- 679
欧盟《网络与信息安全指令2》(NIS-2)将于今年直接转换为德国法律且不设过渡期。这意味着不仅大型关键基础设施企业,众多其他机构也将面临全新的网络安全要求。数字化咨询公司Althammer & Kill发布的免费白皮书,清晰阐述了当前需采取的措施及企业如何为即将到来的合规义务做好最佳准备。
据专注数据保护、信息安全、人工智能与合规领域的咨询公司Althammer & Kill分析,德国将有近4万家企业与组织直接或间接受NIS-2影响。这些机构或超过法定门槛(如员工超50人或年营业额超1000万欧元),或因其他原因被认定为重要/关键机构。与《供应链尽职调查法》类似,NIS-2的监管范围同样涵盖服务提供商与供应商。
Althammer & Kill GmbH & Co.KG董事总经理托马斯·阿尔特哈默表示:"联邦议院已通过NIS-2,预计德国实施法案将在数周内全面生效。欧盟的NIS-2法规已实施一段时间,尚未行动的企业应立即启动应对工作。"受监管的重要/关键企业须立即落实扩展版风险管理义务。值得注意的是:企业管理层及董事会将对风险管理措施实施与监督中的失职行为承担法律责任(《德国信息安全法》修订草案第38条第2款)。
中小企业同样可能纳入监管
对于能源、交通物流、医疗健康、数字基础设施、IT服务等领域的许多未达门槛的中小企业,目前仍存在监管不确定性。虽然原则上可豁免,但若提供关键服务或具有国家层面特殊重要性,仍可能被纳入监管范围。
根据企业规模、架构及服务范围,还可能产生间接义务。阿尔特哈默指出:"我们预计NIS-2及其他法规将发展为跨行业导向框架,未来将评估企业的'成熟度'与'技术先进性'。"
GDPR第32条"技术先进性"要求:《通用数据保护条例》规定了多项信息安全保障义务。发生数据泄露或网络攻击事件时,数据保护监管机构通常会核查已采取的技术与组织防护措施,相关措施必须形成书面记录。
网络安全保险:若企业投保网络安全险,保险公司通常要求采取适当预防措施以最大限度规避潜在风险,这往往涉及建立并运行信息安全管理体系。
排除地方政府并非明智之举
阿尔特哈默强调,将地方政府及小型行政机构排除在监管之外会释放错误信号。近期事件表明,网络犯罪已导致多地市政机构瘫痪,甚至造成敏感数据泄露。尽管行政与教育机构未被强制纳入监管,但欧盟多国已主动将其涵盖。
"当前网络威胁态势、普遍法律要求及对受托人员的注意义务,要求所有行业的中小企业及政府机构更主动地推进信息安全和业务连续性管理。"阿尔特哈默补充道,"我们希望通过免费白皮书为此提供指导。"
Althammer & Kill发布的NIS-2白皮书详述了企业实施法规的注意事项,现可免费下载:
立即下载
本资讯是由“中欧世界展会网”工作人员翻译整理,我们一家汇集全球展会时间地点资讯的服务平台,为客户提供:展位预定,参观服务,设计搭建等服务,欢迎您的来电:400-837-8606 (24小时)接听!