Young Female Employee Wearing Glasses Uses Tablet in System Control Center. In the Background Her Co

NIS2實施法案概述

馬庫斯耶格爾卡

DQS資安專家及審核員

12月 14 , 2025

《NIS2實施法》（NIS2UmsuCG）於2025年12月5日在聯邦法律公報上公佈，並於2025年12月6日聖尼古拉斯節生效。這結束了受影響公司和當局長期的不確定性。

自生效以來，適用範圍將擴大至約29,500家機構，而此前僅約4,500家。技術和組織措施的實施沒有過渡期。但是，受NIS2UG影響的公司在首次申報（「註冊」）時有特定的過渡期：註冊最遲必須在法律生效後三個月內完成。本文已為您總結了最重要的變更。

隨著《國家資訊系統安全法》（NIS2UmsuCG）的通過，許多長期以來困擾關鍵基礎設施營運商和相關機構的問題如今得以解答。該法的核心是對《聯邦資訊系統法》（BSIG）的全面修訂，其法律依據完全正確，因此法律專家在下文中引用了BSIG中的相關條款（§）。為了方便閱讀，本文將對《國家資訊系統安全法》（NIS2UmsuCG）中的相關章節進行標註。

NIS2UmsuCG（NIS-2實施法案）概覽

狀態：2025年12月

2022年12月27日，《網路與資訊安全指令》（NIS2指令）在歐盟官方公報上發布，並於2023年1月16日生效。歐盟委員會已將關鍵基礎設施安全面臨的實體和網路攻擊風險列為歐洲經濟面臨的四大主要風險之一。因此，增強經濟抵禦犯罪或國家攻擊的能力，是國家、經濟和社會各界人士的核心任務。

NIS2UmsuCG 於 2025 年 12 月生效，標誌著德國 IT 安全法的深刻典範轉移。

重要問題現在可以以具有約束力的方式得到解答：

哪些行業和機構受到影響？
受影響的公司規模有多大？
對技術和組織措施的要求會有多具體？
如果發生事故，罰款和董事責任該如何界定？
…

德國已遠遠超過了歐盟範圍內實施NIS2指令的最後期限。原計劃的實施期限為2024年10月。

CTA cover for English whitepaper NIS2 Directive vs. ISO 27001 Mapping requirements

NIS2實施法案會影響哪些人？

新的BSIG制度顯著擴大了受監管公司的範圍。未來，不僅關鍵基礎設施營運商（KRITIS）、特殊公共利益公司以及數位服務提供者將被納入監管範圍，還將包括以下新類別：特別重要的機構“ 和 ”重要機構“。”

一方面，從「特別重要」和「重要設施」領域來看：能源、交通、金融、醫療保健、水和污水處理、數位基礎設施和航太。
另一方面，來自「重要設施」行業的包括：郵政和快遞服務、廢棄物管理、化學品生產、製造和貿易、食品生產、加工和分銷、商品製造和生產、數位服務提供者以及研究。

然而，在這些行業運營的公司不會自動受到影響。

根據員工人數和財務門檻（「規模上限規則」），NIS2UmsuCG 第 28 節對「特別重要」實體和「重要」實體進行了區分：

特別重要的實體指附件一所列產業中，員工人數超過250人或年營業額超過5,000萬歐元，且年度資產負債表總額超過4,300萬歐元的公司。合格的信任服務供應商、頂級域名供應商、DNS供應商、電信供應商和關鍵設施業者也適用特殊規定。
附件1和附件2所列行業的公司，如果員工人數超過50人或營業額超過1000萬歐元且年度資產負債表總額超過1000萬歐元，則被視為符合條件的公司。重要機構信託服務和電信服務提供者也受特殊法規的約束。

聯邦資訊安全辦公室的 NIS2 影響評估（英國標準協會它只需幾個步驟即可提供初步指導。然而，無論規模大小，處於關鍵供應鏈的公司也可能間接有義務實施與NIS2相關的措施。

受影響的組織有哪些義務？

NIS2UmsuCG規定了一系列適當、相稱且有效的技術和組織措施，這些措施與國際標準緊密銜接，例如： ISO 27001核心義務包括

系統化資訊安全風險管理
風險分析與安全概念
事件管理
業務連續性管理和應急計劃
備份和加密解決方案
供應鏈安全檢查（供應鏈安全）
員工培訓和意識提升措施
定期審計和檢查

這些技術和組織措施旨在防止相關機構用於提供服務的IT系統、組件和流程的可用性、完整性和保密性受到干擾。此外，一項非常重要的經濟目標是最大限度地減少安全事件的影響。

