Ați ratat termenul de înregistrare la BSI. Și acum?
Aproximativ 18.000 de firme germane au ratat termenul de înregistrare prevăzut de §33 BSIG. Portalul BSI este încă deschis. Iată ce contează acum și ce se întâmplă de fapt dacă acționați rapid.
Răspunsul pe scurt
Fără panică. Nu sunteți singur și nu este prea târziu să remediați situația. BSI a estimat că aproximativ 30.000 de entități intră sub incidența NIS2 în Germania. Termenul de înregistrare a expirat pe 6 martie 2026, dar un număr semnificativ de firme tot nu s-au înregistrat. Sunteți departe de a fi singurul în această situație.
Portalul de înregistrare prevăzut de §33 BSIG este în continuare deschis. Vă puteți înregistra astăzi. BSI a semnalat că va prioritiza aplicarea legii împotriva firmelor care își ignoră complet obligațiile, nu împotriva celor care s-au înregistrat cu întârziere, dar acționează cu bună-credință. Mai târziu este mai bine decât niciodată, iar varianta cu adevărat periculoasă este: niciodată.
Esențial este să acționați acum, să documentați faptul că ați început și să demarați munca efectivă de conformitate. O înregistrare întârziată însoțită de progres vizibil arată fundamental diferit pentru un reglementator față de absența totală a înregistrării.
1. Confirmați că intrați efectiv în domeniul de aplicare
Înainte de a vă înregistra, verificați dacă NIS2 se aplică firmei dumneavoastră. Criteriile se află în §28 BSIG: trebuie să operați într-unul dintre cele 18 sectoare enumerate ȘI să atingeți pragul de mărime (50 sau mai mulți angajați sau o cifră de afaceri anuală de cel puțin 10 milioane EUR). Dacă nu sunteți sigur, consultați listele de sectoare ale BSI din Anexa I și Anexa II la Directiva NIS2. Multe firme presupun că sunt în afara domeniului de aplicare când, de fapt, nu sunt, și invers. Dacă sunteți cu adevărat nesigur, obțineți o opinie juridică înainte de înregistrare, dar nu folosiți incertitudinea ca scuză pentru a amâna.
2. Înregistrați-vă imediat prin portalul BSI
Accesați portalul de înregistrare NIS2 al BSI și finalizați înregistrarea în temeiul §33 BSIG. Veți avea nevoie de: datele firmei, clasificarea sectorială, persoana de contact pentru aspecte de securitate cibernetică și intervalele de adrese IP ale sistemelor critice. Înregistrarea propriu-zisă durează aproximativ 30 de minute dacă aveți informațiile pregătite. Faceți acest lucru astăzi. Fiecare zi de așteptare lărgește diferența dintre termenul-limită și data înregistrării.
3. Documentați faptul că ați început
Creați o evidență scrisă, fie și o simplă notă internă, care să documenteze momentul în care ați luat cunoștință de obligațiile NIS2, când v-ați înregistrat și ce pași întreprindeți. Aceasta creează o pistă documentară care demonstrează buna-credință. Dacă BSI întreabă vreodată de ce ați întârziat, formularea „am identificat obligația, ne-am înregistrat imediat și am început munca de conformitate la [data]” este un răspuns solid.
4. Începeți munca efectivă de conformitate
Înregistrarea este doar primul pas. §30 BSIG vă cere să implementați măsuri de management al riscurilor de securitate cibernetică. Începeți cu fundamentele: inventarul activelor, metodologia de evaluare a riscurilor și procedurile de raportare a incidentelor. Nu trebuie să fiți pe deplin conform peste noapte, dar trebuie să lucrați vizibil în această direcție. BSI va privi traiectoria, nu doar starea actuală.
5. Luați în calcul consultanța juridică dacă domeniul de aplicare este neclar
Dacă firma dumneavoastră se află aproape de prag (în jur de 50 de angajați sau 10 milioane EUR cifră de afaceri), operează într-un sector care poate fi interpretat în mai multe feluri sau are o structură corporativă complexă, consultați un avocat specializat în reglementarea IT. Costul unei opinii juridice (2.000 până la 5.000 EUR) este nesemnificativ în comparație cu costul fie al neconformității, fie al unei conformități inutile. Unele asociații sectoriale (precum Bitkom sau BDI) oferă, de asemenea, îndrumare privind domeniul de aplicare NIS2 pentru membri.
Care sunt riscurile reale ale înregistrării întârziate?
Onestitatea privind riscurile vă ajută să luați decizii proporționale. Consecințele sunt reale, dar nu catastrofale, dacă acționați acum.
Amenzi administrative
§65 BSIG prevede amenzi de până la 500.000 EUR special pentru încălcările privind înregistrarea. În practică, BSI are o capacitate limitată de aplicare a legii și se concentrează pe aducerea firmelor în sistem, nu pe sancționarea întârziaților. O firmă care se înregistrează cu întârziere și demonstrează eforturi active de conformitate este puțin probabil să se confrunte cu sancțiunea maximă. O firmă care nu se înregistrează niciodată este o altă poveste.
