Предстоящий немецкий закон NIS2UmsuCG (Закон о реализации Директивы NIS-2 и регулировании основных принципов управления информационной безопасностью в федеральной администрации) ознаменует значительное ужесточение правил кибербезопасности для бизнеса и государственных учреждений. Основываясь на Директиве NIS-2 ЕС, этот закон заменит действующий Закон BSI и существенно расширит обязательства за пределы нынешнего режима KRITIS. Вместо того чтобы затрагивать чуть более 800 операторов критической инфраструктуры, ожидается, что он будет распространяться на до 30 000 организаций в 18 секторах, включая энергетику, транспорт, здравоохранение, цифровую инфраструктуру, телекоммуникации, банковское дело, государственное управление, производство продуктов питания, химию, управление отходами, производство и ключевые цифровые услуги.

В рамках новой структуры организации классифицируются как «особо важные» или «важные» в зависимости от сектора и размера. Крупные компании в секторах Приложения 1 и операторы критических объектов, как правило, считаются особо важными, в то время как компании среднего размера и компании в секторах Приложения 2 могут быть классифицированы как важные. Некоторые поставщики цифровых услуг и операторы инфраструктуры охватываются независимо от размера, если их услуги являются критически важными для системы. Даже более мелкие поставщики, особенно ИТ-компании и компании, управляющие услугами в цепи поставок, могут быть затронуты, когда они получают доступ к критическим системам или чувствительным областям. Все охватываемые организации будут обязаны зарегистрироваться в Федеральном управлении информационной безопасности (BSI) и демонстрировать соответствие по запросу.

Закон вводит обширные обязанности: компании должны установить и поддерживать систему управления информационной безопасностью, основанную на оценке рисков; проводить регулярные оценки рисков; внедрять технические и организационные меры, такие как управление уязвимостями и обновлениями, резервное копирование и восстановление, контроль доступа, многофакторная аутентификация, защищенные коммуникации и безопасность цепочки поставок; и обеспечивать обнаружение, отчетность и реагирование на инциденты. Применяются обязательства по отчетности в сжатые сроки, включая первоначальное уведомление о серьезных инцидентах в течение 24 часов, последующий отчет в течение 72 часов и окончательный отчет через месяц. Регулярные проверки эффективности управления рисками станут обязательными, а операторы критических объектов будут проходить аудиты под руководством BSI каждые три года.

Ключевым моментом является то, что NIS2UmsuCG — это не «мягкое» руководство. Оно предусматривает значительно более жесткое применение и санкции, включая штрафы до 10 миллионов евро или 2 процента от мирового годового оборота. Члены совета директоров и руководители несут личную ответственность за соблюдение и могут столкнуться с индивидуальными последствиями, включая запреты на занятие руководящих должностей, за серьезные нарушения. Ожидается, что закон вступит в силу в конце 2025 или начале 2026 года, и долгие переходные периоды не предусмотрены, поэтому компаниям рекомендуется действовать уже сейчас: оценить, попадают ли они в критические категории, начать формировать или модернизировать СУИБ, ориентированную на ISO 27001, подключать персонал на всех уровнях и заранее привлекать поставщиков.

Для многих организаций, особенно тех, которые недавно попали в сферу действия, ожидание принятия закона будет слишком поздним. Сообщение от экспертов ясно: NIS-2 - это не просто ещё одно упражнение по соблюдению норм, а структурный сдвиг в сторону более надежной кибербезопасности в европейской экономике. Компании, которые начнут действовать заранее, смогут не только избежать санкций, но также укрепить устойчивость, защитить свои операции и построить доверие с клиентами и партнёрами в условиях все более враждебной киберсреды.