpune Articolul 34.

Două reguli pentru a citi cele două texte împreună
Când directiva și BSIG se află una lângă alta, două principii vă spun care prevalează și cum să le citiți.

NIS 2 este sursa; BSIG o copiază

Substanța fiecărei obligații provine din directivă. NIS2UmsuCG copiază Articolul 21 în §30 BSIG aproape cuvânt cu cuvânt. Același lucru este valabil pentru Articolele 20, 23, 27 și 34. Dacă vreți să știți ce înseamnă o obligație, citiți mai întâi directiva. Citiți secțiunea BSIG pentru mecanica specifică germană (care autoritate, care portal, care prag de amenzi).

Acolo unde diferă, prevalează directiva

Dacă formularea BSIG diverge de la directivă și diferența contează, prevalează directiva. Acesta este un principiu general al dreptului UE: un stat membru nu poate implementa insuficient o directivă scriind un text național mai blând. Instanțele naționale citesc legislația națională în lumina directivei. Autoritățile naționale nu pot aplica legea împotriva directivei.

Germania alături de celelalte 26 de transpuneri
Fiecare stat membru are propria lege de transpunere a NIS 2. A Germaniei este NIS2UmsuCG. Obligațiile sunt aceleași, deoarece directiva stabilește standardul. Formularea, termenele și agenția cu care vorbiți diferă.
Germania

NIS2UmsuCG → BSIG, supravegheată de BSI

NIS2UmsuCG modifică BSIG. Bundesamt für Sicherheit in der Informationstechnik (BSI) este autoritatea națională competentă. Înregistrarea se face prin portalul BSI. BSI publică, de asemenea, Infopakete și indică IT-Grundschutz drept calea practică spre implementare.

La nivelul UE

Monitorul de transpunere al ENISA

ENISA, agenția UE pentru securitate cibernetică, publică o prezentare a stării transpunerii. Aceasta arată ce state membre au transpus, care sunt în întârziere și care sunt încă în proces legislativ. Folosiți-o pentru a verifica starea oricărei legi naționale NIS 2, nu doar a celei germane.

Alte state membre

Legi de transpunere echivalente

Țările de Jos: Cyberbeveiligingswet. Austria: NISG. Franța: ordonnance n° 2024-1184. Belgia: NIS2-Wet. Fiecare dintre acestea transpune aceeași directivă în limba și stilul juridic național. O obligație din §30 BSIG are un corespondent exact în fiecare dintre aceste legi. Formularea diferă; obligația este aceeași.

Trei capcane pe care le vedem tot timpul
Trei interpretări greșite ale relației dintre directivă și transpunere care apar în apelurile de pregătire pentru audit. Toate trei duc la lacune.

  • Directiva nu mă obligă pe mine, doar BSIG o face.

    Obligațiile funcționează prin BSIG, da. Dar BSIG se citește în lumina directivei. Dacă o autoritate națională sau o instanță interpretează o clauză BSIG ambiguă, se uită la directivă. Pentru chestiuni la nivelul UE (contracte transfrontaliere cu furnizorii, politica de risc în mai multe jurisdicții) directiva este referința corectă. BSIG este implementarea germană, nu un cod închis, de sine stătător.

  • Așteptăm ca legea să fie în vigoare înainte de a ne conforma.

    Directiva s-a aplicat începând cu 18 octombrie 2024. Transpunerea întârziată a Germaniei nu v-a amânat obligația de fond. Asigurătorii cibernetici, clienții mari și organismele de audit au început să ceară dovezi NIS 2 în 2025, înainte ca NIS2UmsuCG să fie adoptată. Odată ce BSIG a fost modificat, obligațiile au devenit direct executorii. Transpunerea întârziată a scurtat termenul, nu l-a prelungit.

  • NIS2UmsuCG este o lege germană unică.

    Fiecare stat membru are o transpunere echivalentă. Obligațiile sunt aceleași. Doar formularea, agenția de supraveghere și pragul de amenzi diferă. Dacă operați în trei țări UE, nu aveți nevoie de trei cadre de risc. Aveți nevoie de un singur cadru care să satisfacă directiva și de trei anexe naționale scurte pentru mecanica locală (care portal, ce format de termen, care autoritate).

Cum să citiți de fapt cele două texte

Majoritatea operatorilor din Mittelstand ar trebui să le citească pe amândouă. Directiva pentru substanță. BSIG pentru detaliile procedurale. Citiți Articolul 21 NIS 2 pentru ce înseamnă managementul riscului. Citiți §30 BSIG pentru modul în care Germania îl formulează și care orientări BSI se aplică. Cele două împreună vă spun ce datorați.

Pentru operațiunile în mai multe țări, directiva este textul de lucru. Construiți-vă registrul de riscuri, planul de răspuns la incidente și contractele cu furnizorii pe baza directivei. Apoi păstrați o anexă națională scurtă pentru fiecare țară: la ce autoritate vă înregistrați, prin ce portal raportați, care prag de amenzi se aplică. Astfel păstrați un singur cadru de fond cu învelișuri naționale subțiri, în loc de 27 paralele.

Cum gestionăm acest lucru pe platformă

Cartografiem directiva și BSIG în paralel. Fiecare cerință de pe platformă arată articolul NIS 2 pe care îl transpune, alături de secțiunea §30 / §32 / §33 / §38 BSIG care o operaționalizează în Germania. Aceeași obligație, două citiri. Citiți nivelul care corespunde cu ceea ce faceți chiar acum.

Dacă operați în mai mult de o țară UE, perspectiva directivei rămâne constantă. Învelișul național (care autoritate, care portal, care prag de amenzi) se schimbă de la o țară la alta. Extindem același model la alte state membre (NL, AT, FR) pe măsură ce adăugăm conținut național.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), Articolul 41 (transpunere). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestag-Drucksache și Bundesgesetzblatt
  • BSI-Gesetz (BSIG), §§28, 30, 32, 33, 38, 65 astfel cum a fost modificat prin NIS2UmsuCG
  • Pachetul Comisiei Europene din noiembrie 2024 privind constatarea neîndeplinirii obligațiilor, scrisori de punere în întârziere pentru transpunerea cu întârziere a NIS 2
  • Prezentarea ENISA a stării transpunerii NIS 2
Rulați NIS 2 și BSIG în paralel
Fiecare cerință de pe platformă arată articolul directivei și secțiunea BSIG. Gratuit, open source, fără lock-in.
Deschideți platforma gratuită