독일의 NIS2 시행법(NIS-2-Umsetzungsgesetz, BSI법 개정)이 2025년 12월 5일 연방법률공보(Bundesgesetzblatt)에 게재되었고, 12월 6일 즉시 발효되었다. 별도의 유예 기간이나 적응 기간 없이 즉각적인 적용이 이루어졌다. 이는 EU의 NIS2 지침을 독일 국내법에 편입한 것으로, 유럽 전체의 중요 인프라 사이버보안 규제를 대폭 강화하는 움직임의 일환이다.

규제 범위의 확대가 가장 주목할 특징이다. 기존 BSI 규제 대상 기업이 약 4,500개에서 약 29,500개로 대폭 확대되었다. 운송 부문이 핵심 규제 대상에 명시적으로 포함되어, 자동차 제조업체(OEM)와 주요 부품사(Tier1)가 사이버보안 리스크 관리 의무를 이행해야 한다. 또한 산업 생산(자동차, 전자제품, 기계, 기타 운송 시스템), 디지털 서비스 제공자, 공급망 공급자, 폐기물 관리, 식품, 화학 등 광범위한 섹터가 적용 대상이다.

경영진의 개인 책임이 도입되어 이사회 수준에서의 사이버보안 거버넌스가 필수화되었다. 이는 기업 최고 경영진이 사이버보안 정책 및 리스크 관리에 직접 책임을 지도록 하는 조치다.

BSI(독일 연방정보보안청) 등록 포털이 2026년 1월 6일 개설되었으며, 규제 대상 기업은 2026년 3월 6일까지 등록을 완료해야 한다. 미등록은 행정 제재의 대상이 될 수 있다.

과징금 규모도 상당하다. "특별히 중요한 기업"은 최대 1,000만 유로 또는 글로벌 연간 매출의 2% 중 큰 금액, "중요 기업"은 최대 700만 유로 또는 글로벌 연간 매출의 1.4% 중 큰 금액이 부과될 수 있다. 이는 GDPR의 과징금(최대 2,000만 유로 또는 전 세계 매출의 4%)에 비해 낮지만, 여전히 상당한 수준이다.

독일은 유럽의 산업 중심지로서 자동차 산업이 특히 발달해 있으며, 이번 NIS2 시행법 발효는 유럽 자동차 산업 전체의 사이버보안 요구사항 강화로 이어질 것으로 예상된다.