NIS2 實施法：關鍵概覽

隨著 NIS2UG 的通過，長期以來與關鍵基礎設施營運商和受影響機構相關的許多問題如今已有了答案。從法律角度來看，全面修訂《BSI 法》（BSIG）是現已通過法律的核心內容，因此，法律專家可參考以下《BSIG》中的條款（§）。為了便於閱讀，我們在下文中將這些條款歸入 NIS2UG。

NIS2UG（《NIS-2 實施法》）概覽

現狀：2025 年 12 月

2022 年 12 月 27 日，NIS2 指令（「網路與資訊安全 (NIS) 指令」）在《歐盟官方公報》上發布，並於 2023 年 1 月 16 日正式生效。歐盟委員會已將關鍵基礎設施安全所面臨的物理與網路攻擊風險，確定為歐洲經濟面臨的四大主要風險之一。因此，提高經濟抵禦犯罪或國家攻擊威脅的能力，成為國家、經濟及社會相關行為者的一項核心任務。

NIS2UG 於 2025 年 12 月生效，這標誌著德國 IT 安全法發生了深刻的範式轉變。

重要問題如今可以以具約束力的方式得到解答：

• 哪些部門和機構受到影響？
• 什麼規模的公司會受到影響？
• 對技術和組織措施的要求有多具體？
• 發生事故時的罰款與董事責任如何？
• ...

德國已大幅超過歐盟範圍內實施 NIS2 指令的最後期限。原本，該期限應在 2024 年 10 月前完成。

誰會受到 NIS2 實施法案的影響？

新的 BSIG 制度大幅擴展了受監管公司的範圍。未來，不僅關鍵基礎設施（KRITIS）的營運商、具有特殊公共利益的公司以及數位服務提供商將被納入監管範圍，「特別重要機構」和「重要機構」這兩個新類別也將被涵蓋。

• 一方面，來自「特別重要」與「重要設施」的部門包括：能源、交通與運輸、金融、醫療保健、水與廢水處理、數位基礎設施與太空。
• 另一方面，來自「重要設施」的部門包括：郵政與快遞服務、廢棄物管理、化學品的生產、製造與貿易、食品的生產、加工與分銷、商品的製造與生產、數位服務提供商與研究。

然而，在這些行業經營的公司並不會自動受到影響。

NIS2UG 第 28 條根據僱員人數與財務門檻（「規模上限規則」）對「特別重要」與「重要」實體進行區分：

• 特別重要實體：附件 1 所列行業中，僱員人數超過 250 人，或年營業額超過 5,000 萬歐元，且年度資產負債表總額超過 4,300 萬歐元的公司。合格的信任服務提供商、頂級域名提供商、DNS 提供商、電信提供商及關鍵設施營運商也依特殊規定分類。
• 重要機構：附件 1 與附件 2 所列行業中，僱員人數超過 50 人，或年營業額超過 1,000 萬歐元，且年度資產負債表總額超過 1,000 萬歐元的公司。信任服務與電信服務提供商同樣受到特殊監管。

聯邦資訊安全局（BSI）的 NIS2 影響評估只需幾個步驟即可提供初步指引。然而，關鍵供應鏈中的公司，無論其規模大小，也可能間接有義務落實與 NIS2 相關的措施。

受影響組織的義務是什麼？

NIS2UG 規定了一系列適當、適度且有效的技術與組織措施，這些措施與 ISO 27001 等國際標準密切相關。核心義務包括：

• 系統化的資訊安全風險管理
• 風險分析與安全概念
• 事件管理
• 業務持續管理與應急計畫
• 備份與加密解決方案
• 供應鏈安全檢查（供應鏈安全）
• 員工培訓與安全意識提升措施
• 定期稽核與檢查

這些技術與組織措施的目的，是防止相關機構在提供服務時所使用的資訊技術系統、元件與流程的可用性、完整性與保密性遭到破壞。此外，一個非常重要的經濟目標是將安全事故的影響降至最低。

NIS2 實施法案規定了哪些報告義務？

第 32 條規定引入三階段報告制度。在發生重大安全事件時，受影響的公司有義務：

• 立即向聯邦資訊安全局 (BSI) 與聯邦民事保護及災難援助局 (BBK) 的聯合報告辦公室提交早期初步報告，最遲需在獲悉事件後 24 小時內完成。
• 在 72 小時內確認或更新該報告，並提供事件嚴重性與影響的初步評估。
• 在報告事件後一個月內提交最終報告，詳細說明事件並揭露原因。

