जर्मनी का NIS2 transposition कानून 5 दिसंबर, 2025 को लागू हुआ। BSI पंजीकरण की समय सीमा मार्च 2026 में आती है। यह गाइड CISOs, IT Directors, और अनुपालन अधिकारियों को जानने की जरूरत वाली हर चीज को कवर करता है: किसे comply करना है, दायित्व क्या हैं, जुर्माना कैसा दिखता है, और एक व्यावहारिक अनुपालन रोडमैप कैसे बनाएं।
NIS2 Directive (Directive (EU) 2022/2555) 2016 के मूल NIS Directive को replace करता है, जिसे scope और enforcement में व्यापक रूप से अपर्याप्त माना गया था। यह NIS1 के तहत ~10,000 entities से coverage को नाटकीय रूप से EU भर में अनुमानित 160,000+ entities तक विस्तारित करता है।
NIS2 को तीन मौलिक कमजोरियों को संबोधित करने के लिए डिज़ाइन किया गया था: Member States में असंगत transposition, केवल संकीर्ण क्षेत्रों को कवर करने वाला सीमित scope, और परिवर्तन को चलाने के लिए बहुत कम जुर्माने के साथ कमजोर enforcement।
जर्मनी में, NIS2UmsuCG (NIS2 Implementation and Cybersecurity Strengthening Act) 5 दिसंबर, 2025 को लागू हुआ। BSI नामित पर्यवेक्षी प्राधिकरण है, और पंजीकरण की समय सीमा 6 मार्च, 2026 से शुरू होती है।
NIS2 designation-based approach से size-cap mechanism में shift हुआ। संगठन स्वचालित रूप से scope में हैं यदि वे sector और size मानदंडों को पूरा करते हैं।
| क्षेत्र | उदाहरण |
|---|---|
| ऊर्जा | बिजली, तेल, गैस, हाइड्रोजन, district heating |
| परिवहन | हवाई, रेल, जल, सड़क परिवहन |
| बैंकिंग | क्रेडिट संस्थान |
| वित्तीय बाजार infrastructure | Trading venues, central counterparties |
| स्वास्थ्य | अस्पताल, प्रयोगशालाएं, pharma, medical devices |
| पेयजल | आपूर्ति और वितरण |
| अपशिष्ट जल | संग्रह, निपटान, उपचार |
| डिजिटल infrastructure | IXPs, DNS, TLD registries, cloud, data centres, CDNs |
| ICT service management (B2B) | MSPs, MSSPs |
| सार्वजनिक प्रशासन | केंद्र सरकार की entities |
| अंतरिक्ष | Ground-based infrastructure operators |
| क्षेत्र | उदाहरण |
|---|---|
| डाक और कूरियर सेवाएं | डाक सेवा प्रदाता |
| अपशिष्ट प्रबंधन | संग्रह, परिवहन, उपचार |
| रासायनिक निर्माण | उत्पादन, वितरण |
| खाद्य उत्पादन | प्रसंस्करण, वितरण (बड़े पैमाने पर) |
| विनिर्माण | Medical devices, electronics, machinery, vehicles |
| डिजिटल प्रदाता | Marketplaces, search engines, social networks |
| अनुसंधान | महत्वपूर्ण प्रभाव वाले अनुसंधान संगठन |
कुछ entities आकार की परवाह किए बिना scope में हैं: qualified trust service providers, TLD registries, DNS providers, telecommunications providers, सार्वजनिक प्रशासन, और आवश्यक सेवाओं के एकमात्र प्रदाता।
| पहलू | Essential Entities | Important Entities |
|---|---|---|
| पर्यवेक्षण | Proactive (ex-ante) | Reactive (ex-post) |
| अधिकतम जुर्माना | €10M या global टर्नओवर का 2% | €7M या global टर्नओवर का 1.4% |
