德國政府週三拍板通過《KRITIS法》,未來凡是能源、運輸、金融、醫療和供水等領域的業者,只要服務人口超過50萬,都必須把設施安全列入重點,否則可能面臨罰款。這項新法是因應歐盟指令而制定,自俄羅斯2022年全面入侵烏克蘭後,歐洲安全環境持續惡化,再加上天然災害和恐攻威脅,讓關鍵基礎設施的脆弱性備受關注。
依據新規,企業須全面盤點設施弱點、建立韌性計畫,並在出現重大事故時通報主管機關。實際措施可能包括在電力站加裝帶刺鐵絲網、監控攝影機或動作感應器,以防範破壞與滲透。德國當局近來多次點名俄羅斯涉嫌參與德國與波蘭郵政系統的縱火攻擊,也警告來自中國的潛在網路威脅,但雙方均否認。分析人士認為,《KRITIS法》意味著基礎設施安全已提升至國家戰略層級,未來企業將面臨更高的合規成本與壓力。
值得注意的是,這項法規與 NIS-2(網路與資訊安全指令) 互為補充,兩者搭配可形成「網路資安+硬體設施防護」的雙重保護架構。
NIS-2 著重於數位安全,德國在將其納入本國立法後,將對約3萬家被認定為關鍵基礎設施的企業提出更嚴格要求,涵蓋電力傳輸線路、發電廠及鐵路運輸等領域。企業必須採取集中化的資安措施,包括風險分析、應急計畫與備份機制。依計畫,該法將在2025年底前全面落地,並賦予聯邦資訊安全局(BSI)更大監管權。事故通報機制也升級為三層次:24小時內初步通報、72小時內詳細通報,以及一個月後的最終報告。
違規的懲處力度相當高,對於「特別重要的設施」最高可處以1,000萬歐元或年營收2%的罰款;「重要設施」則可處以最高700萬歐元或營收1.4%。若企業管理層怠於履行資安義務,還可能被追究個人責任。
市場觀察指出,德國在落實NIS-2的進度上落後於其他歐盟國家,但藉由KRITIS法的補強,將能加速追趕,同時展現柏林政府已把基礎設施防護視為國安與產業政策的重要支柱。
