ข้อบังคับ NIS2UmsuCG ที่จะมาถึงของเยอรมนี (พระราชบัญญัติว่าด้วยการดำเนินการตามแนวทาง NIS-2 และการควบคุมหลักการสำคัญของการจัดการความปลอดภัยข้อมูลในหน่วยงานของรัฐบาลกลาง) เป็นการกระชับกฎระเบียบด้านความปลอดภัยทางไซเบอร์สำหรับธุรกิจและสถาบันสาธารณะ โดยมีพื้นฐานจากแนวทาง NIS-2 ของสหภาพยุโรป กฎหมายนี้จะเข้ามาแทนที่ BSI Act ปัจจุบัน และขยายภาระหน้าที่ไปไกลกว่าระบอบ KRITIS เดิม โดยไม่เพียงแค่การมีผลกระทบต่อผู้ดำเนินงานโครงสร้างพื้นฐานสำคัญเกิน 800 รายเท่านั้น แต่คาดว่าจะใช้กับองค์กรสูงถึง 30,000 แห่งใน 18 ภาคส่วน รวมถึงพลังงาน การขนส่ง สุขภาพ โครงสร้างพื้นฐานดิจิทัล โทรคมนาคม การธนาคาร การบริหารสาธารณะ อาหาร เคมี การจัดการของเสีย การผลิต และบริการดิจิทัลที่สำคัญ

ภายใต้กรอบงานใหม่ เอนทิตีต่างๆ จะถูกจัดประเภทเป็น "มีความสำคัญอย่างยิ่ง" หรือ "สำคัญ" ตามภาคส่วนและขนาด บริษัทใหญ่ในภาคผนวก 1 และผู้ประกอบการของสิ่งอำนวยความสะดวกที่มีความสำคัญวิกฤติจะถูกพิจารณาว่ามีความสำคัญอย่างยิ่ง ในขณะที่บริษัทขนาดกลางและบริษัทในภาคผนวก 2 อาจถูกจัดประเภทว่ามีความสำคัญ ผู้ให้บริการดิจิทัลบางแห่งและผู้ประกอบการโครงสร้างพื้นฐานถูกครอบคลุมไม่ว่าจะมีขนาดเท่าใด เมื่อบริการของพวกเขาวิฤกษ์ระบบ แม้แต่ผู้จัดหาขนาดเล็ก โดยเฉพาะผู้ให้บริการด้าน IT และบริการที่มีการจัดการในห่วงโซ่อุปทาน อาจถูกกระทบเมื่อต้องเข้าถึงระบบที่มีความสำคัญหรือพื้นที่ที่อ่อนไหว องค์กรที่ครอบคลุมทั้งหมดจำเป็นต้องลงทะเบียนกับสำนักงานความมั่นคงข้อมูลแห่งชาติ (BSI) และแสดงถึงการปฏิบัติตามเมื่อมีการร้องขอ

กฎหมายนี้นำเสนอกิจการที่ครอบคลุม: บริษัทต้องจัดตั้งและดูแลระบบการจัดการความปลอดภัยของข้อมูลบนพื้นฐานความเสี่ยง; ดำเนินการประเมินความเสี่ยงอย่างสม่ำเสมอ; นำมาตรการทางเทคนิคและองค์กรมาใช้เช่น การจัดการช่องโหว่และแพทช์, การสำรองข้อมูลและกู้คืน, การควบคุมการเข้าถึง, การยืนยันตัวตนหลายปัจจัย, การสื่อสารที่ปลอดภัย, และความปลอดภัยของห่วงโซ่อุปทาน; และต้องมั่นใจในเรื่องการตรวจจับ, รายงาน, และการตอบสนองต่อเหตุการณ์. ข้อผูกพันในการรายงานเวลาวิกฤตจะถูกนำมาใช้อย่างเป็นลำดับ, รวมถึงการแจ้งเตือนเบื้องต้นของเหตุการณ์ร้ายแรงภายใน 24 ชั่วโมง, รายงานติดตามภายใน 72 ชั่วโมง, และรายงานสุดท้ายหลังจากหนึ่งเดือน. การทบทวนประสิทธิภาพของการจัดการความเสี่ยงจะเป็นสิ่งจำเป็น, และผู้ดำเนินการสิ่งอำนวยความสะดวกที่สำคัญจะเผชิญกับการตรวจสอบนำโดย BSI ทุกสามปี.

ที่สำคัญ, NIS2UmsuCG ไม่ใช่แนวทางที่ "อ่อนนุ่ม" มันมีการบังคับใช้และการลงโทษที่เข้มงวดมากขึ้น รวมถึงค่าปรับสูงสุดถึง 10 ล้านยูโร หรือร้อยละ 2 ของรายได้รวมประจำปีทั่วโลก คณะกรรมการและกรรมการบริหารมีหน้าที่รับผิดชอบในการปฏิบัติตามกฎหมายและอาจเผชิญกับผลที่ตามมาเป็นรายบุคคล ซึ่งรวมถึงการห้ามดำรงตำแหน่งบริหารในกรณีละเมิดร้ายแรง ด้วยกฎหมายที่คาดว่าจะมีผลบังคับใช้ในช่วงปลายปี 2025 หรือต้นปี 2026 และไม่มีการวางแผนช่วงการเปลี่ยนที่ยาวนาน บริษัทต่าง ๆ ควรดำเนินการตั้งแต่ตอนนี้: ประเมินว่าตนเองอยู่ในประเภทที่สำคัญหรือไม่ เริ่มสร้างหรืออัปเกรด ISMS ตามมาตรฐาน ISO 27001 มีส่วนร่วมกับพนักงานในทุกระดับ และเริ่มมีส่วนร่วมกับซัพพลายเออร์ในระยะเริ่มต้น

สำหรับองค์กรหลายแห่ง โดยเฉพาะอย่างยิ่งองค์กรที่เพิ่งถูกนำเข้ามาในขอบข่าย การรอจนกว่ากฎหมายจะผ่านก็อาจสายเกินไป ข้อความจากผู้เชี่ยวชาญนั้นชัดเจน: NIS-2 ไม่ใช่เพียงแค่การปฏิบัติตามกฎเกณฑ์เพิ่มเติม แต่เป็นการเปลี่ยนแปลงเชิงโครงสร้างไปสู่ความปลอดภัยทางไซเบอร์ที่แข็งแกร่งยิ่งขึ้นทั่วเศรษฐกิจยุโรป บริษัทที่เคลื่อนไหวก่อนจะไม่เพียงหลีกเลี่ยงการคว่ำบาตร แต่ยังเสริมสร้างความทนทาน ปกป้องการดำเนินงานของตน และสร้างความไว้วางใจกับลูกค้าและพันธมิตรในสภาพแวดล้อมไซเบอร์ที่นับวันจะท้าทายมากขึ้นเรื่อยๆ