Nadchodzący NIS2UmsuCG w Niemczech (Ustawa o wdrożeniu dyrektywy NIS-2 i regulacji zasadniczych zasad zarządzania bezpieczeństwem informacji w administracji federalnej) oznacza znaczące zaostrzenie zasad cyberbezpieczeństwa dla przedsiębiorstw i instytucji publicznych. Na podstawie dyrektywy NIS-2 UE, prawo to zastąpi obecnie obowiązującą ustawę BSI i rozszerzy obowiązki daleko poza wcześniejszy reżim KRITIS. Zamiast obejmować nieco ponad 800 operatorów infrastruktury krytycznej, oczekuje się, że będzie dotyczyć do 30 000 organizacji w 18 sektorach, w tym energetyki, transportu, zdrowia, infrastruktury cyfrowej, telekomunikacji, bankowości, administracji publicznej, przemysłu spożywczego, chemikaliów, gospodarki odpadami, produkcji i kluczowych usług cyfrowych.

W ramach nowego systemu, podmioty są klasyfikowane jako „szczególnie ważne” lub „ważne” w oparciu o sektor i wielkość. Duże firmy w sektorach wymienionych w Załączniku 1 oraz operatorzy obiektów krytycznych są zazwyczaj uznawane za szczególnie ważne, podczas gdy firmy średniej wielkości i przedsiębiorstwa w sektorach z Załącznika 2 mogą być klasyfikowane jako ważne. Niektórzy dostawcy usług cyfrowych i operatorzy infrastruktury są objęci bez względu na wielkość, gdy ich usługi są istotne systemowo. Nawet mniejsi dostawcy, zwłaszcza dostawcy usług IT i zarządzanych w łańcuchu dostaw, mogą zostać dotknięci, gdy mają dostęp do systemów krytycznych lub stref wrażliwych. Wszystkie objęte organizacje będą zobowiązane do rejestracji w Federalnym Urzędzie Bezpieczeństwa Informacji (BSI) i wykazania zgodności na żądanie.

Prawo wprowadza rozległe obowiązki: firmy muszą ustanowić i utrzymać zarządzanie bezpieczeństwem informacji oparte na ryzyku; przeprowadzać regularne oceny ryzyka; wdrażać środki techniczne i organizacyjne, takie jak zarządzanie podatnościami i uaktualnieniami, backup i odzyskiwanie, kontrolę dostępu, uwierzytelnianie wieloskładnikowe, bezpieczną komunikację oraz bezpieczeństwo łańcucha dostaw; oraz zapewnić wykrywanie incydentów, raportowanie i reakcję na nie. Obowiązki dotyczące raportowania czasowo krytycznego obejmują pierwsze powiadomienie o poważnych incydentach w ciągu 24 godzin, raport uzupełniający w ciągu 72 godzin oraz raport końcowy po miesiącu. Regularne przeglądy skuteczności zarządzania ryzykiem będą obowiązkowe, a operatorzy kluczowych obiektów będą podlegać audytom przeprowadzanym przez BSI co trzy lata.

Co istotne, NIS2UmsuCG nie jest „miękką” wytyczną. Przewiduje znacznie silniejsze egzekwowanie i sankcje, w tym grzywny do 10 milionów euro lub 2 procent globalnego rocznego obrotu. Zarządy i dyrektorzy są osobiście odpowiedzialni za przestrzeganie przepisów i mogą ponieść indywidualne konsekwencje, w tym zakazy pełnienia funkcji kierowniczych, za poważne naruszenia. Ustawa ma wejść w życie pod koniec 2025 roku lub na początku 2026 roku, a nie planuje się długich okresów przejściowych, dlatego firmom zaleca się działanie już teraz: ocenić, czy kwalifikują się do kategorii krytycznych, rozpocząć budowę lub ulepszanie ISMS zgodnego z normą ISO 27001, włączyć pracowników na wszystkich poziomach oraz zaangażować dostawców na wczesnym etapie.

Dla wielu organizacji, zwłaszcza tych, które zostały niedawno objęte zakresem, czekanie aż ustawa zostanie uchwalona, będzie zbyt późne. Przesłanie od ekspertów jest jasne: NIS-2 to nie tylko kolejny wymóg zgodności, lecz strukturalna zmiana w kierunku bardziej solidnego cyberbezpieczeństwa w całej europejskiej gospodarce. Firmy, które działają wcześnie, mogą nie tylko uniknąć sankcji, ale również wzmocnić swoją odporność, chronić operacje oraz budować zaufanie z klientami i partnerami w coraz bardziej wrogim środowisku cybernetycznym.