德国即将推出的NIS2UmsuCG(《执行NIS-2指令和联邦管理中信息安全管理基本原则的法规》)标志着对企业和公共机构的网络安全规则的大幅收紧。根据欧盟的NIS-2指令,该法律将取代现行的《联邦信息安全局法》,并将义务扩大到远远超出以前的KRITIS制度。预计该法律将适用于多达30,000个组织,涉及18个行业,包括能源、交通、健康、数字基础设施、电信、银行、公共行政、食品、化学、废物管理、制造和关键数字服务,而不仅仅是影响到800多个关键基础设施运营商。
在新框架下,实体根据行业和规模被分类为“特别重要”或“重要”。附件1行业的大型公司和关键设施的运营者通常被认为是特别重要的,而中型企业和附件2行业的公司可能被归类为重要。一些数字服务提供商和基础设施运营商不论规模大小,其服务在系统中是关键的,也会被纳入管辖。即使是较小的供应商,尤其是供应链中的IT和管理服务提供商,当他们访问关键系统或敏感区域时,也可能受到影响。所有涵盖的组织将被要求向联邦信息安全局(BSI)注册,并在请求时证明合规性。
法律引入了广泛的职责:公司必须建立和维护以风险为基础的信息安全管理系统;定期进行风险评估;实施技术和组织措施,如漏洞和补丁管理、备份和恢复、访问控制、多因素认证、安全通信和供应链安全;确保事件检测、报告和响应。时间关键的报告义务适用,包括在24小时内对重大事件的初步通知、在72小时内的后续报告以及一个月后的最终报告。定期对风险管理的有效性进行审查将是强制性的,关键设施的运营商每三年将面临由BSI主导的审计。
至关重要的是,NIS2UmsuCG 并不是一项“软性”指导方针。其规定了更强有力的执法和制裁措施,包括最高达 1000 万欧元或全球年度营业额 2% 的罚款。管理层及董事对合规负有个人责任,并可能因严重违规而面临个人后果,包括被禁止担任管理职位。预计该法律将在 2025 年底或 2026 年初生效,并且没有计划为企业设置较长的过渡期,因此建议企业现在就采取行动:评估自己是否属于关键类别,开始建立或升级面向 ISO 27001 的信息安全管理系统,动员各级员工参与,并及早与供应商互动。
对于许多组织,尤其是那些新纳入范围的组织,等到法律通过再行动就为时已晚。专家的信息很明确:NIS-2 不仅是另一次合规性演练,而是朝着增强整个欧洲经济的网络安全进行的结构性转变。及早采取行动的公司不仅可以避免制裁,还能增强韧性,保护其运营,并在日益严峻的网络环境中与客户和合作伙伴建立信任。
登录
新用户? Signup
Reset Password
Signup
现有用户? Login here
Login here
Reset Password
Please enter your registered email address. You will recieve a link to reset your password via email.
新用户? Signup
Currency Exchange Graph