Przejdź do treści głównej
Ustawa wdrażająca NIS2 · Obowiązuje od 6. Dezember 2025

NIS2 jest już prawem. Cyberbezpieczeństwo staje się odpowiedzialnością kierownictwa.

Około 29 500 przedsiębiorstw w Niemczech jest bezpośrednio zobowiązanych od 6. Dezember 2025 – bez okresu przejściowego. Zgodnie z § 38 BSIG (niemieckiej ustawy o Federalnym Urzędzie ds. Bezpieczeństwa Informacji) kierownictwo ponosi osobistą odpowiedzialność. Doprowadzamy Państwa do stanu gotowości do kontroli i audytu, zanim pojawi się pierwsze zapytanie BSI, pierwszy incydent lub pierwszy audytor zapuka do Państwa drzwi.

Cyberbezpieczeństwo jako odpowiedzialność kierownictwa

§ 38 BSIG wymaga, aby najwyższe kierownictwo osobiście zatwierdzało i nadzorowało środki zarządzania ryzykiem w cyberbezpieczeństwie – tego nie można delegować.

Obowiązki stosuje się od 6. Dezember 2025

Ustawowy termin rejestracji (6 marca 2026 r.) minął. BSI wyznaczyło ostateczny okres karencji do 31. Juli 2026 – po jego upływie mogą zostać nałożone sankcje za brak zgodności.

Do 10 mln € lub 2% obrotu

Dla podmiotów kluczowych; podmiotom ważnym grozi do 7 mln € lub 1,4% globalnego rocznego obrotu.

Aktualne · Okres przejściowy BSI dla NIS2: pozostało tylko 13 dni

BSI wyznacza ostateczny termin: zarejestruj się do NIS2 do 31. Juli 2026

Ustawowy termin rejestracji (6. März 2026) już minął. BSI (niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji) przyznał ostatni okres przejściowy do 31. Juli 2026 – po jego upływie mogą zostać nałożone kary w wysokości do 500.000 Euro. Jeszcze się nie zarejestrowałeś? Wspieramy terminową rejestrację oraz przygotowanie do wymagań NIS2.

Zarejestruj się teraz

Podstawy

NIS2 to już nie tylko temat IT.

To temat dla zarządu, kierownictwa i rady nadzorczej. Kto nie zarządza aktywnie ryzykiem, ponosi osobistą odpowiedzialność.

Dyrektywa NIS2 (UE) 2022/2555 oraz niemiecka ustawa wdrażająca (NIS2UmsuCG) zasadniczo reformują ustawę o BSI. Liczba regulowanych organizacji wzrasta z około 4 500 do mniej więcej 29 500 – a miękkie zalecenia stają się twardymi obowiązkami zabezpieczonymi sankcjami za brak zgodności.

Zasięg

18 sektorów zamiast dotychczasowych mniej więcej dziesięciu. To, co było tematem infrastruktury krytycznej, staje się tematem ogólnogospodarczym, który po raz pierwszy w pełni obejmuje sektor MŚP.

Odpowiedzialność

Cyberbezpieczeństwo to odpowiedzialność zarządu i najwyższego kierownictwa – prawnie zakotwiczona w § 38 BSIG, a nie jedynie kulturowe dążenie.

Sankcje

Zakresy kar pieniężnych na poziomie RODO, do tego osobista odpowiedzialność najwyższego kierownictwa.

Szybkość

Wczesne ostrzeżenie w ciągu 24 godzin przy istotnych incydentach, zgłoszenie w ciągu 72 godzin oraz raport końcowy po jednym miesiącu – obowiązek zgłaszania incydentów w określonych ramach czasowych.

Podstawowe obowiązki zgodnie z § 30 BSIG

Muszą Państwo nie tylko wdrożyć te środki, ale też być w stanie wykazać zgodność z wymaganiami NIS2 w każdej chwili.

  • Analiza ryzyka i koncepcja bezpieczeństwa – Nie jednorazowy dokument, lecz żywy proces z wersjonowaniem, przeglądami i akceptacją najwyższego kierownictwa.
  • Reagowanie na incydenty bezpieczeństwa – Ze ścieżkami eskalacji, jasno określonymi rolami i wielopoziomowym łańcuchem zgłaszania do BSI.
  • Planowanie ciągłości działania i zarządzanie kryzysowe – Strategia tworzenia kopii zapasowych, przetestowane czasy odtwarzania oraz zespół kryzysowy, który działa nawet bez poczty e-mail.
  • Zarządzanie ryzykiem bezpieczeństwa w łańcuchu dostaw – Państwa odpowiedzialność nie kończy się przy bramie zakładu: usługodawców należy oceniać i nimi zarządzać.
  • Bezpieczeństwo w zamówieniach, rozwoju i utrzymaniu – Security by design nie jest już opcjonalne, lecz podlega wymogom dokumentacji.
  • Przegląd skuteczności – Muszą Państwo być w stanie mierzyć, czy środki rzeczywiście działają – a nie jedynie, że istnieją.
  • Podstawowa higiena cybernetyczna i szkolenia – Dla wszystkich pracowników, regularnie i udokumentowane.
  • Kryptografia i szyfrowanie – Z udokumentowanymi procesami zarządzania kluczami.
  • Bezpieczeństwo zasobów ludzkich, kontrola dostępu i zarządzanie aktywami – W sposób wykazywalny uregulowane, a nie jedynie pozostawione „IT do załatwienia”.
  • Uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja – Nie podlega negocjacjom w przypadku dostępu uprzywilejowanego.

