Przejdź do treści głównej
NIS2Certify
Powrót do przeglądu

Termin NIS2 w Niemczech minął — 18 000 firm go przegapiło

Autor: NIS2Certify
NIS2NiemcyBSIegzekwowaniezgodnośćtermincyberbezpieczeństwo

Do firmy przychodzi pismo z BSI — federalnego urzędu ds. cyberbezpieczeństwa w Niemczech. Pana/Pani organizacja była zobowiązana do rejestracji do 6 marca 2026 r. Nie dopełniono tego obowiązku. BSI ma teraz uprawnienie prawne do przeprowadzenia audytu, wydawania wiążących nakazów oraz nakładania kar do 10 milionów euro lub 2% rocznego globalnego obrotu. Na mocy §38 nowej BSIG, zarządzający spółką mogą zostać pociągnięci do osobistej odpowiedzialności za to uchybienie.

To nie jest scenariusz hipotetyczny. Dzieje się to teraz w Niemczech i jest zapowiedzią tego, co czeka resztę Unii Europejskiej.

Co się stało 6 marca 2026 r.

Niemiecka ustawa wdrażająca NIS2 — NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — weszła w życie 6 grudnia 2025 r. Objęte nią organizacje miały dokładnie trzy miesiące na rejestrację w BSI za pośrednictwem dedykowanego portalu.

Termin ten upłynął 6 marca 2026 r.

Spośród około 29 500 firm, które BSI szacuje jako objęte przepisami, tylko około 11 500 ukończyło rejestrację w terminie. Oznacza to, że blisko 18 000 organizacji naruszyło obowiązek prawny, zanim jeszcze zdążyły przystąpić do wdrażania właściwych środków cyberbezpieczeństwa.

Status Wdrożenia NIS2 według Kraju (2025–2026)
W pełni obowiązuje
Belgia
Chorwacja
Węgry
Litwa
Łotwa
Włochy
6 krajów
Przyjęta — koniec 2025
Niemcy
Czechy
Finlandia
3 krajów
W trakcie — oczekiwane 2026
Holandia
Francja
Hiszpania
Polska
Austria
Szwecja
Irlandia
7 krajów

BSI publicznie oświadczyło, że przystąpi teraz do systematycznej identyfikacji podmiotów, które się nie zarejestrowały. Niemcy są pierwszym dużym państwem członkowskim UE, które osiągnęło ten etap egzekwowania — a liczby są uderzające.

Dlaczego tak wiele firm przegapiło termin

Trzy wzorce wyjaśniają tę lukę.

Wiele organizacji wciąż nie wie, że są objęte przepisami. Dyrektywa NIS2 obejmuje firmy zatrudniające ponad 50 pracowników lub osiągające roczny obrót przekraczający 10 milionów euro, działające w 18 wyznaczonych sektorach. Mittelstand — trzon niemieckiej gospodarki przemysłowej — obejmuje tysiące średnich producentów, operatorów logistycznych i firm IT, które nigdy wcześniej nie stykały się z regulacjami w zakresie cyberbezpieczeństwa.

Harmonogram był skrócony. Trzy miesiące od uchwalenia ustawy do terminu rejestracji nie zostawiły wiele czasu firmom, które wciąż oceniały, czy NIS2 ich dotyczy. Wiele z nich czekało na ostateczne wyjaśnienia dotyczące klasyfikacji sektorów i progów.

Firmy w łańcuchu dostaw zostały zaskoczone. Na mocy artykułu 21(2)(d) podmioty NIS2 muszą zarządzać ryzykiem cyberbezpieczeństwa w swoich łańcuchach dostaw. Oznacza to, że dostawcy nieobjęci bezpośrednio przepisami otrzymują od klientów żądania dotyczące zgodności — jednak obowiązek rejestracji dotyczy podmiotu NIS2, a nie dostawcy. Zamieszanie między bezpośrednimi obowiązkami a pośrednim naciskiem ze strony łańcucha dostaw spowalniało podejmowanie decyzji.

Warto zaznaczyć, że ta kwestia jest szczególnie istotna dla polskiego rynku. Polska dysponuje jednym z największych sektorów MSP i dostawców IT w całej UE — tysiące polskich firm świadczy usługi dla podmiotów objętych NIS2 w Niemczech, Holandii czy Francji i może otrzymywać od nich wymagania dotyczące zgodności na podstawie art. 21(2)(d), nawet jeśli nie są bezpośrednio objęte polską ustawą o KSC.

Co BSI może teraz zrobić

Uprawnienia egzekucyjne BSI wynikające z nowej BSIG są znaczące:

Audyty z urzędu. W przypadku podmiotów kluczowych — energetyki, transportu, ochrony zdrowia, infrastruktury cyfrowej, bankowości — BSI może przeprowadzać audyty bez czekania na incydent. Może żądać dokumentacji, kontrolować środki bezpieczeństwa i wymagać dowodów zgodności z artykułem 21.

Wiążące nakazy. Jeśli BSI stwierdzi uchybienia, może wydać prawnie wiążące instrukcje nakazujące usunięcie nieprawidłowości w określonym terminie. Niezastosowanie się do wiążącego nakazu zwiększa dotkliwość egzekwowania.

