隨著《NIS2實施法案》(NIS2UmsuCG)於2025年12月6日生效,網路安全正式成為最高管理階層的職責。目前,德國約有29,500家公司和機構受其監管,而先前受KRITIS框架監管的機構僅約有4,500家。
該法規的一個重點是管理階層的責任。根據NIS2,總經理必須確保風險管理和網路安全是公司營運不可或缺的一部分。修訂後的德國聯邦資訊安全辦公室法(BSIG)第38(1)條規定,管理階層有義務實施並監督這些措施。
根據一般公司法,管理階層仍需對因應受譴責的違約行為造成的損害承擔個人責任。 《公司法實施細則》第38(2)條在必要時對現有的責任規定進行了補充。
本文解答了最重要的問題,提供了策略背景,並概述了管理方面的實用建議。
由於轉座延遲NIS2 指令根據《基本安全措施指南》(BSIG)第30(2)條,國家法律中沒有規定實施所需技術和組織風險管理措施的過渡期。因此,管理階層必須迅速評估組織的現況並啟動合規措施。
NIS2UmsuCG適用於兩者“基本的”和“重要的”實體。分類取決於行業、公司規模和財務門檻。
受影響的組織必須在法律生效後的三個月內註冊。對許多組織而言,這意味著截止日期為2026年3月6日根據該法於 2025 年 12 月 6 日生效的日期計算。
根據第 33 條 BSIG 進行的註冊必須透過電子方式完成。 英國標準協會此入口網站由聯邦資訊安全辦公室 (BSI) 和聯邦民防與災害援助辦公室共同營運 ( BBK )。
這NIS2UmsuCG該法案以所謂的「條款法」的形式修訂了多項現有法律,特別是《聯邦資訊安全辦公室法》(BSIG)。除了傳統的關鍵資訊安全運營商(KRITIS)之外,幾乎所有供應鏈關鍵行業的公司現在都納入了該法案的管轄範圍,其定義見BSIG第28條(新版本)以及附件1和附件2中定義的行業。 BSIG (新版本)
根據 BSIG(新版)第 28 條,所謂的規模上限規則具有決定性意義:上述產業的設施如果至少符合中型企業的規模標準,則通常被認為屬於 NIS2 範疇:
BSIG(新版)第 28 條中明確列出的某些實體,無論其規模大小,均受其約束,這意味著無論公司規模大小,它們都屬於適用範圍。
對決策者和總經理的責任至關重要:即使貴公司未達到相關閾值,也可能間接受到供應鏈要求的影響。受影響的實體(例如您的客戶)將對您的資訊安全提出要求,並可能在未來要求您提供安全措施的證據。
§ 第 38 條 BSIG 明確規定,實施和監控網路安全措施的責任由管理階層承擔。
NIS2 指示標誌著一個明確的典範轉移:網路安全在法律上被確立為管理責任的一部分,安全措施的最終責任不再可以委託他人承擔。 BSIG 第 38 條從三個層面規定了這項責任:
這意味著資訊安全必須作為關鍵和增值業務流程的組成部分進行設計,並受以下方面的直接責任和監督:高階管理人員。
相關責任人必須理解這一點,才能積極主動地進行工作。無知並不能免除責任。
根據經修訂的BSIG第2條第13款,管理階層是「根據法律、公司章程或合夥協議指定,負責管理企業並代表特別重要機構或重要機構的自然人實際上,這包括總經理和執行長、董事會成員(財務長、營運長、資訊長、首席策略長)以及管理合夥人或承擔個人責任的合夥人。在目前《公司法》第2條第13款(新版)的討論中,強調了公司法人實體的管理職能至關重要。這意味著,如果法律、公司章程或合夥協議指定授權簽字人等個人負責管理公司,則他們也可以被歸類為「管理人員」。
這實用白皮書本文重點闡述了法律要求和規範要求之間的交集,並展示了組織如何透過國際標準有效地滿足預期的法律要求。 ISO 27001 。
充分利用我們專家的專業知識!
