← 返回博客
NIS2合规
阅读时间12分钟
NIS2合规清单:DACH企业在2027年前必须完成的10个步骤
德国、奥地利和瑞士各自以不同方式实施NIS2。这份DACH专属清单提供了精确的10个步骤,包含各国具体要求、真实截止日期和罚款金额。
为什么DACH企业需要专门的NIS2清单
欧盟NIS2指令(2022/2555)原定于2024年10月17日前转化为国内法。现实不同:德国的NIS2UmsuCG仍在议会审议中,奥地利于2025年中期通过了NISG 2024,瑞士则将其ISG与NIS2原则对齐。
执法将于2026-2027年到来,罚款最高达1000万欧元或全球营业额的2%。
步骤1:确定您的NIS2分类
- 基本实体:能源、交通、银行、医疗、数字基础设施(250+员工或5000万欧元+营业额)
- 重要实体:邮政、废物、化工、食品、制造(50+员工或1000万欧元+营业额)
步骤2:向国家主管机构注册
- 德国:BSI — 3个月内注册
- 奥地利:内政部
- 瑞士:关键基础设施部门向BACS报告
步骤3:建立网络安全治理结构
- 任命直接向管理层汇报的CISO
- 管理层责任:NIS2第20条 — 个人责任
步骤4:开展全面风险评估
- 按第21条进行全危害风险评估
- BSI IT-Grundschutz、ISO 27005或NIST CSF
步骤5:实施技术安全措施
- 第21.2条的10项子要求:安全策略、事件管理、业务连续性、供应链、加密、访问控制、MFA
步骤6:建立事件报告程序
- 24小时:向国家CSIRT发出早期预警
- 72小时:包含初步评估的事件通知
- 1个月:详细最终报告
步骤7:持续漏洞管理
步骤8:保护供应链
步骤9:为审计做准备
步骤10:建立持续合规文化
不要等待执法
合规窗口正在迅速关闭。现在开始的企业将拥有一条通往合规的结构化路径。
开始您的NIS2合规之旅
了解您的组织现在处于什么位置。KENSAI的免费外部扫描根据NIS2要求检查您的攻击面。
运行免费NIS2扫描 →
Published by KENSAI Research Team · 2026-02-28