تشير القوانين الجديدة في ألمانيا الخاصة بـ NIS2UmsuCG (قانون تنفيذ توجيه NIS-2 وتنظيم المبادئ الأساسية لإدارة أمن المعلومات في الإدارة الفيدرالية) إلى تشديد كبير في قواعد الأمن السيبراني للأعمال والمؤسسات العامة. يعتمد القانون على توجيه NIS-2 التابع للاتحاد الأوروبي، حيث سيحل محل قانون BSI الحالي ويوسع الالتزامات إلى ما هو أبعد من نظام KRITIS السابق. من المتوقع أن ينطبق القانون على ما يصل إلى 30,000 منظمة عبر 18 قطاعًا، بما في ذلك الطاقة، والنقل، والصحة، والبنية التحتية الرقمية، والاتصالات، والبنوك، والإدارة العامة، والغذاء، والكيماويات، وإدارة النفايات، والتصنيع، والخدمات الرقمية الرئيسية، بدلاً من مجرد التأثير على 800 مشغل للبنية التحتية الحرجة.

في ظل الإطار الجديد، يتم تصنيف الكيانات على أنها "ذات أهمية خاصة" أو "مهمة" بناءً على القطاع والحجم. وتعتبر الشركات الكبيرة في قطاعات الملحق 1 ومشغلو المرافق الحيوية عادة ذات أهمية خاصة، بينما يمكن تصنيف الشركات المتوسطة الحجم والشركات في قطاعات الملحق 2 على أنها مهمة. ويتم شمول بعض مقدمي الخدمات الرقمية ومشغلي البنى التحتية بغض النظر عن الحجم، حيث تكون خدماتهم ذات أهمية نظامية. وحتى الموردين الأصغر، خاصة مقدمي خدمات تكنولوجيا المعلومات وخدمات الإدارة في سلسلة التوريد، يمكن أن يتأثروا عندما يدخلون إلى أنظمة حيوية أو مناطق حساسة. وسيُطلب من جميع المنظمات المشمولة التسجيل لدى المكتب الاتحادي لأمن المعلومات (BSI) وإثبات الامتثال عند الطلب.

يُدخل القانون واجبات واسعة النطاق: يجب على الشركات إنشاء والحفاظ على نظام إدارة أمن المعلومات القائم على المخاطر؛ إجراء تقييمات المخاطر بشكل دوري؛ تنفيذ الإجراءات التقنية والتنظيمية مثل إدارة الثغرات والتحديثات، النسخ الاحتياطي والاستعادة، التحكم في الوصول، التحقق متعدد العوامل، الاتصالات الآمنة، وأمن سلسلة التوريد؛ وضمان الكشف عن الحوادث، الإبلاغ عنها، والاستجابة لها. تنطبق الالتزامات الزمنية الحساسة، بما في ذلك الإبلاغ الأولي عن الحوادث الخطيرة خلال 24 ساعة، تقرير متابعة خلال 72 ساعة، وتقرير نهائي بعد شهر واحد. ستكون مراجعات الفعالية المنتظمة لإدارة المخاطر إلزامية، وسيخضع مشغلو المرافق الحيوية لتدقيقات يقودها BSI كل ثلاث سنوات.

من المهم أن نلاحظ أن NIS2UmsuCG ليست إرشادات "ناعمة". فهي توفر تنفيذًا أقوى بوضوح وعقوبات تتضمن غرامات تصل إلى 10 ملايين يورو أو 2% من العائدات العالمية السنوية. يتحمل مجالس الإدارة والمديرون المسؤولية الشخصية عن الامتثال وقد يواجهون عواقب فردية، بما في ذلك الحظر من المناصب الإدارية، في حالة الانتهاكات الجسيمة. مع توقع دخول القانون حيز التنفيذ في أواخر 2025 أو أوائل 2026 وعدم وجود فترات انتقالية طويلة مخطط لها، يُنصح الشركات بالتحرك الآن: تقييم ما إذا كانوا يندرجون ضمن الفئات الحساسة، البدء في بناء أو ترقية نظام إدارة أمن المعلومات الموجه نحو ISO 27001، إشراك الموظفين على جميع المستويات، والتعامل مع الموردين مبكرًا.

بالنسبة للعديد من المؤسسات، وخاصة تلك التي أُدخِلَت حديثًا ضمن النطاق، فإن الانتظار حتى يتم تمرير القانون سيكون متأخرًا جدًا. الرسالة من الخبراء واضحة: NIS-2 ليست مجرد تمرين امتثال آخر، بل هي تحول هيكلي نحو تعزيز الأمن السيبراني في الاقتصاد الأوروبي بشكل أكثر صلابة. الشركات التي تتحرك مبكرًا يمكنها ليس فقط تجنب العقوبات، بل أيضًا تعزيز الصمود، وحماية عملياتها، وبناء الثقة مع العملاء والشركاء في بيئة سيبرانية متزايدة العدائية.