| ऑडिट | नियमित, अनिवार्य | गैर-अनुपालन के साक्ष्य पर |
| सुरक्षा आवश्यकताएं | समान | समान |
सुरक्षा दायित्व दोनों tiers के लिए समान हैं। अंतर केवल पर्यवेक्षण की तीव्रता और जुर्माने की सीमा में निहित है।
| समय सीमा | आवश्यकता | उद्देश्य |
|---|---|---|
| 24 घंटे | CSIRT को प्रारंभिक चेतावनी | संकेत कि एक महत्वपूर्ण घटना हुई |
| 72 घंटे | आकलन के साथ घटना अधिसूचना | गंभीरता, प्रभाव, compromise के संकेतक |
| 1 महीना | अंतिम रिपोर्ट | मूल कारण विश्लेषण, प्रभाव, शमन उपाय |
Article 20 प्रबंधन निकायों को साइबर सुरक्षा उपायों को मंजूरी देने, प्रशिक्षण से गुजरने, और व्यक्तिगत जिम्मेदारी वहन करने की आवश्यकता है। जर्मनी के NIS2UmsuCG के तहत, executives व्यक्तिगत जुर्माने और प्रबंधन भूमिकाओं से संभावित अस्थायी निलंबन का सामना करते हैं। यह दायित्व पूरी तरह से प्रत्यायोजित नहीं किया जा सकता।
जुर्माने से परे, प्राधिकरण बाध्यकारी निर्देश जारी कर सकते हैं, गतिविधियों को बंद करने का आदेश दे सकते हैं, गैर-अनुपालन के सार्वजनिक प्रकटीकरण की आवश्यकता कर सकते हैं, प्रमाणपत्रों को निलंबित कर सकते हैं, और — essential entities के लिए — जिम्मेदार व्यक्तियों के लिए अस्थायी रूप से प्रबंधन कार्यों को प्रतिबंधित कर सकते हैं।
€1 बिलियन राजस्व वाली कंपनी के लिए, अधिकतम essential entity जुर्माना €20 मिलियन है। D&O बीमा पॉलिसियों की coverage gaps के लिए समीक्षा की जानी चाहिए — व्यक्तिगत दायित्व को पूरी तरह से बीमा नहीं किया जा सकता है।
| तिथि | मील का पत्थर |
|---|---|
| 27 दिसंबर, 2022 | EU के आधिकारिक जर्नल में NIS2 प्रकाशित |
| 16 जनवरी, 2023 | NIS2 लागू होता है |
| 17 अक्टूबर, 2024 | सभी Member States के लिए Transposition समय सीमा |
| 5 दिसंबर, 2025 | जर्मनी: NIS2UmsuCG लागू होता है |
| 6 मार्च, 2026 | जर्मनी: BSI पंजीकरण समय सीमा |
| 17 अक्टूबर, 2027 | यूरोपीय आयोग NIS2 कार्यप्रणाली की समीक्षा करता है |
मार्च 2026 पंजीकरण सप्ताह दूर है। पंजीकरण से पहले अनुपालन gaps की पहचान करें।
मुफ्त NIS2 स्कैन शुरू करें →ISO 27001 एक मजबूत foundation प्रदान करता है लेकिन NIS2 विशिष्ट आवश्यकताओं को जोड़ता है: अनिवार्य घटना रिपोर्टिंग timelines (24h/72h/1 महीना), प्रबंधन के लिए व्यक्तिगत दायित्व, और विस्तृत आपूर्ति श्रृंखला सुरक्षा दायित्व। Certification अकेले अनुपालन की गारंटी नहीं देता है।
KENSAI लगातार आपकी बाहरी attack surface को स्कैन करता है — domains, subdomains, IPs, cloud services, exposed APIs — और आपके NIS2 scope के खिलाफ assets को map करता है। आपको क्या protect करने की आवश्यकता है इसकी Real-time inventory।
332,000+ CVEs के साथ, KENSAI ज्ञात भेद्यताओं की पहचान करता है और उन्हें NIS2 आवश्यकताओं के साथ correlate करता है। प्रत्येक finding को CVSS score, NIS2 relevance, और threat intelligence के आधार पर remediation urgency द्वारा प्राथमिकता दी जाती है।