Obowiązki kierownictwa zgodnie z § 38 BSIG: Zatwierdzanie środków, nadzorowanie ich wdrażania oraz odbywanie regularnych obowiązkowych szkoleń dla poziomu kierowniczego.

Sektory objęte regulacją

Jeśli w jednym z 18 sektorów zatrudniają Państwo co najmniej 50 pracowników lub osiągają obrót powyżej 10 mln €, pytanie nie brzmi już „czy”, lecz „w której kategorii”.

Energetyka

Energia elektryczna, gaz, ropa, ciepło, wodór

Transport

Lotniczy, kolejowy, wodny, drogowy

Bankowość

Instytucje kredytowe

Rynki finansowe

Systemy i infrastruktury obrotu

Ochrona zdrowia

Szpitale, laboratoria, producenci

Woda pitna

Zaopatrzenie w wodę

Ścieki

Odbiór i usuwanie

Infrastruktura cyfrowa

IXP, DNS, chmura, centra danych

Usługi ICT

Zarządzane usługi (bezpieczeństwa) B2B

Administracja publiczna

Organy federalne i krajowe

Przestrzeń kosmiczna

Operatorzy infrastruktury naziemnej

Poczta i kurierzy

Usługi pocztowe i doręczeniowe

Odpady

Gospodarka odpadami

Chemia

Produkcja i handel

Żywność

Produkcja, przetwórstwo, dystrybucja

Przemysł

Przemysł wytwórczy

Dostawcy cyfrowi

Platformy handlowe, wyszukiwarki, sieci społecznościowe

Badania naukowe

Instytucje badawcze

Państwa klasyfikacja decyduje o tym, które obowiązki mają zastosowanie.

Wyjaśnij swój status w rozmowie
Szybka klasyfikacja w kilka minut

Sprawdzenie statusu NIS2

Gdzie Państwo dziś się znajdują – objęci regulacją, zarejestrowani, gotowi do wdrożenia, odporni na audyt? W ciągu zaledwie kilku minut sprawdzenie statusu DLAU wyjaśnia, gdzie leżą Państwa największe luki i jakie ryzyko realnie stanowiłby audyt BSI lub incydent.

Nota prawna (disclaimer)

Szybkie sprawdzenie NIS2 nie stanowi porady prawnej i nie jest wiążące prawnie. Służy wyłącznie jako niewiążąca wstępna ocena i nie zastępuje indywidualnej analizy prawnej, organizacyjnej ani technicznej. Z wyników nie można wywodzić żadnych roszczeń ani obowiązków. Odpowiedzialność za zgodność z NIS2 spoczywa wyłącznie na danym przedsiębiorstwie.

Od stanu obecnego do pozycji odpornej na kontrolę

Doprowadzamy Państwa do stanu odpornego na kontrolę.

Większość przedsiębiorstw, z którymi rozmawiamy w 2026 r., nie jest w fazie przygotowań – nadrabiają zaległości. Właśnie do tego stworzone jest nasze podejście: priorytetyzowane, solidne, sprawdzone pod kątem audytu i inspekcji nadzoru. Opieramy się na strukturach, które wytrzymują pod presją.

Analiza organizacyjna, ocena obowiązków NIS2 i analiza luk

Bezkompromisowa inwentaryzacja: co jest wdrożone, czego brakuje i co zawiodłoby w sytuacji awaryjnej?

  • Pełna inwentaryzacja
  • Priorytetyzowana lista środków
  • Mapa ryzyka

Rejestracja w BSI i wymagane wdrożenie

Rejestrujemy Państwa i wyposażamy w minimalne dowody, które BSI będzie chciało zobaczyć w sytuacji awaryjnej.

  • Rejestracja przez punkt zgłoszeniowy BSI
  • Wyznaczenie punktu kontaktowego
  • Dokumentacja dowodów zgodności

Rozwój ISMS i specyfika NIS2

Rdzeń zorientowany na ISO 27001 plus specyficzne dla NIS2 uzupełnienia z BSIG.

  • Rdzeń ISMS zgodny z ISO 27001
  • Katalog środków z § 30
  • Łańcuch zgłaszania z § 32 i obowiązki z § 38

Gotowość na incydenty i raportowanie w określonych ramach czasowych

Kto ćwiczy łańcuch zgłaszania dopiero podczas incydentu, już przegrał. Budujemy go, ćwiczymy i dokumentujemy.

