Cybersecurity

Obowiązek cyberbezpieczeństwa jest teraz osobisty

Niemiecka ustawa NIS2 czyni zarząd osobiście odpowiedzialnym za cyberbezpieczeństwo, wyznacza twardy termin rejestracji i daje BSI uprawnienia kontrolne oraz prawo nakładania kar. Co właściciele muszą zrobić teraz.

Autor Leon Soliman · 2026-06-30 · 3 min czytania

Dlaczego ta ustawa sięga dalej, niż myślicie

Ustawa wdrażająca NIS2 obowiązuje w Niemczech od grudnia 2025 roku i nie dotyczy wyłącznie elektrowni oraz banków. Obejmuje około 29.500 firm w 18 sektorach, od logistyki i produkcji żywności po budowę maszyn, gospodarkę odpadami i usługi cyfrowe. Próg jest niski. Firma zatrudniająca 50 lub więcej pracowników albo osiągająca 10 milionów euro przychodu w jednym z tych sektorów z zasady podlega ustawie.

Większość właścicieli w sektorze Mittelstand nigdy nie myślała o swojej działalności jako o infrastrukturze krytycznej. Ustawa nie wymaga takiego postrzegania siebie. Patrzy na sektor i wielkość, klasyfikuje was jako podmiot ważny lub szczególnie ważny i nakłada wiążące obowiązki w zakresie bezpieczeństwa, których rok temu jeszcze nie było.

Obowiązek, który spada osobiście na właściciela

Najostrzejsza zmiana dotyczy tego, kto ponosi ten obowiązek. Zgodnie z nową niemiecką ustawą organ zarządzający musi zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa i nadzorować, czy są one rzeczywiście wdrożone. To nie jest zadanie, które można przekazać dostawcy IT i o nim zapomnieć. Tam, gdzie kierownictwo działa z rażącym niedbalstwem lub umyślnie, ustawa pozwala nakładać kary na osoby fizyczne, a w poważnych przypadkach czasowy zakaz pełnienia funkcji kierowniczej.

Dla firmy prowadzonej przez właściciela to właśnie jest istotne. Osoba, która podpisuje się za firmę, podpisuje się teraz także za jej kondycję cybernetyczną. Czysta umowa o outsourcingu nie przenosi odpowiedzialności poza zarząd. Zmienia jedynie to, do kogo dzwonicie, gdy coś pójdzie źle, a wtedy obowiązek już został sprawdzony.

Lista rejestracyjna, o której nikt wam nie powiedział

Dobra ochrona sama w sobie nie wystarczy. Objęte firmy muszą zarejestrować się w Federalnym Urzędzie do spraw Bezpieczeństwa Informacji, BSI, i się zidentyfikować. Ustawowy termin przypadał na marzec 2026 roku, a do tej daty dokonało tego jedynie około 11.500 z mniej więcej 29.500 firm. Na liście brakowało ponad połowy.

BSI wyznaczyło ostateczne przedłużenie do 31 lipca 2026 roku i zasygnalizowało, że po tym lecie przeanalizuje pierwsze sankcje. Zaniechanie rejestracji samo w sobie jest wykroczeniem zagrożonym karą do 500.000 euro, niezależnie od jakiegokolwiek naruszenia. Ciche ryzyko to nie cyberatak. To bycie firmą, której regulator nie może znaleźć na liście, którą teraz aktywnie sprawdza.

Co uruchomić jeszcze w tym kwartale

Trzy kroki niosą większość ciężaru. Potwierdźcie, czy wasza firma podlega ustawie, ponieważ test sektora i wielkości jest mechaniczny i łatwo go źle odczytać. Zarejestrujcie się w BSI przed lipcowym terminem, jeśli jesteście objęci. Następnie przedstawcie organowi zarządzającemu udokumentowany proces zarządzania ryzykiem, tak aby obowiązek zatwierdzania i nadzoru został spełniony i zapisany, a nie tylko domniemany.

Nic z tego nie wymaga dużego działu bezpieczeństwa. Wymaga jasnego odczytania, gdzie stoicie, dowodu, że kierownictwo przyjrzało się ryzyku, oraz zapisu, który możecie pokazać, jeśli regulator zapyta. Trudności będą miały te firmy, które potraktowały krajową ustawę o cyberbezpieczeństwie jako informatyczny przypis.

Czytaj dalej: Twój sprzęt to teraz regulowane oprogramowanie · Czy Twoja obrona cybernetyczna jest gotowa na ataki w tempie maszynowym?

Często zadawane pytania

Czy NIS2 dotyczy mojej firmy, jeśli nie jesteśmy przedsiębiorstwem użyteczności publicznej ani bankiem?

Bardzo prawdopodobne. Ustawa obejmuje 18 sektorów, w tym logistykę, żywność, produkcję, odpady i usługi cyfrowe, i dotyczy każdej firmy w nich działającej, która zatrudnia 50 lub więcej osób albo osiąga 10 milionów euro przychodu. Wiele firm Mittelstand jest objętych, nie zdając sobie z tego sprawy.

Czy mogę przekazać ten obowiązek mojemu dostawcy IT?

Nie. Możecie zlecić prace techniczne na zewnątrz, ale niemiecka ustawa nakłada obowiązek zatwierdzania i nadzorowania środków cyberbezpieczeństwa na sam organ zarządzający. Odpowiedzialność, w tym osobista, pozostaje przy kierownictwie.

Jakie jest bezpośrednie ryzyko, jeśli się nie zarejestrowaliśmy?

Zaniechanie rejestracji w BSI jest odrębnym wykroczeniem zagrożonym karą do 500.000 euro, a ostateczny termin to 31 lipca 2026 roku. Po nim BSI zapowiedziało, że przeanalizuje sankcje, zaczynając od oczywistych przypadków braku rejestracji.

Ustawa, która wskazuje wasz organ zarządzający według funkcji, nie czeka na incydent, by stać się realna. Obowiązek już działa, a jedynym otwartym pytaniem jest to, czy wasze dowody działają także.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola