详细内容或原文请订阅后点击阅览
“实施 NIS-2 是一项组织压力测试”
许多公司仍未完全关注 NIS-2。然而,这不再仅仅是注册要求。在本次采访中,G DATA CyberDefense 监管专家 Matthias Zuchowski 博士解释了公司现在需要做什么、典型的陷阱在哪里,以及如何务实地实施这些要求。
来源:G DATA _恶意软件许多公司仍未完全关注 NIS-2。然而,这不再仅仅是注册要求。在本次采访中,G DATA CyberDefense 监管专家 Matthias Zuchowski 博士解释了公司现在需要做什么、典型的陷阱在哪里,以及如何务实地实施这些要求。
哪些公司实际上需要注册?
Matthias Zuchowski 博士:这些要求早已为人所知,并且在立法过程中几乎没有发生根本性的改变。然而,在 IT 领域,我建议仔细观察,因为许多公司都受到间接影响,例如,作为关键基础设施的服务提供商或作为复杂供应链的一部分。值得注意的是,间接受影响的公司必须遵守某些要求,但无需注册。
评估公司结构是一个常见的障碍。集团隶属关系、股权或外包 IT 服务可能会导致公司受到影响,即使这些公司乍一看似乎并未受到监管。肤浅的评估往往是不够的。
作为初步指南,德国联邦信息安全办公室 (BSI) 提供了一项影响评估,该评估提供了有理有据的首次评估。然而,在更复杂的情况下,建议进行法律评估以避免误判。
因此,我的建议是:任何提供关键业务数字服务或构成关键价值链一部分的公司都应仔细评估其风险敞口。
受影响的公司必须在 2026 年 3 月 6 日之前实施哪些措施?
Matthias Zuchowski 博士:到这个截止日期,BSI 的注册应该已经完全完成。这不是一个单一的步骤,而是一个结构化的过程。
特别重要的是所谓的 NIS-2 接触点。它充当 BSI 的中央接口,必须随时可访问,即使在正常工作时间之外也是如此。