若安全事件持續超過一個月，則必須提交進展報告。

罰款規定是如何構成的？

任何人故意或因疏忽而違反 NIS2 要求，或未採取措施，或未正確、完整或及時地採取措施，均屬第 65 條所規定的行政違法行為。其中詳細列出的行政違規行為將被處以罰款。處罰方式與違反《一般資料保護條例》（GDPR）的行為類似。

對於特別重要的機構，罰款上限為 1,000 萬歐元；對於年營業額超過 5 億歐元的機構，罰款上限為年營業額的 2%。與 GDPR 相同，上述行政違法行為在法律生效後肯定不會立即受到處罰。然而，在該法生效後的數年內，任何故意或過失違反該法的人都可能被處以罰款。

受影響的公司必須做些什麼？

根據第 33 條的規定，任何登記義務均適用於「特別重要的實體」、「重要的實體」以及某些服務提供商。這些公司在首次或再次被視為上述實體之一，或提供特定服務後，有義務在新法生效後三個月內完成登記。因此，及早確認受影響的實體並進行合法合規的註冊是當務之急。

如何實現 NIS2 合規？

沒有「唯一」的方法！具體方式取決於公司的規模、可用資源及其他考量因素。原則上，在資訊安全領域採取適當的風險管理方法是有意義的。對最新技術以及歐洲或國際標準的交叉引用，說明了受影響組織應採取的進一步行動。

根據我們的經驗，我們可以確認，依照國際標準 ISO 27001 建立資訊安全管理系統，是依據第 30 條第 1 款有效落實技術與組織措施的可靠起點。

NIS2 是否需要 ISO 27001 認證？

不需要。NIS2 準則不要求認證，也不是具有法律約束力的合規證明。必須明確區分 NIS2UmsuCG 的法律要求與資訊安全管理系統的技術和組織措施。然而：ISO 27001 規定了許多與落實 NIS2 相關的架構和流程。但是，它不能替代具體的法律要求。企業必須持續檢查並獨立履行各自對主管機關的義務。

簡而言之：ISO 27001 涵蓋了 NIS2 的大部分技術和組織要求，其實用的附件 A 為滿足合規要求提供了堅實的基礎。無論 NIS2UG 如何，能證明符合該標準的組織也向主管機關、業務夥伴和客戶發出了強烈的信任信號。

NIS2 實施法案——結論

據歐洲中央銀行估計，全球每年因網路攻擊造成的損失高達數千億美元，其中歐洲佔了很大比例。網路威脅形勢已發生重大變化，並正在造成巨大的經濟損失。隨著雲端服務的廣泛使用，企業正處於充滿挑戰的技術轉型期。

基於這些原因，歐盟議會和理事會通過了《NIS2 指令》，以規範歐洲經濟區的全面網路安全。《NIS2 指令》的目的是確保歐盟具備較高的共同網路安全水準。其目標是建立全面且可持續的經濟保護，不僅涵蓋與資訊技術相關的技術措施，還包括組織與人員領域的風險最小化計畫。

NIS2UG 於 2025 年 12 月 6 日生效，標誌著德國網路安全的一個里程碑。NIS2UG 第 30 條提到的技術與組織措施，與國際公認的 ISO 27001 標準在內容上有高度重疊。依照著名的 ISO 標準導入並落實資訊安全管理系統，無疑為支持合規性證明奠定了堅實且可持續的基礎。

與 DQS 攜手共進

我們的認證稽核為您提供清晰的資訊。透過對人員、流程、系統和成果的全面且中立的外部觀察，我們能夠了解您的管理體系的有效性，以及其落實與管控情況。對我們而言，重要的是您不要將我們的稽核視為檢查，而要視為對您管理體系的提升與豐富。

我們的方法總是從稽核檢查表結束的地方開始。我們會特別詢問「為什麼」，因為我們希望理解貴公司選擇特定實施方式的原因。我們專注於改進的潛力，並鼓勵不同的觀點。透過這種方式，您能夠認識到可供選擇的行動方案，從而持續改進您的管理體系。

DQS 以勝任、客觀、中立和公正的方式開展所有認證工作。國家認證機構每年都會在 DQS 進行多次認證稽核與見證稽核，這就是最好的證明。您可以在我們的稽核理念中找到更多相關資訊。

信任與專業知識

我們的文章和白皮書完全由我們的標準專家或資深稽核員撰寫。若您對文章內容或我們為作者提供的服務有任何疑問，請發送電子郵件至：[email protected]。

註：為提高可讀性，我們使用通用的男性稱呼。不過，在聲明需要的情況下，該指令涵蓋所有性別身份的人。