  • Łańcuch zgłaszania do BSI (24h/72h/1 miesiąc)
  • Ćwiczenia awaryjne
  • Dokumentacja gotowa do audytu

Bezpieczeństwo łańcucha dostaw

Najbardziej niedoceniana dźwignia – i najczęstsze ustalenie w audytach BSI.

  • Ocena usługodawców
  • Klauzule umowne
  • Audyty dostawców

Szkolenia kierownictwa i świadomość ryzyka

§ 38 BSIG wymaga wykazywalnych szkoleń. Prowadzimy je na poziomie kierowniczym – z jasnością potrzebną do decyzji.

  • Szkolenia zgodne z § 38
  • Odprawy kierownictwa
  • Dokumentacja dowodów

Dlaczego DLAU do wdrożenia Państwa NIS2?

Nie jesteśmy generalistami

Naszym rdzeniem jest architektura ISMS oparta na BSI IT-Grundschutz i ISO 27001, wraz z niemieckim krajobrazem zgodności: NIS2, KRITIS, DORA i IT-Grundschutz.

Budujemy rzeczy, które przetrwają

Nasze koncepcje działają nawet wtedy, gdy główna osoba kontaktowa odchodzi lub gdy uderza pierwszy incydent. Niezależne od osób, solidne w dokumentacji, stabilne w audycie.

Rozmawiamy z najwyższym kierownictwem

Przekładamy ryzyko na euro, środki na kwartały, a zgodność na dokumenty zarządu – tak, aby Państwa kierownictwo mogło aktywnie wypełnić swoje obowiązki wynikające z § 38 BSIG.

Zostajemy, gdy certyfikat wisi już na ścianie

Zgodność to proces, a nie projekt. Wspieramy Państwa operacyjnie – z cyklicznymi audytami i dostosowaniem do nowych regulacji BSI.

Droga do pozycji odpornej na kontrolę

Pozycja odporna na kontrolę w trzech fazach

Nikt nie staje się w pełni zgodny z NIS2 w dwanaście tygodni. Ale w dwanaście tygodni ostre ryzyko odpowiedzialności można przekształcić w uporządkowany, udokumentowany i odporny na kontrolę stan.

1

Obraz sytuacji

Inwentaryzacja, analiza luk, status rejestracji w BSI oraz priorytetyzacja środków. Na koniec wiedzą Państwo dokładnie, gdzie się znajdują, co oznaczałby dziś audyt i które pięć środków daje największą dźwignię redukcji ryzyka.

2-4 tygodnie
2

Stabilizacja

Budowa niepodlegających negocjacjom struktur minimalnych: rdzeń ISMS, łańcuch zgłaszania, zarządzanie awaryjne, nadzór nad łańcuchem dostaw oraz konfiguracja kierownictwa. Cel: odporność na audyt i gotowość reagowania na incydenty.

3-6 miesięcy
3

Dojrzałość i dowody

Przeglądy skuteczności, audyty wewnętrzne, wsparcie w certyfikacji (ISO 27001 / BSI IT-Grundschutz) oraz ciągłe dostosowanie do nowych regulacji BSI i sektorowych wymagań minimalnych.

Na bieżąco

Najczęściej zadawane pytania

NIS2 w skrócie

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 (UE) 2022/2555 to ogólnounijna dyrektywa dotycząca cyberbezpieczeństwa, która wzmacnia ochronę infrastruktury krytycznej i podmiotów ważnych. W Niemczech jest transponowana przez ustawę wdrażającą NIS2 (NIS2UmsuCG), która reformuje ustawę o BSI.

Kogo dotyczy NIS2?

NIS2 dotyczy przedsiębiorstw i organizacji z 18 sektorów – w tym energetyki, transportu, ochrony zdrowia, infrastruktury cyfrowej, finansów i administracji publicznej. Co do zasady objęte są podmioty zatrudniające co najmniej 50 pracowników lub o obrocie powyżej 10 mln €; są one klasyfikowane jako podmioty kluczowe lub ważne.

Jakie kary grożą za nieprzestrzeganie?

Podmiotom kluczowym grożą kary pieniężne do 10 mln € lub 2% globalnego rocznego obrotu, a podmiotom ważnym do 7 mln € lub 1,4%. Do tego dochodzi osobista odpowiedzialność najwyższego kierownictwa zgodnie z § 38 BSIG.

Gdzie Państwo dziś się znajdują – i ile będzie Państwa kosztował incydent jutro?

30-minutowa rozmowa o statusie zwykle wystarcza, aby zidentyfikować największe ryzyka i naszkicować drogę wyjścia ze strefy ostrej odpowiedzialności. Poufnie, bez zobowiązań, na poziomie kierownictwa.

Dalsza lektura: Standardy i zgodność · Grundschutz++ · Nasze usługi