← 返回博客
研究 12分钟阅读

NIS2指令:欧洲企业完整指南

关于NIS2指令您需要了解的一切:适用对象、要求、最高€1000万罚款、截止日期,以及如何为组织合规做准备。


NIS2指令:欧洲企业完整指南

NIS2指令(指令(EU) 2022/2555)代表了欧盟网络安全法规十年来最重大的改革。如果您的组织在欧洲运营,该法规将从根本上改变您对待网络安全的方式——而不合规的处罚极为严重。

本指南涵盖您需要了解的一切:NIS2是什么、适用对象、具体要求、截止日期、处罚,以及实现合规的清晰路线图。

什么是NIS2指令?

NIS2指令是欧盟更新的框架,旨在确保所有成员国在网络安全方面达到高度共同水平。它取代了原有的NIS指令(2016/1148),后者因实施不一致和范围过于狭窄而广受批评,无法应对当今的威胁态势。

NIS2于2022年11月28日由欧洲议会通过,大幅扩展了受强制性网络安全义务约束的组织数量。欧盟委员会估计,原NIS指令覆盖整个欧盟约15,000个实体。在NIS2下,这一数字跃升至超过160,000个组织——增加了十倍。

为什么需要NIS2?

原NIS指令留下了太多空白:

NIS2通过统一要求、扩大范围和具有实际约束力的执法机制,解决了所有这些不足。

NIS2适用于哪些对象?

NIS2采用规模上限规则结合基于行业的分类。组织被归类为关键实体重要实体

关键实体(附件I——"高度关键部门")

这些部门被视为对社会和经济运作至关重要:

重要实体(附件II——"其他关键部门")

规模上限规则

NIS2适用于上述部门中符合以下至少一项阈值的组织:

重要例外:某些实体无论规模如何都会被覆盖,包括: - DNS服务提供商 - 顶级域名注册机构 - 公共电子通信网络提供商 - 信任服务提供商 - 在成员国中唯一提供对社会/经济活动至关重要服务的提供商

供应链影响

即使您的组织不直接属于NIS2覆盖范围,您也可能通过供应链要求受到影响。关键和重要实体必须为其供应链实施网络安全风险管理措施,这意味着他们将向下游供应商和合作伙伴推动合规要求。

NIS2要求:您必须做什么

NIS2第21条概述了所有覆盖实体必须实施的十项最低网络安全风险管理措施

1. 风险分析和信息系统安全策略

建立全面的风险分析和信息系统安全策略。这包括定期风险评估、文档化的安全策略以及网络安全的治理框架。

2. 事件处理

实施预防、检测和响应网络安全事件的程序。这包括: - 事件响应计划 - 事件检测能力 - 事件期间的通信程序

3. 业务连续性和危机管理

通过以下方式确保运营韧性: - 备份管理 - 灾难恢复计划 - 危机管理程序 - 定期测试连续性计划

4. 供应链安全

解决与直接供应商和服务提供商关系中的安全风险。对供应商的网络安全实践进行尽职调查,并在合同中包含安全要求。

5. 网络和信息系统安全

实施涵盖网络和信息系统的采购、开发和维护的安全措施,包括漏洞处理和披露

6. 网络安全风险管理评估

建立评估网络安全风险管理措施有效性的策略和程序。需要定期审计和评估。

7. 基本网络卫生实践和培训

实施网络卫生实践,并为所有员工(包括管理层)提供定期的网络安全意识培训。

8. 密码学和加密

建立关于使用密码学的策略和程序,并在适当情况下使用加密来保护传输中和静态的数据。

9. 人力资源安全和访问控制

实施适当的访问控制策略、资产管理程序以及多因素认证或持续认证解决方案。

10. 安全通信

在组织内使用安全的语音、视频和文本通信,以及安全的紧急通信系统。

事件报告要求

NIS2引入了多阶段事件报告义务,比其前身要求严格得多:

阶段 截止时间 要求
早期警告 24小时内 向CSIRT或主管当局通报重大事件
事件通知 72小时内 提供初步评估,包括严重性、影响和入侵指标
中期报告 根据要求 事件和响应措施的状态更新
最终报告 1个月内 详细描述、根本原因、缓解措施和跨境影响

重大事件的定义为: - 已经造成或能够造成严重运营中断或财务损失 - 已经影响或能够通过造成相当大的物质或非物质损害而影响其他自然人或法人

处罚和执法

NIS2的执法条款代表了与原指令的重大变化:

针对关键实体:

针对重要实体:

管理问责

NIS2最具影响力的条款之一是第20条,其要求: - 管理机构必须批准网络安全风险管理措施 - 管理机构必须监督这些措施的实施 - 管理机构成员必须接受培训以了解网络安全 - 管理层可能因违规而承担个人责任

这意味着网络安全不再是可以完全委托给IT部门的事情。董事会成员和C级高管承担直接责任。

NIS2转换时间表

该指令于2023年1月16日生效,成员国必须在2024年10月17日之前将其转换为国内法。

主要市场的转换状态

德国NIS2-Umsetzungsgesetz (NIS2UmsuCG)被推迟,但预计将于2025年生效。仅在德国就将影响约29,000个组织——而原KRITIS法规下约为2,000个。德国的实施在多个领域超出了该指令的最低要求。

奥地利NISG 2024(Netz- und Informationssystemsicherheitsgesetz)处于高级阶段。奥地利预计将覆盖约4,000个组织

