德国的NIS2转置法于2025年12月5日生效。BSI注册截止日期为2026年3月。本指南涵盖CISO、IT主管和合规官员需要了解的一切:谁必须合规、义务是什么、罚款情况以及如何构建实用的合规路线图。
NIS2指令(指令(EU) 2022/2555)取代了2016年的原始NIS指令,该指令在范围和执行方面被广泛认为不足。它将覆盖范围从NIS1下的约10,000个实体大幅扩展至欧盟内估计160,000+个实体。
NIS2旨在解决三个根本弱点:成员国之间不一致的转置、仅覆盖狭窄行业的有限范围,以及罚款过低无法推动变革的弱执行。
在德国,NIS2UmsuCG(NIS2实施和网络安全强化法)于2025年12月5日生效。BSI是指定的监管机构,注册截止日期从2026年3月6日开始。
NIS2从基于指定的方法转向规模上限机制。如果组织符合行业和规模标准,则自动纳入范围。
| 行业 | 示例 |
|---|---|
| 能源 | 电力、石油、天然气、氢能、区域供热 |
| 交通 | 航空、铁路、水路、公路运输 |
| 银行 | 信贷机构 |
| 金融市场基础设施 | 交易场所、中央交易对手 |
| 卫生 | 医院、实验室、制药、医疗器械 |
| 饮用水 | 供应和分配 |
| 废水 | 收集、处置、处理 |
| 数字基础设施 | IXP、DNS、TLD注册机构、云、数据中心、CDN |
| ICT服务管理(B2B) | MSP、MSSP |
| 公共行政 | 中央政府实体 |
| 太空 | 地面基础设施运营商 |
| 行业 | 示例 |
|---|---|
| 邮政和快递服务 | 邮政服务提供商 |
| 废物管理 | 收集、运输、处理 |
| 化学制造 | 生产、分销 |
| 食品生产 | 加工、分销(大规模) |
| 制造业 | 医疗器械、电子产品、机械、车辆 |
| 数字提供商 | 市场、搜索引擎、社交网络 |
| 研究 | 具有重大影响的研究组织 |
某些实体无论规模如何都在范围内:合格的信任服务提供商、TLD注册机构、DNS提供商、电信提供商、公共行政部门以及基本服务的唯一提供商。
| 方面 | 基本实体 | 重要实体 |
|---|---|---|
| 监管 | 主动(事前) | 被动(事后) |
| 最高罚款 | €1000万或全球营业额的2% | €700万或全球营业额的1.4% |
| 审计 | 定期、强制性 | 在不合规证据下 |
| 安全要求 | 相同 | 相同 |
两个层级的安全义务相同。区别仅在于监管强度和罚款上限。
| 截止时间 | 要求 | 目的 |
|---|---|---|
| 24小时 | 向CSIRT发出早期警告 | 表明发生了重大事件 |
| 72小时 | 事件通知及评估 | 严重性、影响、威胁指标 |
| 1个月 | 最终报告 | 根本原因分析、影响、缓解措施 |
第20条要求管理机构批准网络安全措施、接受培训并承担个人责任。根据德国的NIS2UmsuCG,高管面临个人罚款和可能的临时管理职位暂停。此责任不能完全委托。
除罚款外,当局还可以发布具有约束力的指令、命令停止活动、要求公开披露不合规情况、暂停认证,并且——对于基本实体——暂时禁止责任人员的管理职能。
对于营收10亿欧元的公司,基本实体的最高罚款为€2000万。应审查董事和高管责任保险政策以了解覆盖范围缺口——个人责任不能完全通过保险转移。
| 日期 | 里程碑 |
|---|---|
| 2022年12月27日 | NIS2在欧盟官方公报发布 |
| 2023年1月16日 | NIS2生效 |
| 2024年10月17日 | 所有成员国的转置截止日期 |
| 2025年12月5日 | 德国:NIS2UmsuCG生效 |
| 2026年3月6日 | 德国:BSI注册截止日期 |
| 2027年10月17日 | 欧盟委员会审查NIS2运作 |
ISO 27001提供了坚实的基础,但NIS2增加了特定要求:强制性事件报告时间表(24小时/72小时/1个月)、管理层个人责任和详细的供应链安全义务。仅凭认证不能保证合规。
KENSAI持续扫描您的外部攻击面——域名、子域名、IP、云服务、暴露的API——并根据您的NIS2范围映射资产。实时清点您需要保护的内容。
凭借332,000+ CVE,KENSAI识别已知漏洞并将其与NIS2要求关联。每个发现都根据CVSS评分、NIS2相关性和基于威胁情报的修复紧迫性进行优先级排序。
AI将您的安全态势映射到所有第21条要求:合规评分、差距报告、优先级修复和适合监管机构和审计师的证据文档。
扫描供应商的外部基础设施以识别暴露的服务、漏洞、证书问题、DNS配置错误和数据泄露历史——NIS2要求的供应链可见性。
入门版:€990/月——进入NIS2范围的中型企业。专业版:€1,490/月——复杂基础设施和供应链。企业版:€2,490/月——全范围合规自动化,配有专属支持。
欧盟更新的网络安全法规(指令(EU) 2022/2555)取代了原始NIS指令。它在18个关键行业建立了强制性风险管理措施、事件报告和供应链安全要求。
18个指定行业中符合中型企业(50+员工或€1000万+营业额)或大型企业(250+员工或€5000万+营业额)阈值的组织。DNS提供商和电信等某些实体无论规模如何都在覆盖范围内。
基本实体:最高€1000万或全球营业额的2%。重要实体:最高€700万或全球营业额的1.4%。另外还有具有约束力的指令、公开披露、暂停认证和个人管理责任。
三个阶段:24小时内早期警告、72小时内事件通知、1个月内最终报告。
第20条要求董事会批准网络安全措施、接受培训并承担个人责任。根据德国法律,高管面临个人罚款和可能的临时停职。
一般不适用(少于50名员工/€1000万营业额的企业除外)。信任服务提供商、TLD注册机构、DNS提供商和电信存在例外。
存在显著重叠,但NIS2增加了强制性事件报告时间表、个人管理责任和详细的供应链要求。仅凭ISO 27001认证不能保证NIS2合规。
NIS2侧重于网络/系统安全;GDPR侧重于个人数据保护——两者都可能适用于网络事件。DORA根据特别法原则对金融实体优先适用。
本指南仅供参考,不构成法律建议。请咨询合格的法律和网络安全专业人员,了解您的具体NIS2义务。
安全不是可选项。
🗡️ KENSAI团队
Get a free security scan of your website in 60 seconds
Free Security Scan →