NIS2 jest już prawem. Cyberbezpieczeństwo staje się odpowiedzialnością kierownictwa.
Około 29 500 przedsiębiorstw w Niemczech jest bezpośrednio zobowiązanych od 6. Dezember 2025 – bez okresu przejściowego. Zgodnie z § 38 BSIG (niemieckiej ustawy o Federalnym Urzędzie ds. Bezpieczeństwa Informacji) kierownictwo ponosi osobistą odpowiedzialność. Doprowadzamy Państwa do stanu gotowości do kontroli i audytu, zanim pojawi się pierwsze zapytanie BSI, pierwszy incydent lub pierwszy audytor zapuka do Państwa drzwi.
Cyberbezpieczeństwo jako odpowiedzialność kierownictwa
§ 38 BSIG wymaga, aby najwyższe kierownictwo osobiście zatwierdzało i nadzorowało środki zarządzania ryzykiem w cyberbezpieczeństwie – tego nie można delegować.
Obowiązki stosuje się od 6. Dezember 2025
Ustawowy termin rejestracji (6 marca 2026 r.) minął. BSI wyznaczyło ostateczny okres karencji do 31. Juli 2026 – po jego upływie mogą zostać nałożone sankcje za brak zgodności.
Do 10 mln € lub 2% obrotu
Dla podmiotów kluczowych; podmiotom ważnym grozi do 7 mln € lub 1,4% globalnego rocznego obrotu.
BSI wyznacza ostateczny termin: zarejestruj się do NIS2 do 31. Juli 2026
Ustawowy termin rejestracji (6. März 2026) już minął. BSI (niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji) przyznał ostatni okres przejściowy do 31. Juli 2026 – po jego upływie mogą zostać nałożone kary w wysokości do 500.000 Euro. Jeszcze się nie zarejestrowałeś? Wspieramy terminową rejestrację oraz przygotowanie do wymagań NIS2.
Podstawy
NIS2 to już nie tylko temat IT.
To temat dla zarządu, kierownictwa i rady nadzorczej. Kto nie zarządza aktywnie ryzykiem, ponosi osobistą odpowiedzialność.
Dyrektywa NIS2 (UE) 2022/2555 oraz niemiecka ustawa wdrażająca (NIS2UmsuCG) zasadniczo reformują ustawę o BSI. Liczba regulowanych organizacji wzrasta z około 4 500 do mniej więcej 29 500 – a miękkie zalecenia stają się twardymi obowiązkami zabezpieczonymi sankcjami za brak zgodności.
-
Zasięg
-
18 sektorów zamiast dotychczasowych mniej więcej dziesięciu. To, co było tematem infrastruktury krytycznej, staje się tematem ogólnogospodarczym, który po raz pierwszy w pełni obejmuje sektor MŚP.
-
Odpowiedzialność
-
Cyberbezpieczeństwo to odpowiedzialność zarządu i najwyższego kierownictwa – prawnie zakotwiczona w § 38 BSIG, a nie jedynie kulturowe dążenie.
-
Sankcje
-
Zakresy kar pieniężnych na poziomie RODO, do tego osobista odpowiedzialność najwyższego kierownictwa.
-
Szybkość
-
Wczesne ostrzeżenie w ciągu 24 godzin przy istotnych incydentach, zgłoszenie w ciągu 72 godzin oraz raport końcowy po jednym miesiącu – obowiązek zgłaszania incydentów w określonych ramach czasowych.
Podstawowe obowiązki zgodnie z § 30 BSIG
Muszą Państwo nie tylko wdrożyć te środki, ale też być w stanie wykazać zgodność z wymaganiami NIS2 w każdej chwili.
- Analiza ryzyka i koncepcja bezpieczeństwa – Nie jednorazowy dokument, lecz żywy proces z wersjonowaniem, przeglądami i akceptacją najwyższego kierownictwa.
- Reagowanie na incydenty bezpieczeństwa – Ze ścieżkami eskalacji, jasno określonymi rolami i wielopoziomowym łańcuchem zgłaszania do BSI.
- Planowanie ciągłości działania i zarządzanie kryzysowe – Strategia tworzenia kopii zapasowych, przetestowane czasy odtwarzania oraz zespół kryzysowy, który działa nawet bez poczty e-mail.
- Zarządzanie ryzykiem bezpieczeństwa w łańcuchu dostaw – Państwa odpowiedzialność nie kończy się przy bramie zakładu: usługodawców należy oceniać i nimi zarządzać.
- Bezpieczeństwo w zamówieniach, rozwoju i utrzymaniu – Security by design nie jest już opcjonalne, lecz podlega wymogom dokumentacji.
- Przegląd skuteczności – Muszą Państwo być w stanie mierzyć, czy środki rzeczywiście działają – a nie jedynie, że istnieją.
