Поздравляем, вы теперь «критическая инфраструктура». Соболезнования вашему бюджету

Германия закон CDU CSU AfD SPD NIS-2
Поздравляем, вы теперь «критическая инфраструктура». Соболезнования вашему бюджету
Германия закон CDU CSU AfD SPD NIS-2

Страна наконец-то строит единую систему цифровой безопасности.

image

Германия усиливает защиту своей цифровой и физической инфраструктуры. После короткого обсуждения Бундестаг принял закон, который адаптирует германское законодательство к европейской директиве NIS-2 и вводит общие правила по управлению информационной безопасностью во всех федеральных ведомствах. Документ поддержали CDU/CSU, AfD и SPD; «Зелёные» проголосовали против, а «Левые» предпочли не занимать ничью сторону.

NIS-2 — это масштабное обновление правил кибербезопасности в Евросоюзе. Директива требует от стран блока ужесточить требования к компаниям и учреждениям, которые считаются критически важными: от энергетики и транспорта до связи, медицины и госуслуг. Главная цель — чтобы все государства ЕС работали по приблизительно одинаковым стандартам и были способны выдержать серьёзные кибератаки без хаоса и длительных перебоев.

Принятый в Германии закон расширяет круг компаний, которые теперь обязаны соблюдать эти правила. Многие из них раньше не подпадали под надзор и впервые столкнутся с необходимостью формально управлять рисками, вести технический учёт инцидентов и сообщать о кибератаках по чёткой процедуре. Немецкая система отчётности тоже меняется: вместо одного уведомления появляется трёхступенчатая схема — срочное сообщение о факте инцидента, промежуточные данные и финальный отчёт. Эта модель разработана в ЕС и должна ускорить реакцию на атаки, даже если подробностей инцидента пока нет.

Федеральное управление по безопасности в информационной технике (BSI) получит более широкий набор инструментов. Речь идёт о проверках, оценке качества защиты и требованиях устранить выявленные проблемы. Внутри правительственных ведомств впервые появится единая точка координации — должность CISO Bund. Это специалист, который должен выстроить общие стандарты, сделать работу министерств более согласованной и помочь им внедрить систему управления рисками.

Немецкое правительство подчёркивает, что угроза критической инфраструктуре стала одним из ключевых рисков для всей Европы. Комиссия ЕС относит её к категории наиболее опасных вызовов, наравне с климатическими катастрофами и геополитической нестабильностью. При этом раньше Германия опиралась на набор разрозненных правил и рекомендаций, и они не всегда давали одинаковый уровень защиты в разных ведомствах. Новые правила должны устранить эту разницу и сделать защиту более предсказуемой и системной.

Параллельно депутаты также начали обсуждать инициативу «Зелёных», в которой предлагается создать отдельный общий закон о защите критической инфраструктуры. По их идее он должен заменить сложный набор действующих норм и объединить физическую и цифровую безопасность под единым правовым «зонтиком». Такой подход упростил бы определение того, что именно считается критическим объектом, ввёл бы минимальные стандарты для всей страны и создал бы единую систему мониторинга нарушений.

Особое внимание «Зелёные» уделяют малым и средним компаниям. Многим из них раньше не приходилось соответствовать требованиям к КИИ, и теперь они рискуют столкнуться с бюрократией и сложными техническими требованиями. Поэтому партия предлагает сделать для бизнеса единый надзорный контакт, куда можно обращаться по всем вопросам безопасности, а также систему помощи и консультаций, чтобы компании не оставались один на один с новыми требованиями.

И принятый закон, и инициатива оппозиции показывают, что Германия пытается выстроить цельную систему защиты, в которой государственные структуры, частные компании и регионы действуют по единым, понятным правилам. На фоне растущего числа атак стране необходимо, чтобы защита критически важных объектов перестала зависеть от отрасли или конкретного ведомства и стала национальным стандартом.