अनुसंधान फरवरी 24, 2026 18 मिनट पढ़ें

NIS2 अनुपालन: यूरोपीय कंपनियों के लिए पूर्ण गाइड

जर्मनी का NIS2 transposition कानून 5 दिसंबर, 2025 को लागू हुआ। BSI पंजीकरण की समय सीमा मार्च 2026 में आती है। यह गाइड CISOs, IT Directors, और अनुपालन अधिकारियों को जानने की जरूरत वाली हर चीज को कवर करता है: किसे comply करना है, दायित्व क्या हैं, जुर्माना कैसा दिखता है, और एक व्यावहारिक अनुपालन रोडमैप कैसे बनाएं।

160K+
EU Entities in Scope
€10M
अधिकतम जुर्माना
18
कवर किए गए क्षेत्र
24h
घटना रिपोर्टिंग

NIS2 Directive क्या है?

ℹ️ संदर्भ

NIS2 Directive (Directive (EU) 2022/2555) 2016 के मूल NIS Directive को replace करता है, जिसे scope और enforcement में व्यापक रूप से अपर्याप्त माना गया था। यह NIS1 के तहत ~10,000 entities से coverage को नाटकीय रूप से EU भर में अनुमानित 160,000+ entities तक विस्तारित करता है।

NIS2 को तीन मौलिक कमजोरियों को संबोधित करने के लिए डिज़ाइन किया गया था: Member States में असंगत transposition, केवल संकीर्ण क्षेत्रों को कवर करने वाला सीमित scope, और परिवर्तन को चलाने के लिए बहुत कम जुर्माने के साथ कमजोर enforcement

जर्मनी में, NIS2UmsuCG (NIS2 Implementation and Cybersecurity Strengthening Act) 5 दिसंबर, 2025 को लागू हुआ। BSI नामित पर्यवेक्षी प्राधिकरण है, और पंजीकरण की समय सीमा 6 मार्च, 2026 से शुरू होती है।


NIS2 के साथ किसे Comply करना होगा?

NIS2 designation-based approach से size-cap mechanism में shift हुआ। संगठन स्वचालित रूप से scope में हैं यदि वे sector और size मानदंडों को पूरा करते हैं।

Annex I — उच्च आलोचनात्मकता के क्षेत्र (11 क्षेत्र)

क्षेत्रउदाहरण
ऊर्जाबिजली, तेल, गैस, हाइड्रोजन, district heating
परिवहनहवाई, रेल, जल, सड़क परिवहन
बैंकिंगक्रेडिट संस्थान
वित्तीय बाजार infrastructureTrading venues, central counterparties
स्वास्थ्यअस्पताल, प्रयोगशालाएं, pharma, medical devices
पेयजलआपूर्ति और वितरण
अपशिष्ट जलसंग्रह, निपटान, उपचार
डिजिटल infrastructureIXPs, DNS, TLD registries, cloud, data centres, CDNs
ICT service management (B2B)MSPs, MSSPs
सार्वजनिक प्रशासनकेंद्र सरकार की entities
अंतरिक्षGround-based infrastructure operators

Annex II — अन्य महत्वपूर्ण क्षेत्र (7 क्षेत्र)

क्षेत्रउदाहरण
डाक और कूरियर सेवाएंडाक सेवा प्रदाता
अपशिष्ट प्रबंधनसंग्रह, परिवहन, उपचार
रासायनिक निर्माणउत्पादन, वितरण
खाद्य उत्पादनप्रसंस्करण, वितरण (बड़े पैमाने पर)
विनिर्माणMedical devices, electronics, machinery, vehicles
डिजिटल प्रदाताMarketplaces, search engines, social networks
अनुसंधानमहत्वपूर्ण प्रभाव वाले अनुसंधान संगठन

आकार की सीमाएं

⚠️ आकार-स्वतंत्र Coverage

कुछ entities आकार की परवाह किए बिना scope में हैं: qualified trust service providers, TLD registries, DNS providers, telecommunications providers, सार्वजनिक प्रशासन, और आवश्यक सेवाओं के एकमात्र प्रदाता।


Essential बनाम Important Entities

पहलूEssential EntitiesImportant Entities
पर्यवेक्षणProactive (ex-ante)Reactive (ex-post)
अधिकतम जुर्माना€10M या global टर्नओवर का 2%€7M या global टर्नओवर का 1.4%
ऑडिटनियमित, अनिवार्यगैर-अनुपालन के साक्ष्य पर
सुरक्षा आवश्यकताएंसमानसमान

मुख्य अंतर्दृष्टि

सुरक्षा दायित्व दोनों tiers के लिए समान हैं। अंतर केवल पर्यवेक्षण की तीव्रता और जुर्माने की सीमा में निहित है।