Kary finansowe. Podmioty kluczowe mogą zostać ukarane karami do 10 milionów euro lub 2% rocznego globalnego obrotu — w zależności od tego, która kwota jest wyższa. Podmioty ważne mogą podlegać karom do 7 milionów euro lub 1,4%. Nie są to teoretyczne maksima — to ramy, które organy krajowe w całej UE są teraz uprawnione stosować.

Osobista odpowiedzialność zarządzających. §38 BSIG czyni zarządzających spółkami osobiście odpowiedzialnymi za zatwierdzanie i nadzorowanie środków zarządzania ryzykiem cyberbezpieczeństwa. Jest to odzwierciedlenie artykułu 20 dyrektywy NIS2, który ustanawia odpowiedzialność organów zarządzających we wszystkich państwach członkowskich.

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste

Tymczasowe zakazy pełnienia funkcji kierowniczych. W poważnych przypadkach utrzymującego się nieprzestrzegania przepisów BSI może wnioskować o tymczasowe zawieszenie zarządzających w ich funkcjach. Jest to najostrzejsze narzędzie egzekucyjne w zestawie NIS2 i Niemcy wyraźnie je wdrożyły.

Co to oznacza dla reszty Europy

Niemcy nie są przypadkiem odosobnionym. Są wiodącym wskaźnikiem.

Belgia egzekwuje swoją transpozycję NIS2 od końca 2024 r. — jako pierwszy kraj UE. Włochy (ACN) i Chorwacja mają swoje ramy prawne gotowe. Francja (ANSSI) uruchomiła swój system referencyjny ReCyF w marcu 2026 r. i buduje swoją infrastrukturę egzekwowania. Holandia oczekuje swojej ustawy Cyberbeveiligingswet (Cbw) w II kwartale 2026 r., z RDI jako organem nadzoru.

Polska transponowała NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Organem nadzorczym jest NASK — Naukowa i Akademicka Sieć Komputerowa. Polskie firmy objęte przepisami muszą rejestrować się u właściwych organów sektorowych i wdrożyć wymagane środki zgodnie z zaktualizowaną ustawą o KSC.

Wzorzec jest jasny: każde państwo członkowskie UE przechodzi od legislacji do egzekwowania. Harmonogram wdrożenia różni się w zależności od kraju, ale kierunek jest jednolity.

Jeśli doświadczenie Niemiec czegoś uczy, to tego: przepaść między „prawo istnieje" a „firmy są gotowe" jest ogromna. A regulatorzy nie czekają, aż ta przepaść się zamknie, zanim zaczną egzekwować przepisy.

Czy NIS2 Dotyczy Twojej Organizacji?
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
TakNie
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
TakNie
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
TakNie
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
Dotyczy
Możliwe zastosowanie
Nie dotyczy

Co Pan/Pani powinien/powinna zrobić w tym tygodniu

Niezależnie od tego, czy Pana/Pani organizacja działa w Niemczech, czy w innym państwie członkowskim UE, termin BSI jest sygnałem do działania.

1. Ustalić, czy NIS2 ma zastosowanie do Pana/Pani firmy. Sprawdzić liczbę pracowników, obroty i klasyfikację sektorową. Kryteria są spójne w całej UE — jeśli firma zatrudnia ponad 50 osób lub osiąga obrót przekraczający 10 milionów euro i działa w objętym sektorze, jest niemal na pewno objęta przepisami.

2. Zarejestrować się w krajowym organie. Termin rejestracji w Niemczech minął, ale inne kraje wciąż otwierają swoje portale rejestracyjne. W Polsce należy skontaktować się z właściwym organem sektorowym lub NASK, aby ustalić dokładne wymogi i terminy rejestracji.

3. Rozpocząć wdrożenie artykułu 21. Rejestracja to tylko punkt wejścia. Rzeczywistym obowiązkiem jest wdrożenie dziesięciu środków cyberbezpieczeństwa przewidzianych przez artykuł 21: analiza ryzyka, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczeństwo sieci, zarządzanie podatnościami i inne.

4. Poinformować zarząd. NIS2 to obowiązek w zakresie ładu korporacyjnego, a nie projekt IT. Artykuł 20 wymaga, aby organy zarządzające zatwierdzały środki cyberbezpieczeństwa i przechodziły szkolenia. Jeśli zarząd nie rozmawiał jeszcze o NIS2, ta rozmowa jest już opóźniona.

5. Ocenić aktualną sytuację. Nie trzeba angażować konsultanta, aby zacząć. Ustrukturyzowane badanie gotowości może w ciągu kilku minut wskazać, gdzie organizacja stoi wobec wymogów NIS2 — i pokazać dokładnie, gdzie są luki. Uruchom bezpłatny test gotowości NIS2, aby dowiedzieć się, gdzie dziś stoi Pana/Pani organizacja.

Okno się zamyka

18 000 niezarejestrowanych firm w Niemczech dowiaduje się teraz w praktyce, jak wygląda egzekwowanie przepisów. Każde inne państwo członkowskie UE podąża tą samą ścieżką — jedyną zmienną jest czas.

Organizacje, które działają teraz, zanim nadejdzie ich krajowy termin, będą miały przewagę przygotowania zamiast presji egzekwowania. Te, które poczekają, zetkną się z tą samą sytuacją, z którą zmaga się dziś Mittelstand: regulatorem posiadającym uprawnienia do audytowania, nakładania kar i pociągania zarządzających do osobistej odpowiedzialności — oraz programem zgodności, który powinien był się rozpocząć kilka miesięcy temu.