NIS2實施法案規定了哪些報告義務？

第 32 條規定引入三階段報告製度。當發生重大安全事件時，受影響的公司有義務…

立即向聯邦資訊安全辦公室 (BSI) 和聯邦民防與災害援助辦公室 (BBK) 的聯合報告辦公室提交初步報告，最晚不得超過 [日期]。 24小時意識到該事件發生。
請在此期限內確認或更新此報告。 72小時並補充對嚴重性和影響的初步評估。
最晚於一個月在報告事件後，詳細解釋事件經過並揭露原因。

如果安全事件持續超過一個月，則必須提交進度報告。

附註：NIS2實施法案中有爭議的條款

根據第30條規定，管理階層在風險管理措施的實施和監控方面負有明確的組織和監督職責。如果管理階層違反職責，機構的責任索賠將根據第38條第（2）款的規定，適用公司法的相關規定。與先前的草案相比，管理階層對機構的這種內部責任有所減輕。
在立法過程中，一個主要的批評點是最初的意圖是將聯邦政府排除在外。如今，這項漏洞已被堵住：聯邦各部會、機構和其他聯邦組織現在也必須遵守《聯邦資訊安全法》（BSIG），並滿足最低資訊安全要求。未來，聯邦資訊安全局（BSI）將以「聯邦政府首席資訊安全官」（CISO Bund）的新角色進行集中協調。該官員將支援各部門落實資訊安全管理要求。

罰款條款是如何制定的？

任何人故意或疏忽違反NIS2要求，或未採取措施，或未正確、完整或及時地採取措施，均構成第65條所定義的行政違法行為。該條詳細列出的行政違法行為將被罰款。這些處罰方式與違反《一般資料保護規範》（GDPR）的處罰方式類似。

對於特別重要的機構，罰款上限為1000萬歐元；對於年營業額超過5億歐元的機構，罰款上限為年營業額的2%。與GDPR一樣，上述行政違法行為在法律生效後不會立即受到處罰。但是，在法律生效後的幾年內，任何故意或過失違反該法律的人都可能被處以罰款。

受影響的公司需要做什麼？

根據第33條規定，任何註冊義務均適用於「特別重要實體」、「重要實體」以及某些有義務註冊的服務提供者。不得晚於三個月後新法律生效在首次或再次被認定為上述實體之一，或提供某些服務後，應儘早識別其是否屬於受影響實體並進行合法合規的註冊。

如何實現NIS2合規性？

沒有「唯一」的方法！具體方法取決於公司規模、可用資源和其他因素。原則上，在資訊安全領域考慮合適的風險管理方法是明智之舉。參考現有技術和歐洲或國際標準，則為相關組織提供了進一步的行動方向。

根據我們的經驗，我們可以證實以下說法：資訊安全管理系統符合國際標準ISO 27001代表根據第 30 條第 1 款有效實施技術和組織措施的可靠起點。

questions-answers-dqs-question mark on wooden dice on table

NIS2 是否需要 ISO 27001 認證？

不。 NIS2 指南沒有要求認證並且，它不具有法律約束力，不能作為合規性的證明。必須明確區分NIS2UmsuCG的法律要求與資訊安全管理系統的技術與組織措施。然而，ISO 27001涵蓋了許多與NIS2實施相關的結構和流程，但它並不能取代具體的法律要求。企業必須繼續獨立檢查並履行其對監管機構的相應義務。

簡而言之： ISO 27001涵蓋了NIS2的大部分技術和組織要求，並且具有實用性。附件A這為滿足合規要求奠定了堅實的基礎。無論是否符合 NIS2UG 標準，符合該標準的組織也能向監管機構、業務夥伴和客戶發出強烈的信任訊號。

NIS2實施法案－結論

根據歐洲中央銀行估計，全球網路攻擊造成的損失每年高達數千億美元，其中歐洲佔了相當大的比例。網路威脅情勢已發生顯著變化，並造成了巨大的經濟損失。隨著雲端服務的廣泛應用，各組織機構正面臨充滿挑戰的技術轉型。

基於上述原因，以及其他一些原因，歐盟議會和理事會通過了《網路資訊安全指令2》(NIS2)，旨在規範歐洲經濟區的全面網路安全。 NIS2指令的目標是確保歐盟擁有高水準的共同網路安全。其目標是建立全面且可持續的經濟保護機制，該機制不僅包括…與資訊科技相關的技術措施此外，也制定了組織和人事方面的風險最小化計畫。

《NIS2UG》於2025年12月6日生效，標誌著德國網路安全發展的里程碑。 NIS2UG第30條涉及的技術和組織措施在內容上與國際公認的標準有很大重疊。 ISO 27001標準。依照眾所周知的標準引進和實施資訊安全管理系統。 ISO標準無疑為合規性證明提供了堅實而可持續的基礎。