मुख्य NIS2 आवश्यकताएं (Article 21)

10 अनिवार्य दायित्व

घटना रिपोर्टिंग Timeline

समय सीमाआवश्यकताउद्देश्य
24 घंटेCSIRT को प्रारंभिक चेतावनीसंकेत कि एक महत्वपूर्ण घटना हुई
72 घंटेआकलन के साथ घटना अधिसूचनागंभीरता, प्रभाव, compromise के संकेतक
1 महीनाअंतिम रिपोर्टमूल कारण विश्लेषण, प्रभाव, शमन उपाय

⚠️ Board-Level व्यक्तिगत दायित्व

Article 20 प्रबंधन निकायों को साइबर सुरक्षा उपायों को मंजूरी देने, प्रशिक्षण से गुजरने, और व्यक्तिगत जिम्मेदारी वहन करने की आवश्यकता है। जर्मनी के NIS2UmsuCG के तहत, executives व्यक्तिगत जुर्माने और प्रबंधन भूमिकाओं से संभावित अस्थायी निलंबन का सामना करते हैं। यह दायित्व पूरी तरह से प्रत्यायोजित नहीं किया जा सकता


NIS2 जुर्माने और Enforcement

€10M
Essential Entity जुर्माना
2%
Global टर्नओवर का
€7M
Important Entity जुर्माना
1.4%
Global टर्नओवर का

जुर्माने से परे, प्राधिकरण बाध्यकारी निर्देश जारी कर सकते हैं, गतिविधियों को बंद करने का आदेश दे सकते हैं, गैर-अनुपालन के सार्वजनिक प्रकटीकरण की आवश्यकता कर सकते हैं, प्रमाणपत्रों को निलंबित कर सकते हैं, और — essential entities के लिए — जिम्मेदार व्यक्तियों के लिए अस्थायी रूप से प्रबंधन कार्यों को प्रतिबंधित कर सकते हैं।

⚠️ साइबर सुरक्षा के लिए GDPR-स्केल जुर्माना

€1 बिलियन राजस्व वाली कंपनी के लिए, अधिकतम essential entity जुर्माना €20 मिलियन है। D&O बीमा पॉलिसियों की coverage gaps के लिए समीक्षा की जानी चाहिए — व्यक्तिगत दायित्व को पूरी तरह से बीमा नहीं किया जा सकता है।


NIS2 Timeline: महत्वपूर्ण तिथियां

तिथिमील का पत्थर
27 दिसंबर, 2022EU के आधिकारिक जर्नल में NIS2 प्रकाशित
16 जनवरी, 2023NIS2 लागू होता है
17 अक्टूबर, 2024सभी Member States के लिए Transposition समय सीमा
5 दिसंबर, 2025जर्मनी: NIS2UmsuCG लागू होता है
6 मार्च, 2026जर्मनी: BSI पंजीकरण समय सीमा
17 अक्टूबर, 2027यूरोपीय आयोग NIS2 कार्यप्रणाली की समीक्षा करता है

BSI समय सीमा नजदीक आ रही है

मार्च 2026 पंजीकरण सप्ताह दूर है। पंजीकरण से पहले अनुपालन gaps की पहचान करें।

मुफ्त NIS2 स्कैन शुरू करें →

NIS2 अनुपालन Step-by-Step

10-Step अनुपालन रोडमैप

ℹ️ ISO 27001 ≠ NIS2 अनुपालन

ISO 27001 एक मजबूत foundation प्रदान करता है लेकिन NIS2 विशिष्ट आवश्यकताओं को जोड़ता है: अनिवार्य घटना रिपोर्टिंग timelines (24h/72h/1 महीना), प्रबंधन के लिए व्यक्तिगत दायित्व, और विस्तृत आपूर्ति श्रृंखला सुरक्षा दायित्व। Certification अकेले अनुपालन की गारंटी नहीं देता है।


KENSAI NIS2 अनुपालन को कैसे स्वचालित करता है

स्वचालित Attack Surface Discovery

KENSAI लगातार आपकी बाहरी attack surface को स्कैन करता है — domains, subdomains, IPs, cloud services, exposed APIs — और आपके NIS2 scope के खिलाफ assets को map करता है। आपको क्या protect करने की आवश्यकता है इसकी Real-time inventory।

CVE-आधारित भेद्यता Mapping

332,000+ CVEs के साथ, KENSAI ज्ञात भेद्यताओं की पहचान करता है और उन्हें NIS2 आवश्यकताओं के साथ correlate करता है। प्रत्येक finding को CVSS score, NIS2 relevance, और threat intelligence के आधार पर remediation urgency द्वारा प्राथमिकता दी जाती है।

