जर्मनी का आगामी NIS2UmsuCG (NIS-2 डायरेक्टिव के कार्यान्वयन पर और संघीय प्रशासन में सूचना सुरक्षा प्रबंधन के महत्वपूर्ण सिद्धांतों को विनियमित करने पर अधिनियम) व्यवसायों और सार्वजनिक संस्थानों के लिए साइबर सुरक्षा नियमों को कड़ा करने की दिशा में एक महत्वपूर्ण कदम है। यह कानून, जो यूरोपीय संघ के NIS-2 डायरेक्टिव पर आधारित है, वर्तमान BSI अधिनियम की जगह लेगा और पूर्ववर्ती KRITIS शासन से परे कर्तव्यों का विस्तार करेगा। यह केवल महत्वपूर्ण बुनियादी ढांचे के 800 से अधिक ऑपरेटरों को प्रभावित करने के बजाय, ऊर्जा, परिवहन, स्वास्थ्य, डिजिटल बुनियादी ढांचे, दूरसंचार, बैंकिंग, सार्वजनिक प्रशासन, खाद्य, रसायन, अपशिष्ट प्रबंधन, विनिर्माण, और प्रमुख डिजिटल सेवाओं सहित 18 क्षेत्रों में लगभग 30,000 संगठनों पर लागू होने की उम्मीद है।

नये फ्रेमवर्क के तहत, संस्थाओं को सेक्टर और आकार के आधार पर "विशेष रूप से महत्वपूर्ण" या "महत्वपूर्ण" के रूप में वर्गीकृत किया गया है। अनुलग्नक 1 सेक्टरों में बड़ी कंपनियां और महत्वपूर्ण सुविधाओं के संचालक सामान्य रूप से विशेष रूप से महत्वपूर्ण माने जाते हैं, जबकि मध्यम आकार की फर्में और अनुलग्नक 2 सेक्टरों में कंपनियों को महत्वपूर्ण के रूप में वर्गीकृत किया जा सकता है। कुछ डिजिटल सेवा प्रदाता और बुनियादी ढांचा संचालक आकार के बावजूद शामिल होते हैं, जहां उनकी सेवाएं प्रणाली-आवश्यक हैं। यहां तक कि छोटे आपूर्तिकर्ता, विशेष रूप से आपूर्ति श्रृंखला में आईटी और प्रबंधित सेवा प्रदाता, प्रभावित हो सकते हैं जब वे महत्वपूर्ण प्रणालियों या संवेदनशील क्षेत्रों तक पहुंच बनाते हैं। सभी कवर संगठनों को संघीय सूचना सुरक्षा कार्यालय (बीएसआई) के साथ पंजीकरण करना होगा और अनुरोध पर अनुपालन प्रदर्शित करना होगा।

कानून ने व्यापक कर्तव्यों की शुरूआत की है: कंपनियों को एक जोखिम-आधारित सूचना सुरक्षा प्रबंधन प्रणाली स्थापित और बनाए रखना अनिवार्य होगा; नियमित रूप से जोखिम मूल्यांकन करना होगा; तकनीकी और संगठनात्मक उपायों को लागू करना होगा जैसे कि भेद्यता और पैच प्रबंधन, बैकअप और रिकवरी, एक्सेस नियंत्रण, मल्टी-फैक्टर प्रमाणीकरण, सुरक्षित संचार और आपूर्ति-श्रृंखला सुरक्षा; और घटना का पता लगाने, रिपोर्टिंग, और प्रतिक्रिया सुनिश्चित करनी होगी। समय-सम्बन्धित रिपोर्टिंग दायित्व लागू होते हैं, जिसमें गंभीर घटनाओं की प्राथमिक अधिसूचना 24 घंटों के भीतर, 72 घंटों के भीतर अनुसरणी रिपोर्ट, और एक महीने बाद अंतिम रिपोर्ट शामिल है। जोखिम प्रबंधन की नियमित प्रभावशीलता समीक्षा अनिवार्य होगी, और महत्वपूर्ण सुविधाओं के संचालक हर तीन वर्षों में बीएसआई-नेतृत्व वाले ऑडिट का सामना करेंगे।

महत्वपूर्ण रूप से, NIS2UmsuCG एक "सॉफ्ट" दिशानिर्देश नहीं है। यह काफी कड़ी प्रवर्तन और सजा का प्रावधान करता है, जिसमें 10 मिलियन यूरो तक का जुर्माना या वैश्विक वार्षिक कारोबार का 2 प्रतिशत शामिल है। प्रबंधन बोर्ड और निदेशक व्यक्तिगत रूप से अनुपालन के लिए जिम्मेदार होते हैं और गंभीर उल्लंघनों के लिए प्रबंधन पदों से प्रतिबंध सहित व्यक्तिगत नतीजों का सामना कर सकते हैं। कानून के देर 2025 या शुरूआती 2026 में लागू होने की उम्मीद है और कोई लंबी संक्रमण अवधि नहीं होने के कारण, कंपनियों को अब कार्यवाही करने की सलाह दी जाती है: यह आकलन करें कि क्या वे महत्वपूर्ण श्रेणियों में आते हैं, या ISO 27001 पर केंद्रित एक ISMS का निर्माण या उन्नयन शुरू करें, सभी स्तरों पर कर्मचारियों को शामिल करें, और सप्लायर्स को समय पर शामिल करें।

कई संगठनों के लिए, विशेष रूप से वे जो हाल ही में सीमा में लाए गए हैं, कानून के पारित होने तक इंतजार करना बहुत देर हो जाएगा। विशेषज्ञों का संदेश स्पष्ट है: NIS-2 केवल एक अन्य अनुपालन अभ्यास नहीं है, बल्कि यूरोपीय अर्थव्यवस्था में अधिक मजबूत साइबर सुरक्षा की ओर एक संरचनात्मक बदलाव है। जो कंपनियाँ जल्दी कदम उठाती हैं, वे न केवल प्रतिबंधों से बच सकती हैं, बल्कि अपनी लचीलापन को मजबूत कर सकती हैं, अपनी संचालन सुरक्षा कर सकती हैं, और एक बढ़ते शत्रुतापूर्ण साइबर वातावरण में ग्राहकों और भागीदारों के साथ विश्वास बना सकती हैं।