- Podstawowa higiena cybernetyczna i szkolenia – Dla wszystkich pracowników, regularnie i udokumentowane.
- Kryptografia i szyfrowanie – Z udokumentowanymi procesami zarządzania kluczami.
- Bezpieczeństwo zasobów ludzkich, kontrola dostępu i zarządzanie aktywami – W sposób wykazywalny uregulowane, a nie jedynie pozostawione „IT do załatwienia”.
- Uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja – Nie podlega negocjacjom w przypadku dostępu uprzywilejowanego.
Obowiązki kierownictwa zgodnie z § 38 BSIG: Zatwierdzanie środków, nadzorowanie ich wdrażania oraz odbywanie regularnych obowiązkowych szkoleń dla poziomu kierowniczego.
Sektory objęte regulacją
Jeśli w jednym z 18 sektorów zatrudniają Państwo co najmniej 50 pracowników lub osiągają obrót powyżej 10 mln €, pytanie nie brzmi już „czy”, lecz „w której kategorii”.
Energetyka
Energia elektryczna, gaz, ropa, ciepło, wodór
Transport
Lotniczy, kolejowy, wodny, drogowy
Bankowość
Instytucje kredytowe
Rynki finansowe
Systemy i infrastruktury obrotu
Ochrona zdrowia
Szpitale, laboratoria, producenci
Woda pitna
Zaopatrzenie w wodę
Ścieki
Odbiór i usuwanie
Infrastruktura cyfrowa
IXP, DNS, chmura, centra danych
Usługi ICT
Zarządzane usługi (bezpieczeństwa) B2B
Administracja publiczna
Organy federalne i krajowe
Przestrzeń kosmiczna
Operatorzy infrastruktury naziemnej
Poczta i kurierzy
Usługi pocztowe i doręczeniowe
Odpady
Gospodarka odpadami
Chemia
Produkcja i handel
Żywność
Produkcja, przetwórstwo, dystrybucja
Przemysł
Przemysł wytwórczy
Dostawcy cyfrowi
Platformy handlowe, wyszukiwarki, sieci społecznościowe
Badania naukowe
Instytucje badawcze
Państwa klasyfikacja decyduje o tym, które obowiązki mają zastosowanie.
Wyjaśnij swój status w rozmowieSprawdzenie statusu NIS2
Gdzie Państwo dziś się znajdują – objęci regulacją, zarejestrowani, gotowi do wdrożenia, odporni na audyt? W ciągu zaledwie kilku minut sprawdzenie statusu DLAU wyjaśnia, gdzie leżą Państwa największe luki i jakie ryzyko realnie stanowiłby audyt BSI lub incydent.
Nota prawna (disclaimer)
Szybkie sprawdzenie NIS2 nie stanowi porady prawnej i nie jest wiążące prawnie. Służy wyłącznie jako niewiążąca wstępna ocena i nie zastępuje indywidualnej analizy prawnej, organizacyjnej ani technicznej. Z wyników nie można wywodzić żadnych roszczeń ani obowiązków. Odpowiedzialność za zgodność z NIS2 spoczywa wyłącznie na danym przedsiębiorstwie.
Od stanu obecnego do pozycji odpornej na kontrolę
Doprowadzamy Państwa do stanu odpornego na kontrolę.
Większość przedsiębiorstw, z którymi rozmawiamy w 2026 r., nie jest w fazie przygotowań – nadrabiają zaległości. Właśnie do tego stworzone jest nasze podejście: priorytetyzowane, solidne, sprawdzone pod kątem audytu i inspekcji nadzoru. Opieramy się na strukturach, które wytrzymują pod presją.
Analiza organizacyjna, ocena obowiązków NIS2 i analiza luk
Bezkompromisowa inwentaryzacja: co jest wdrożone, czego brakuje i co zawiodłoby w sytuacji awaryjnej?
- Pełna inwentaryzacja
- Priorytetyzowana lista środków
- Mapa ryzyka
Rejestracja w BSI i wymagane wdrożenie
Rejestrujemy Państwa i wyposażamy w minimalne dowody, które BSI będzie chciało zobaczyć w sytuacji awaryjnej.
- Rejestracja przez punkt zgłoszeniowy BSI
- Wyznaczenie punktu kontaktowego
- Dokumentacja dowodów zgodności
Rozwój ISMS i specyfika NIS2
Rdzeń zorientowany na ISO 27001 plus specyficzne dla NIS2 uzupełnienia z BSIG.
- Rdzeń ISMS zgodny z ISO 27001
- Katalog środków z § 30
- Łańcuch zgłaszania z § 32 i obowiązki z § 38
Gotowość na incydenty i raportowanie w określonych ramach czasowych
Kto ćwiczy łańcuch zgłaszania dopiero podczas incydentu, już przegrał. Budujemy go, ćwiczymy i dokumentujemy.