NIS2 अनुपालन Gap Analysis

AI आपकी सुरक्षा स्थिति को सभी Article 21 आवश्यकताओं के खिलाफ map करता है: compliance score, gap report, प्राथमिकता वाली remediation, और नियामकों और auditors के लिए उपयुक्त साक्ष्य documentation

आपूर्ति श्रृंखला जोखिम दृश्यता

Exposed services, भेद्यताओं, certificate issues, DNS misconfigurations, और data breach history की पहचान करने के लिए आपूर्तिकर्ताओं की बाहरी infrastructure को स्कैन करें — वह आपूर्ति श्रृंखला दृश्यता जिसकी NIS2 मांग करता है।

NIS2 अनुपालन के लिए मूल्य निर्धारण

Starter: €990/माह — NIS2 scope में प्रवेश करने वाले मध्यम उद्यम। Professional: €1,490/माह — जटिल infrastructure और आपूर्ति श्रृंखलाएं। Enterprise: €2,490/माह — समर्पित समर्थन के साथ पूर्ण-scope अनुपालन स्वचालन।


FAQ: NIS2 अनुपालन

NIS2 Directive क्या है?

मूल NIS Directive को replace करने वाला EU का अद्यतन साइबर सुरक्षा नियमन (Directive (EU) 2022/2555)। यह 18 महत्वपूर्ण क्षेत्रों में अनिवार्य जोखिम-प्रबंधन उपाय, घटना रिपोर्टिंग, और आपूर्ति श्रृंखला सुरक्षा आवश्यकताओं को स्थापित करता है।

किसे comply करना होगा?

18 नामित क्षेत्रों में संगठन जो मध्यम उद्यम (50+ कर्मचारी या €10M+ टर्नओवर) या बड़े उद्यम (250+ कर्मचारी या €50M+ टर्नओवर) सीमा को पूरा करते हैं। DNS providers और telecoms जैसी कुछ entities आकार की परवाह किए बिना कवर की जाती हैं।

जुर्माना क्या हैं?

Essential entities: €10M या global टर्नओवर के 2% तक। Important entities: €7M या global टर्नओवर के 1.4% तक। साथ ही बाध्यकारी निर्देश, सार्वजनिक प्रकटीकरण, प्रमाणपत्रों का निलंबन, और व्यक्तिगत प्रबंधन दायित्व।

घटना रिपोर्टिंग आवश्यकताएं क्या हैं?

तीन चरण: 24 घंटों के भीतर प्रारंभिक चेतावनी, 72 घंटों के भीतर घटना अधिसूचना, 1 महीने के भीतर अंतिम रिपोर्ट।

NIS2 board members को कैसे प्रभावित करता है?

Article 20 boards को साइबर सुरक्षा उपायों को मंजूरी देने, प्रशिक्षण से गुजरने, और व्यक्तिगत जिम्मेदारी वहन करने की आवश्यकता है। जर्मनी के कानून के तहत, executives व्यक्तिगत जुर्माने और संभावित अस्थायी निलंबन का सामना करते हैं।

क्या NIS2 छोटे व्यवसायों पर लागू होता है?

आम तौर पर नहीं (50 कर्मचारियों / €10M टर्नओवर से कम को बाहर रखा गया है)। Trust service providers, TLD registries, DNS providers, और telecoms के लिए अपवाद मौजूद हैं।

NIS2 का ISO 27001 से क्या संबंध है?

महत्वपूर्ण overlap, लेकिन NIS2 अनिवार्य घटना रिपोर्टिंग timelines, व्यक्तिगत प्रबंधन दायित्व, और विस्तृत आपूर्ति श्रृंखला आवश्यकताओं को जोड़ता है। ISO 27001 certification अकेले NIS2 अनुपालन की गारंटी नहीं देता है।

NIS2 GDPR और DORA के साथ कैसे interact करता है?

NIS2 नेटवर्क/सिस्टम सुरक्षा पर केंद्रित है; GDPR व्यक्तिगत डेटा संरक्षण पर — दोनों साइबर घटना पर लागू हो सकते हैं। DORA lex specialis सिद्धांत के तहत वित्तीय entities के लिए प्राथमिकता लेता है।


यह गाइड सूचनात्मक उद्देश्यों के लिए है और कानूनी सलाह का गठन नहीं करता है। अपनी विशिष्ट NIS2 दायित्वों के लिए योग्य कानूनी और साइबर सुरक्षा पेशेवरों से परामर्श लें।

अपनी NIS2 अनुपालन यात्रा शुरू करें

मिनटों में अपने अनुपालन gaps देखें। NIS2, DSGVO, और DORA mapping के साथ AI-संचालित स्कैनिंग built in।

मुफ्त स्कैन शुरू करें →

सुरक्षा वैकल्पिक नहीं है।

🗡️ KENSAI टीम

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home