瑞士 — 虽然不是欧盟成员国,但瑞士正在使其网络安全框架与NIS2原则保持一致。修订的Informationssicherheitsgesetz (ISG)纳入了类似要求,在欧盟开展业务的瑞士公司必须直接遵守NIS2。

法国 — 法国基本按时完成了该指令的转换,建立在其已经强大的ANSSI框架之上。

荷兰Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2)正在最终确定中,将覆盖范围扩展至约10,000个荷兰组织

如何为NIS2合规做准备

步骤1:确定您是否在范围内

使用上述行业列表和规模上限阈值评估您的组织是否符合关键或重要实体的资格。不要忘记考虑供应链义务——即使您不在直接范围内,您的客户可能也需要符合NIS2的安全实践。

步骤2:进行差距分析

将您当前的网络安全态势与第21条中的十项最低措施进行比较。识别以下方面的差距: - 风险管理流程 - 事件检测和响应能力 - 业务连续性规划 - 供应链安全实践 - 员工培训和意识

步骤3:评估您的攻击面

您无法保护您不了解的内容。对您的外部攻击面进行全面评估,包括: - Web应用程序和API - 云服务和基础设施 - 第三方集成 - 具有互联网暴露的遗留系统

KENSAI提供自动化的AI驱动攻击面扫描,可以映射您的整个外部足迹,并在攻击者之前识别漏洞。与传统的时间点评估不同,KENSAI提供符合NIS2对持续风险管理要求的连续扫描

步骤4:实施技术控制

根据您的差距分析,部署必要的技术控制: - 网络分段和监控 - 端点检测和响应(EDR) - 多因素认证 - 传输中和静态数据的加密 - 定期扫描的漏洞管理 - Web应用程序防火墙和API安全

步骤5:建立治理和文档

NIS2要求文档化的策略和程序。至少需要: - 信息安全策略 - 风险评估方法和报告 - 事件响应计划 - 业务连续性和灾难恢复计划 - 供应链安全策略 - 培训记录

步骤6:准备事件响应能力

24小时早期警告要求意味着您需要: - 24/7监控能力(或外包SOC服务) - 预定义的事件分类标准 - CSIRT通知的通信模板 - 具有明确角色的指定事件响应团队

步骤7:培训您的人员

NIS2要求对管理机构和员工进行网络安全培训。实施: - 针对所有员工的定期安全意识培训 - 针对管理层的监督责任专项培训 - 针对IT和安全人员的技术培训 - 网络钓鱼模拟和安全演练

步骤8:与您的供应链互动

审查您的供应商关系并: - 评估关键供应商的网络安全态势 - 在采购标准和合同中包含安全要求 - 与关键供应商建立信息共享机制 - 持续监控供应商安全

NIS2与自动化安全测试

满足NIS2持续风险管理要求的最有效方法之一是通过自动化安全测试。该指令明确要求漏洞处理和网络安全措施的定期评估——手动的年度渗透测试不再足够。

KENSAI的自动化漏洞扫描平台使组织能够:

对于准备NIS2的组织来说,自动化扫描不是可选的——它对于证明该指令要求的"适当和相称"技术措施至关重要。

常见问题

NIS2是否适用于非欧盟公司?

是的。如果您的组织在欧盟内或向覆盖部门的欧盟实体提供服务,NIS2适用。非欧盟公司必须在欧盟指定一名代表。

NIS2与GDPR之间的关系是什么?

NIS2和GDPR是互补的。GDPR侧重于个人数据保护;NIS2侧重于网络和信息系统的网络安全。数据泄露可能触发两项法规下的义务。NIS2甚至规定,在评估NIS2处罚时应考虑GDPR罚款。

我们可以使用现有的ISO 27001认证来实现NIS2合规吗?

ISO 27001提供了坚实的基础,但并不自动意味着NIS2合规。NIS2具有超出ISO 27001的特定要求(如24小时事件报告)。然而,拥有ISO 27001认证的组织会发现转型要容易得多。

如果我们的成员国尚未转换NIS2怎么办?

即使国家转换被推迟,该指令的要求也是明确的。组织现在就应该开始准备。一旦国内法生效,执法可以立即开始——可能没有宽限期。

NIS2如何与特定行业法规互动?

NIS2包含lex specialis(特别法)条款:当特定行业的欧盟立法施加至少与NIS2相当的网络安全要求时,特定行业规则优先。例如金融部门的DORA。

底线

NIS2不是遥远的监管威胁——它已经到来,整个欧洲的执法正在加强。延迟准备的组织不仅面临监管罚款的风险,还面临网络安全不足带来的声誉和运营损害。

该指令的要求是全面的但可实现的,特别是使用正确的工具和方法。从了解您的范围开始,评估您的差距,并实施系统的、持续的安全措施。


今天开始您的NIS2合规之旅

不要等到执法行动开始。KENSAI的AI驱动安全平台帮助您识别漏洞、评估攻击面,并展示NIS2要求的持续安全监控。

👉 在kensai.app/free-scan获取免费安全扫描 — 在几分钟内而不是几个月内看到您的暴露。

免费试用KENSAI

在几分钟内扫描您的基础设施漏洞——无需信用卡。

开始免费扫描 →

KENSAI安全研究发布 — AI驱动的网络安全平台

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home