- Łańcuch zgłaszania do BSI (24h/72h/1 miesiąc)
- Ćwiczenia awaryjne
- Dokumentacja gotowa do audytu
Bezpieczeństwo łańcucha dostaw
Najbardziej niedoceniana dźwignia – i najczęstsze ustalenie w audytach BSI.
- Ocena usługodawców
- Klauzule umowne
- Audyty dostawców
Szkolenia kierownictwa i świadomość ryzyka
§ 38 BSIG wymaga wykazywalnych szkoleń. Prowadzimy je na poziomie kierowniczym – z jasnością potrzebną do decyzji.
- Szkolenia zgodne z § 38
- Odprawy kierownictwa
- Dokumentacja dowodów
Dlaczego DLAU do wdrożenia Państwa NIS2?
Nie jesteśmy generalistami
Naszym rdzeniem jest architektura ISMS oparta na BSI IT-Grundschutz i ISO 27001, wraz z niemieckim krajobrazem zgodności: NIS2, KRITIS, DORA i IT-Grundschutz.
Budujemy rzeczy, które przetrwają
Nasze koncepcje działają nawet wtedy, gdy główna osoba kontaktowa odchodzi lub gdy uderza pierwszy incydent. Niezależne od osób, solidne w dokumentacji, stabilne w audycie.
Rozmawiamy z najwyższym kierownictwem
Przekładamy ryzyko na euro, środki na kwartały, a zgodność na dokumenty zarządu – tak, aby Państwa kierownictwo mogło aktywnie wypełnić swoje obowiązki wynikające z § 38 BSIG.
Zostajemy, gdy certyfikat wisi już na ścianie
Zgodność to proces, a nie projekt. Wspieramy Państwa operacyjnie – z cyklicznymi audytami i dostosowaniem do nowych regulacji BSI.
Droga do pozycji odpornej na kontrolę
Pozycja odporna na kontrolę w trzech fazach
Nikt nie staje się w pełni zgodny z NIS2 w dwanaście tygodni. Ale w dwanaście tygodni ostre ryzyko odpowiedzialności można przekształcić w uporządkowany, udokumentowany i odporny na kontrolę stan.
Obraz sytuacji
Inwentaryzacja, analiza luk, status rejestracji w BSI oraz priorytetyzacja środków. Na koniec wiedzą Państwo dokładnie, gdzie się znajdują, co oznaczałby dziś audyt i które pięć środków daje największą dźwignię redukcji ryzyka.
Stabilizacja
Budowa niepodlegających negocjacjom struktur minimalnych: rdzeń ISMS, łańcuch zgłaszania, zarządzanie awaryjne, nadzór nad łańcuchem dostaw oraz konfiguracja kierownictwa. Cel: odporność na audyt i gotowość reagowania na incydenty.
Dojrzałość i dowody
Przeglądy skuteczności, audyty wewnętrzne, wsparcie w certyfikacji (ISO 27001 / BSI IT-Grundschutz) oraz ciągłe dostosowanie do nowych regulacji BSI i sektorowych wymagań minimalnych.
Najczęściej zadawane pytania
NIS2 w skrócie
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (UE) 2022/2555 to ogólnounijna dyrektywa dotycząca cyberbezpieczeństwa, która wzmacnia ochronę infrastruktury krytycznej i podmiotów ważnych. W Niemczech jest transponowana przez ustawę wdrażającą NIS2 (NIS2UmsuCG), która reformuje ustawę o BSI.
Kogo dotyczy NIS2?
NIS2 dotyczy przedsiębiorstw i organizacji z 18 sektorów – w tym energetyki, transportu, ochrony zdrowia, infrastruktury cyfrowej, finansów i administracji publicznej. Co do zasady objęte są podmioty zatrudniające co najmniej 50 pracowników lub o obrocie powyżej 10 mln €; są one klasyfikowane jako podmioty kluczowe lub ważne.
Jakie kary grożą za nieprzestrzeganie?
Podmiotom kluczowym grożą kary pieniężne do 10 mln € lub 2% globalnego rocznego obrotu, a podmiotom ważnym do 7 mln € lub 1,4%. Do tego dochodzi osobista odpowiedzialność najwyższego kierownictwa zgodnie z § 38 BSIG.
Gdzie Państwo dziś się znajdują – i ile będzie Państwa kosztował incydent jutro?
30-minutowa rozmowa o statusie zwykle wystarcza, aby zidentyfikować największe ryzyka i naszkicować drogę wyjścia ze strefy ostrej odpowiedzialności. Poufnie, bez zobowiązań, na poziomie kierownictwa.
Dalsza lektura: Standardy i zgodność · Grundschutz++ · Nasze usługi