Duitsland's aankomende NIS2UmsuCG (Wet op de Implementatie van de NIS-2 Richtlijn en op de Regulering van Essentiële Principes van Informatiebeveiliging in de Federale Administratie) markeert een aanzienlijke verstrenging van de cyberbeveiligingsregels voor bedrijven en openbare instellingen. Gebaseerd op de EU's NIS-2 Richtlijn, zal de wet de huidige BSI-wet vervangen en de verplichtingen ver uitbreiden voorbij het vorige KRITIS-regime. In plaats van enkel van invloed te zijn op net iets meer dan 800 exploitanten van kritieke infrastructuur, wordt verwacht dat het van toepassing zal zijn op tot wel 30.000 organisaties verspreid over 18 sectoren, waaronder energie, transport, gezondheid, digitale infrastructuur, telecommunicatie, bankwezen, openbare administratie, voedsel, chemie, afvalbeheer, productie en belangrijke digitale diensten.

Onder het nieuwe kader worden entiteiten geclassificeerd als "bijzonder belangrijk" of "belangrijk" op basis van sector en grootte. Grote bedrijven in Annex 1-sectoren en exploitanten van kritieke faciliteiten worden over het algemeen als bijzonder belangrijk beschouwd, terwijl middelgrote bedrijven en bedrijven in Annex 2-sectoren als belangrijk kunnen worden geclassificeerd. Sommige digitale dienstverleners en infrastructuuroperators vallen onder de dekking, ongeacht de grootte, wanneer hun diensten systeemkritisch zijn. Zelfs kleinere leveranciers, vooral IT- en managed serviceproviders in de toeleveringsketen, kunnen worden beïnvloed wanneer zij toegang hebben tot kritieke systemen of gevoelige gebieden. Alle gedekte organisaties worden verplicht zich te registreren bij het Bundesamt für Sicherheit in der Informationstechnik (BSI) en op verzoek naleving aan te tonen.

De wet introduceert uitgebreide verplichtingen: bedrijven moeten een risicogebaseerd informatiebeveiligingsmanagementsysteem opzetten en onderhouden; regelmatige risicoanalyses uitvoeren; technische en organisatorische maatregelen implementeren zoals kwetsbaarheids- en patchbeheer, back-up en herstel, toegangscontrole, multifactor-authenticatie, veilige communicatie en beveiliging van de toeleveringsketen; en zorgen voor incidentdetectie, -melding en -respons. Er gelden tijdkritische meldingsverplichtingen, waaronder de eerste melding van ernstige incidenten binnen 24 uur, een vervolgverslag binnen 72 uur en een eindverslag na een maand. Regelmatige effectiviteitsbeoordelingen van risicomanagement zullen verplicht zijn, en exploitanten van kritieke voorzieningen zullen elke drie jaar te maken krijgen met audits onder leiding van het BSI.

Cruciaal is dat NIS2UmsuCG geen "zachte" richtlijn is. Het voorziet in aanzienlijk strengere handhaving en sancties, waaronder boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaarlijkse omzet. Bestuursleden en directeuren zijn persoonlijk verantwoordelijk voor naleving en kunnen te maken krijgen met individuele gevolgen, waaronder verboden op managementposities, bij ernstige overtredingen. Aangezien de wet naar verwachting eind 2025 of begin 2026 in werking treedt en er geen lange overgangsperioden gepland zijn, wordt bedrijven geadviseerd nu actie te ondernemen: beoordeel of zij in de kritische categorieën vallen, begin met het opbouwen of upgraden van een ISMS georiënteerd op ISO 27001, betrek medewerkers op alle niveaus en betrek leveranciers op tijd.

Voor veel organisaties, vooral die welke nieuw zijn binnen de reikwijdte, zal het te laat zijn om te wachten tot de wet is aangenomen. De boodschap van experts is duidelijk: NIS-2 is niet zomaar een nieuwe nalevingsoefening, maar een structurele verschuiving naar robuustere cyberbeveiliging binnen de Europese economie. Bedrijven die vroegtijdig actie ondernemen, kunnen niet alleen sancties vermijden, maar ook hun weerbaarheid versterken, hun operaties beschermen en vertrouwen opbouwen met klanten en partners in een steeds vijandigere cyberomgeving.