Закон ЕС об ИИ: затрагивает ли он мою компанию?
Закон ЕС об ИИ вступает в силу поэтапно. Что нужно знать малому и среднему бизнесу, какие обязанности возникают и почему паника — плохой советчик.
NIS2 действует с декабря 2025 года для 29 500 компаний. Как цифровые сотрудники помогают соблюдать сроки уведомления и вести подтверждающую документацию.

С 6 декабря 2025 года в Германии действует Закон о внедрении NIS2 и усилении кибербезопасности (NIS2UmsuCG). Все, кого он затрагивает, должны отныне сообщать об инцидентах безопасности в жестко ограниченные сроки и вести их полную документацию, зачастую силами команд, у которых для этого нет ни дополнительного персонала, ни готовых процессов.
Именно в этом операционном пробеле и работают цифровые сотрудники: не как замена юридической консультации, а как инструмент, который в фоновом режиме аккуратно ведет сроки, протоколы и подтверждающую документацию.
С момента вступления в силу NIS2UmsuCG BSI осуществляет надзор примерно за 29 500 организациями в Германии, тогда как ранее их было около 4 500 (Пресс-релиз BSI от 13 ноября 2025 года).
Закон затрагивает компании со штатом от 50 сотрудников или годовым оборотом от 10 миллионов евро, работающие в одном из 18 регулируемых секторов — от энергетики и здравоохранения до транспорта и цифровых услуг. Закон различает особо важные и важные организации в зависимости от сектора и размера компании. Для среднего бизнеса это ощутимое изменение: компании, которые ранее никогда не считали себя объектами критической инфраструктуры, например ИТ-провайдер с 60 сотрудниками или логистическая компания среднего размера, теперь на общих основаниях подпадают под действие закона.
К первому сроку регистрации, 6 марта 2026 года, на портале BSI зарегистрировались лишь около 11 500 из 29 500 обязанных компаний, то есть 38,5 процента (Security-Insider, март 2026 года).
В ответ BSI установило дополнительный срок до 31 июля 2026 года, после чего начнутся системные проверки. Тот, кто к этому моменту не зарегистрируется и не подготовит надежную организацию процесса уведомлений, идет на открытый риск: одно только несоблюдение обязанности регистрации может повлечь штраф до 500 000 евро.
О значительном инциденте безопасности необходимо уведомить BSI в три последовательных этапа: раннее предупреждение в течение 24 часов, последующее уведомление в течение 72 часов и итоговый отчет не позднее чем через месяц (BSI об обязанности уведомления по NIS-2).
Уже раннее предупреждение требует первичной оценки инцидента, описания сбоя и указания, предполагается ли злонамеренное действие, причем явно до того, как вообще становится возможной полная проверка. Лежащий в основе принцип таков: скорость важнее полноты. Для небольшой ИТ-команды, которая в реальной ситуации и так занята устранением самого сбоя, это стрессовая ситуация, объединяющая в один день инцидент безопасности и бюрократию.
NIS2 действует с 6 декабря 2025 года и затрагивает около 29 500 компаний в Германии. К первому сроку зарегистрировались лишь 38,5 процента, дополнительный срок продлится до 31 июля 2026 года. При инциденте безопасности с момента его обнаружения важен каждый час: 24 часа на раннее предупреждение, 72 часа на последующее уведомление, месяц на итоговый отчет.
Автоматизированные рабочие процессы берут на себя операционную сторону ведения подтверждающей документации по NIS2, но не юридическую оценку. Рабочий процесс на базе n8n, например, может принимать оповещения мониторинга из существующей ИТ-инфраструктуры безопасности, автоматически создавать хронологию инцидента с временными метками и напрямую сообщать ответственному лицу о сроках раннего предупреждения, последующего уведомления и итогового отчета, включая обратный отсчет. Параллельно такой процесс предварительно заполняет повторяющиеся поля формы уведомления BSI, собирает протоколы, историю тикетов и подтверждения коммуникации в одной папке и держит их наготове для внутренней и внешней проверки.
Это окупается вдвойне, поскольку затронутые организации обязаны проактивно и на регулярной основе подтверждать реализацию своих мер безопасности, на практике это регулярно происходит через аудиты, проверки или сертификации (activeMind AG об обязанности подтверждения по NIS2). Тот, кто собирает подтверждающую документацию постоянно, а не незадолго до проверки, тратит на следующий аудит значительно меньше усилий. При этом юридическая оценка того, подлежит ли инцидент уведомлению вообще, всегда остается за руководством компании или внешней консультацией, точно так же, как уже действует принцип в случае EU AI Act для МСП: автоматизация и регулирование дополняют друг друга только тогда, когда роли остаются четко разделенными.
Для создания надежной структуры управления вокруг таких процессов подходит наша услуга Консультирование по ИИ, а для текущей документации и контроля сроков — наше предложение Автоматизация отчетности.
Ни один рабочий процесс не решает, является ли инцидент значительным по смыслу BSIG, это остается правовой и профессиональной оценкой. Автоматизация также не может заменить отсутствующий анализ рисков или отсутствующий план действий в чрезвычайной ситуации, она лишь делает существующие процессы более быстрыми и полнее задокументированными. Тот, у кого еще вообще нет организации процесса уведомлений, должен сначала создать эту основу совместно со специализированным консультантом или юридическим отделом, и только после этого имеет смысл автоматизировать повторяющиеся операции.
NIS2UmsuCG действует с 6 декабря 2025 года. Затрагивает компании со штатом от 50 сотрудников или годовым оборотом от 10 миллионов евро в одном из 18 регулируемых секторов, независимо от того, считают ли они себя объектами критической инфраструктуры.
Нарушения обязанности уведомления могут повлечь штрафы до 10 миллионов евро или 2 процента мирового годового оборота для особо важных организаций, в зависимости от тяжести нарушения и категории организации.
Да. BSI предоставило дополнительный срок до 31 июля 2026 года. После этого начнутся системные проверки, однако последующая регистрация в принципе по-прежнему возможна и значительно лучше, чем ее отсутствие.
NordFlux автоматизирует документацию, контроль сроков и протоколирование вокруг процесса уведомления. Юридическая оценка того, подлежит ли инцидент уведомлению, остается задачей руководства компании или специализированной юридической консультации.
NordFlux создаёт цифровых сотрудников для организаций: автоматизации и КИ-агентов, которые берут на себя повторяющуюся работу. Вы сохраняете контроль.
Закон ЕС об ИИ вступает в силу поэтапно. Что нужно знать малому и среднему бизнесу, какие обязанности возникают и почему паника — плохой советчик.
В среднем бизнесе ИИ редко подводит из-за технологий, чаще из-за отсутствия правил. Четыре пункта проверки ИИ-зрелости перед запуском первого ИИ-агента.
В рамках бесплатного первичного анализа мы напрямую обсудим Ваш случай. Без обязательств.