Ordine de conformare
BSI poate emite ordine obligatorii de conformare prin care vă impune să vă înregistrați și să implementați măsuri specifice într-un termen stabilit. Nerespectarea unui astfel de ordin escaladează semnificativ situația juridică. Înregistrarea proactivă, chiar și întârziată, evită complet această cale de escaladare.
Răspunderea personală a conducerii
§38 BSIG face Geschäftsführung răspunzătoare personal pentru asigurarea conformității NIS2. Dacă firma dumneavoastră intră în domeniul de aplicare și dumneavoastră, ca membru al conducerii, ați întârziat cu bună știință înregistrarea, acest lucru creează o expunere personală. Răspunderea nu poate fi exclusă prin hotărâre a asociaților. Documentarea faptului că ați acționat de îndată ce ați luat cunoștință reprezintă o protecție importantă.
Scrutin sporit la auditurile viitoare
Pentru entitățile esențiale, BSI efectuează audituri periodice. O înregistrare întârziată va fi vizibilă în cronologia conformității dumneavoastră. Totuși, un proces de recuperare bine documentat, care arată o îmbunătățire sistematică, este privit foarte diferit față de un tipar de neglijență. Auditorii evaluează traiectoria, nu doar punctul de plecare.
Decalajul de înregistrare NIS2 nu este cauzat în principal de neglijență. Procesul legislativ german a fost amânat în mod repetat. NIS2UmsuCG a fost adoptată la luni după termenul inițial de transpunere stabilit la nivel UE. Multe firme au așteptat în mod rezonabil finalizarea legii germane înainte de a acționa. Altele nu erau conștiente că intră în domeniul de aplicare, întrucât definițiile sectoarelor s-au extins dramatic față de vechiul regim KRITIS.
BSI însuși a recunoscut public amploarea decalajului de înregistrare. Agenția a adoptat o poziție pragmatică: prioritatea este înregistrarea tuturor celor 30.000 de entități și aducerea lor în sistemul de conformitate, nu sancționarea primului val de înregistrări întârziate. Acest pragmatism are limite: se aplică firmelor care lucrează activ pentru conformitate, nu celor care folosesc răbdarea BSI ca scuză pentru a nu face nimic.
Întrebări frecvente
Portalul de înregistrare al BSI este încă deschis?
Da. Portalul de înregistrare prevăzut de §33 BSIG rămâne deschis. Nu există un termen după care nu vă mai puteți înregistra. Obligația este continuă. Termenul indica momentul în care ar fi trebuit să vă înregistrați, nu momentul în care ați putut. Înregistrați-vă acum.
Care este amenda pentru înregistrarea întârziată?
§65 BSIG prevede amenzi de până la 500.000 EUR pentru încălcările privind înregistrarea. Totuși, amenzile se evaluează de la caz la caz, ținând cont de gravitate, durată și dacă firma a acționat cu bună-credință. O firmă care se înregistrează cu câteva luni întârziere și arată eforturi active de conformitate are un profil de risc foarte diferit față de una care ignoră complet obligația.
Înregistrarea întârziată afectează celelalte obligații NIS2?
Nu. Obligațiile dumneavoastră în temeiul §30 BSIG (măsuri de securitate cibernetică), §32 (raportarea incidentelor) și §38 (răspunderea conducerii) există independent de faptul dacă v-ați înregistrat. Înregistrarea nu creează obligațiile, ci o îndeplinește pe una dintre ele. Celelalte obligații se aplică din momentul în care îndepliniți criteriile de domeniu de aplicare, indiferent de statutul înregistrării.
Mă pot înregistra dacă nu sunt sigur că intrăm în domeniul de aplicare?
Da, iar BSI recomandă să greșiți în direcția înregistrării dacă sunteți nesigur. Înregistrarea atunci când se dovedește că sunteți în afara domeniului de aplicare nu are consecințe negative. Înregistrarea poate fi corectată. Neînregistrarea atunci când intrați în domeniul de aplicare comportă un risc juridic real. La îndoială, înregistrați-vă.
Ce se întâmplă dacă ne-am înregistrat, dar nu am început munca de conformitate?
Înregistrarea fără munca de conformitate este ca depunerea unei declarații fiscale fără plata impozitului: ați îndeplinit o obligație, dar nu și pe cele de fond. Începeți acum cu măsurile prevăzute de §30 BSIG: inventarul activelor, evaluarea riscurilor, procedurile de raportare a incidentelor. BSI se așteaptă ca entitățile înregistrate să lucreze activ pentru conformitate, nu doar să stea pe un număr de înregistrare.
- BSI, statistici privind înregistrarea NIS2 și declarații publice privind abordarea aplicării legii (2025)
- G DATA CyberDefense, sondaj de conștientizare NIS2: 44% dintre firmele de pe piața de mijloc nu cunosc obligațiile (2024)
- BSIG, §33 (obligația de înregistrare), §65 (amenzi administrative), §38 (răspunderea conducerii)
- NIS2UmsuCG, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI, documentație parlamentară și îndrumări privind implementarea NIS2UmsuCG