德國推動企業資安強制義務法案,預計2026年上路
為強化關鍵基礎設施與企業的資安防護,德國聯邦政府計畫將歐盟新版《網路與資訊安全指令》(NIS-2)轉化為國內法律,並預定於2026年初正式上路。根據草案內容,約有29,000家來自能源、交通、自來水、食品生產、汙水處理及電信等重要產業的企業與機構將納入規範,須定期進行風險評估、通報資安事件,並落實相應防護措施。
負責資安政策的聯邦資訊安全局(BSI)局長Claudia Plattner表示,德國內政部正積極推動立法,「希望能趕在2026年初讓法案正式生效」。伊強調,企業與機構應儘早做好準備,因為一旦遭到駭客攻擊,若導致資料遭加密或系統遭鎖定,將對社會與民眾造成重大衝擊。目前BSI負責監督約4,500家關鍵基礎設施營運單位,但未來涵蓋範圍將大幅擴大。
根據歐盟規定,NIS-2 指令的落實期限為2024年10月17日,各會員國原應在此之前完成國內法制定。然而包括德國在內的多國並未如期完成。德國政府曾於 2024 年 7 月通過草案,但因社民黨、綠黨與自民黨組成的紅綠燈聯合政府在聯邦議會失去多數支持,導致法案至今仍遭擱置。BSI呼籲應儘速通過現行版本,後續如有需要再進行修法,以免讓惡意駭客或外國情報單位有機可乘。
根據BSI觀察,目前最常見的攻擊手法為「供應鏈攻擊」,駭客往往透過工程顧問或IT外包廠商為跳板,進一步滲透其服務的政府單位或政治機構。部分攻擊是否涉及國家級行為尚難斷定,但不少案例呈現出結合財務動機與政治目的的混合手法。近期德國健康集團Ameos遭遇重大IT系統癱瘓,薩克森-安哈特邦政府多個部會網站也疑遭親俄駭客發動阻斷式攻擊(DDoS),突顯德國亟需透過立法手段強化資安韌性。(資料來源:經濟部國際貿易署)