AI आपकी सुरक्षा स्थिति को सभी Article 21 आवश्यकताओं के खिलाफ map करता है: compliance score, gap report, प्राथमिकता वाली remediation, और नियामकों और auditors के लिए उपयुक्त साक्ष्य documentation।
Exposed services, भेद्यताओं, certificate issues, DNS misconfigurations, और data breach history की पहचान करने के लिए आपूर्तिकर्ताओं की बाहरी infrastructure को स्कैन करें — वह आपूर्ति श्रृंखला दृश्यता जिसकी NIS2 मांग करता है।
Starter: €990/माह — NIS2 scope में प्रवेश करने वाले मध्यम उद्यम। Professional: €1,490/माह — जटिल infrastructure और आपूर्ति श्रृंखलाएं। Enterprise: €2,490/माह — समर्पित समर्थन के साथ पूर्ण-scope अनुपालन स्वचालन।
मूल NIS Directive को replace करने वाला EU का अद्यतन साइबर सुरक्षा नियमन (Directive (EU) 2022/2555)। यह 18 महत्वपूर्ण क्षेत्रों में अनिवार्य जोखिम-प्रबंधन उपाय, घटना रिपोर्टिंग, और आपूर्ति श्रृंखला सुरक्षा आवश्यकताओं को स्थापित करता है।
18 नामित क्षेत्रों में संगठन जो मध्यम उद्यम (50+ कर्मचारी या €10M+ टर्नओवर) या बड़े उद्यम (250+ कर्मचारी या €50M+ टर्नओवर) सीमा को पूरा करते हैं। DNS providers और telecoms जैसी कुछ entities आकार की परवाह किए बिना कवर की जाती हैं।
Essential entities: €10M या global टर्नओवर के 2% तक। Important entities: €7M या global टर्नओवर के 1.4% तक। साथ ही बाध्यकारी निर्देश, सार्वजनिक प्रकटीकरण, प्रमाणपत्रों का निलंबन, और व्यक्तिगत प्रबंधन दायित्व।
तीन चरण: 24 घंटों के भीतर प्रारंभिक चेतावनी, 72 घंटों के भीतर घटना अधिसूचना, 1 महीने के भीतर अंतिम रिपोर्ट।
Article 20 boards को साइबर सुरक्षा उपायों को मंजूरी देने, प्रशिक्षण से गुजरने, और व्यक्तिगत जिम्मेदारी वहन करने की आवश्यकता है। जर्मनी के कानून के तहत, executives व्यक्तिगत जुर्माने और संभावित अस्थायी निलंबन का सामना करते हैं।
आम तौर पर नहीं (50 कर्मचारियों / €10M टर्नओवर से कम को बाहर रखा गया है)। Trust service providers, TLD registries, DNS providers, और telecoms के लिए अपवाद मौजूद हैं।
महत्वपूर्ण overlap, लेकिन NIS2 अनिवार्य घटना रिपोर्टिंग timelines, व्यक्तिगत प्रबंधन दायित्व, और विस्तृत आपूर्ति श्रृंखला आवश्यकताओं को जोड़ता है। ISO 27001 certification अकेले NIS2 अनुपालन की गारंटी नहीं देता है।
NIS2 नेटवर्क/सिस्टम सुरक्षा पर केंद्रित है; GDPR व्यक्तिगत डेटा संरक्षण पर — दोनों साइबर घटना पर लागू हो सकते हैं। DORA lex specialis सिद्धांत के तहत वित्तीय entities के लिए प्राथमिकता लेता है।
यह गाइड सूचनात्मक उद्देश्यों के लिए है और कानूनी सलाह का गठन नहीं करता है। अपनी विशिष्ट NIS2 दायित्वों के लिए योग्य कानूनी और साइबर सुरक्षा पेशेवरों से परामर्श लें।
मिनटों में अपने अनुपालन gaps देखें। NIS2, DSGVO, और DORA mapping के साथ AI-संचालित स्कैनिंग built in।
मुफ्त स्कैन शुरू करें →सुरक्षा वैकल्पिक नहीं है।
🗡️ KENSAI टीम
Get a free security scan of your website in 60 seconds
Free Security Scan →