ドイツの今後のNIS2UmsuCG（NIS-2指令の実施および連邦管理における情報セキュリティ管理の基本原則の規制に関する法律）は、企業や公共機関に対するサイバーセキュリティ規則の大幅な厳格化を示します。この法律はEUのNIS-2指令に基づいており、現行のBSI法を置き換え、以前のKRITIS制度をはるかに超えた義務を拡張します。重要インフラの約800の運営者に影響を与える代わりに、エネルギー、交通、保健、デジタルインフラ、電気通信、銀行、公共管理、食品、化学物質、廃棄物管理、製造、主要なデジタルサービスを含む18のセクターにわたって最大30,000の組織に適用されると予想されています。

新たな枠組みの下で、団体はセクターと規模に基づき「特に重要」と「重要」に分類されます。附属書1のセクターに属する大企業や重要施設の運営者は一般的に特に重要とされ、中規模企業や附属書2のセクターの企業は重要に分類される場合があります。システムにとって重要なデジタルサービスプロバイダーやインフラ運営者は、規模に関係なく対象となります。特にサプライチェーン内のITプロバイダーやマネージドサービスプロバイダーなどの小規模サプライヤーも、重要なシステムや機密領域にアクセスする場合は影響を受ける可能性があります。すべての対象組織は、ドイツ連邦情報セキュリティ局（BSI）に登録し、求めに応じてコンプライアンスを実証する必要があります。

法律は広範な義務を導入しています：企業はリスクベースの情報セキュリティ管理システムを確立し維持しなければならず、定期的なリスク評価を行い、脆弱性及びパッチ管理、バックアップとリカバリー、アクセス制御、多要素認証、安全な通信、サプライチェーンのセキュリティなどの技術的及び組織的措置を実施し、インシデントの検出、報告、対応を確実にする必要があります。時間が重要な報告義務が適用され、重大なインシデントの初期通知は24時間以内に、フォローアップレポートは72時間以内に、最終報告は1か月後に行わなければなりません。リスク管理の効果の定期的な見直しが義務付けられ、重要施設の運営者は3年ごとにBSI主導の監査に直面します。

重要なことに、NIS2UmsuCGは「ソフト」なガイドラインではありません。これには、最大1,000万ユーロまたは世界の年間売上高の2％の罰金を含む、より強力な執行と制裁が提供されています。経営陣や取締役は遵守に対して個人的な責任を負い、重大な違反の場合には経営職からの立場が制限されるなどの個人的な結果に直面する可能性があります。この法律は2025年遅くまたは2026年初頭に施行されることが予想されており、長期の移行期間は計画されていません。そのため、企業は今すぐに行動を開始することが推奨されます。つまり、企業が重要なカテゴリに該当するかどうかを評価し、ISO 27001に基づいたISMSの構築またはアップグレードを開始し、すべてのレベルのスタッフを巻き込み、早期にサプライヤーと連携することです。

多くの組織にとって、特に新たに適用範囲に入った組織にとって、法律が成立するのを待ってからでは遅すぎます。専門家からのメッセージは明確です。NIS-2は単なるコンプライアンスの演習ではなく、欧州経済全体にわたる、より強固なサイバーセキュリティへの構造的なシフトです。早期に行動を起こす企業は、制裁を回避するだけでなく、回復力を強化し、業務を守り、ますます敵対的になるサイバー環境の中で顧客やパートナーとの信頼を築くことができます。