連邦議会、NIS2実施法を可決

ImageFlow – shutterstock.com

連邦議会は2025年11月13日、NIS-2指令の実施に関する連邦政府の法案を可決しました。CDU/CSU、SPD、AfDが賛成し、法案が不十分だとする緑の党は反対しました。左派会派は棄権しました。

新たな規定の影響を受けるのは、推定29,850の企業および連邦行政機関です。これらは今後、より多くの予防措置を講じるだけでなく、リスク分析、緊急時対応計画、バックアップコンセプト、暗号化などに関する一定の最低基準も遵守しなければなりません。

さらに、該当する機関は、すべての関連するITセキュリティインシデントについて連邦情報セキュリティ庁（BSI）に報告する義務があります。サイバー攻撃を受けた場合、企業は24時間以内に報告し、72時間以内に中間報告、1か月以内に最終報告を提出しなければなりません。

もう一つのポイントとして、この法律によりBSIの監督権限が拡大され、重大な違反の場合には罰金を科すことも可能になります。また、今後は連邦CISOもセキュリティ当局に配置されます。

重要なITコンポーネントに関する新規定

さらに、法案には「重要コンポーネントの使用禁止」に関する規定も含まれています。これは、スパイ活動や破壊工作の可能性がある特定の国のハードウェア、ソフトウェア、クラウドサービスの使用を、どのような場合に禁止できるかを定めるものです。

このような禁止措置は、今後、関係省庁と調整の上、連邦内務省が発動することになります。「その使用がドイツ連邦共和国の公共秩序または安全を損なうおそれがある場合」に適用されます。

専門家からの批判

Bitkomは、「重要コンポーネント」に関する新規定が急遽法案に盛り込まれたことについて否定的です。「企業には信頼できる枠組みが必要であり、禁止措置は事業活動に大きな影響を及ぼす可能性がある」とBitkom会長ラルフ・ヴィンターガイストは声明で批判しています。「このような重要な決定の前には、必ず関係者への事前の協議が必要です。」

デジタル協会の見解では、重要コンポーネントの定義は今後も技術的基準に基づき、連邦ネットワーク庁とBSIによって行われるべきであり、連邦内務省が主導すべきではないとしています。

また、eco協会も、連邦議会の可決前から「重要コンポーネント」に関する介入権限が不確実性をもたらすと警告していました。「新しい点は、今後連邦内務省が運用者からの報告がなくても、コンポーネントの禁止に積極的に動けるようになることです。企業にとっては、内務省の判断が高額な交換義務につながる可能性がある」と、ecoのKRITIS専門グループ責任者ウルリッヒ・プラーテ氏は説明しています。

経済的観点からは、これは投資の明確性や信頼性に対するリスクとなります。同時に、監督や制裁が今後さらに内務省に集約されることになるとプラーテ氏は付け加えます。彼の見解では、これは「サイバーセキュリティ体制の政治的中央集権化へのさらなる一歩」です。

ecoの専門家はさらに、「BSIの役割は強化されたものの、BSI認証の経済界における意義や価値は、依然として政治的判断に左右されるため評価が難しい」とも指摘しました。

可決された法案は、セキュリティ業界でも厳しく批判されています。セキュリティ専門家のクリストフ・エーベリング氏は、この決定は「政治的スキャンダルに等しい」と見なしています。DevSecOpsスペシャリストはLinkedIn投稿で、「EU案は議会審議の過程でさらに骨抜きにされ、重要な箇所では弱体化された。特に、現代サイバーセキュリティの核心である脆弱性管理の義務がほぼ完全に削除されたのは、現実の風刺だ」と非難しています。