根據 BSIG(新版)第 30(1) 條規定,受影響的公司必須根據系統性的網路風險管理實施適當、相稱和有效的技術和組織措施。
對於 NIS2 董事和高階主管責任而言,這意味著風險不僅必須在技術上得到解決,而且還必須以結構化的方式進行識別、評估、優先排序和記錄。
BSIG 第 30 條要求在整個公司範圍內採取整體方法。其目標是防止組織用於提供服務的資訊技術系統、組件和流程的可用性、完整性和機密性受到干擾。 「最先進技術」至關重要,必須考慮國際標準,例如… ISO 27001和ISO 27002出於歐盟法規的目的。
第 30 (2) 節 BSIG(新版)的核心要求包括
第 32 條 BSIG(新版)規定了三階段報告程序。受影響的組織在獲悉重大安全事件後,必須在以下期限內向 BSI 和 BBK 聯合報告辦公室報告:
要遵守這些期限,需要遵循既定的流程,不能採取臨時行動。根據第 35 條 BSIG(新版本), 英國標準協會也可能要求通知受影響的客戶。
根據《比利時證券法》第65條,違規者可能被處以最高1,000萬歐元或全球年營業額2%的罰款。此外,管理階層可能因違反職責而承擔個人責任。
任何未能正確、完整、及時地實施NIS2的人員均違反相關規定,並可能面臨以下罰款:
個人責任對管理階層尤為重要。例如,在以下情況下可能適用:
重要的網路安全事件本身並不能確定責任。決定性因素在於管理階層在事件發生前、發生時和發生後是否妥善履行了其組織和監控職責。
一個資訊安全管理系統(ISMS)基於國際標準ISO 27001該標準以流程為導向,涵蓋了 BSIG 第 30 節(新版)的大部分要求。立法者明確推薦該標準作為實施輔助工具。
有效的資訊安全管理為管理階層提供的最重要的一點是:可靠的控制工具。網路安全這項抽象職責被轉化為清晰的流程、責任和決策機制。
根據修訂後的 DIN EN ISO/IEC 27001:2024 標準以及最新的資訊安全措施(控制措施),規範性附件A這樣,您可以確保您的組織得到最佳保護,免受現代威脅的侵害。
從中受益我們專家的專業知識了解 11 個新增控制項和 24 個合併控制項的全部信息,以及在實作這些控制項時需要注意的事項。
其核心原則是風險管理:以結構化的方式識別、評估和處理風險——不是選擇性地處理,而是針對整個組織。管理…
每一項決定、每一個流程步驟和每一項措施都必須記錄在案,以便在需要時向相關部門出示。
ISO 27001 標準透過附件 A 中的安全措施,也為實施 BSIG 第 30(2) 節(新版本)要求的措施提供了實用的工具箱。
重要的:符合 ISO 27001 標準的認證並非強制性要求,也不構成具有法律效力的合規證明。但是,它有助於建立健全的治理結構,並向監管機構、客戶和合作夥伴發出強烈的信任訊號。
基於 ISO 27001 的管理系統透過以下方式支援管理:
我們的認證審核提供清晰的視角。從整體、獨立的外部視角審視人員、流程、系統和結果,可以展現您的工作效率。管理系統審核內容是什麼,以及如何執行和控制。我們希望您將我們的審核視為對您管理系統的增值服務,而不是一次簡單的檢查。
我們的方法始於審核清單的終點。我們會刻意追問“為什麼”,因為我們希望了解您選擇這種方法的緣由。我們專注於改進的機會,並鼓勵您轉變視角。透過這種方式,您可以找到切實可行的行動方案,從而持續改善您的管理系統。
DQS我們以專業、客觀、公正的態度進行所有認證工作。這一點透過各國認證機構在我們全球各辦事處進行的定期認證和見證審核來驗證。您可以在我們的[連結]了解更多。審計理念。
我們的文章和白皮書均由我們的標準專家和經驗豐富的審核員撰寫。
註:為便於閱讀,我們使用通用男性形式。但所有性別認同均會在適用情況下涵蓋。
