Nový národní zákon, jímž Německo implementuje směrnici NIS2, vstoupil v platnost 6. prosince 2025. Zákon zavádí povinnosti pro takzvané in-scope subjekty, které se týkají zejména registrace u Spolkového úřadu pro bezpečnost informačních technologií (Bundesamt für Sicherheit in der Informationstechnik, BSI) a povinného hlášení významných kybernetických incidentů.
BSI otevře online registrační a hlášicí portál 6. ledna 2026 (tzv. BSI Portal). Pro možnost registrace od ledna úřad doporučuje, aby subjekty vytvořily do konce roku 2025 tzv. „Mein Unternehmenskonto“ (MUK). Podle Mayer Brown se subjekty musí zaregistrovat nejpozději do tří měsíců poté, co se stanou v rozsahu působnosti zákona, nebo od okamžiku, kdy začnou nabízet služby registrace doménových jmen.
Povinnosti hlášení jsou časově přísné. Významný incident musí být nahlášen BSI nejpozději do 24 hodin od zjištění události. Do 72 hodin od zjištění musí následovat druhé hlášení s bližšími informacemi. BSI může požádávat o průběžná (intermediate) hlášení a do jednoho měsíce od druhého hlášení je třeba podat závěrečné vyúčtování incidentu. Dokud nebude BSI Portal v provozu, mají subjekty možnost nahlásit významné incidenty prostřednictvím online formuláře na webu BSI.
Zákon (BSIG) je v širších rysech v souladu se směrnicí NIS2, nicméně v některých bodech existují rozdíly, které mohou ovlivnit to, na které podniky se povinnosti vztahují a jaké konkrétní kroky budou muset učinit. Pro detailnější konzultaci a pomoc s plněním nových povinností lze kontaktovat autory právní aktualizace: Ana Hadnes Bruder, Katie Steval, Dr. Ulrich Worm, Benjamin Beck a Dr. Svenja Maria Schenk, případně obvyklé kontakty v Mayer Brown.
