欧洲网络安全监管栈的基调已经不是等等看了。本周的信号非常务实:NIS2 落地更具体,DORA 监管更程序化,GDPR 监管机构在提供更可操作的合规材料,而欧盟 AI Act 也终于开始配套企业一直在等待的指导体系。
核心结论:欧洲安全法规正在收敛到同一个要求,证明你的控制有效,记录你的依赖关系,并为跨监管审查做好准备,而不是把每一部法律都当成一条独立的文书流程。
4月10日最重要的 NIS2 信号,不是某个高调执法动作,而是实施机器还在持续收紧。ENISA 的 NIS2 技术实施指南,仍然是数字基础设施、ICT 服务管理和数字服务提供商最清晰的操作参考之一。同时,EDPB 与 EDPS 在 2026 年 3 月就 NIS2 修订和 Cybersecurity Act 2 相关提案发布的联合意见,也再次提醒市场,网络韧性和数据保护已经在同一张桌子上讨论。
这很重要,因为很多团队还把 NIS2 当成一个范围识别项目。那个阶段已经过去了。现在真正的压力点,是组织能不能拿出风险管理、事件报告、供应链控制、漏洞处理和治理责任的证据。
EBA 和其他 ESA 已经深入 DORA 的实际执行机制。针对关键 ICT 第三方服务商的监管框架不再停留在理论层面,而是在通过年度指定、联合检查团队和正式监管流程逐步落地。在报告层面,EBA framework 4.2 传递的信息非常直接:DORA 相关报告已经进入新的操作流程,一些提交现在就必须使用 CSV 处理。
对银行、保险公司、投资机构及其供应商来说,DORA 到这里已经不再是政策备忘录,而是项目管理问题。如果你的信息登记不完整,或者第三方清单模糊,这个弱点就不再抽象。
EDPB 4 月 9 日发布的年度报告值得认真看,因为它把实话说出来了,欧洲数字监管体系正变得更复杂,监管机构也知道企业很难梳理重叠义务。该委员会表示将推动更多法律确定性、更多实用支持和更多跨监管协作。这包括继续推进 GDPR 与新法规之间的衔接工作,以及 2026 年 3 月发布的一份关于“合法利益”的 one-stop-shop 案例摘要,它把抽象的 GDPR 第 6(1)(f) 条讨论变成了真实执法案例。
对安全团队来说,这一点非常关键。GDPR 已经不再只是隐私团队放在单独文件夹里的负担。它正在成为组织解释日志、监控、反欺诈、身份系统、AI 使用和数据共享决策的重要组成部分,而且这种解释要覆盖多部欧盟法律。
欧盟委员会 AI Office 已经把 2026 年的方向说得相当清楚。其正在准备关于高风险分类、透明度义务、重大事件报告、AI 价值链责任、重大修改、上市后监测、中小企业简化质量管理,以及 AI Act 与欧盟数据保护法衔接的指导文件。此外,AI Act 主政策页面还表示,更多支持透明度的工具预计将在 2026 年第二季度发布。
这才是当前真正的重点。AI Act 已经不只是未来某个截止日期。围绕它的支持架构正在到位,这意味着一旦 2026 和 2027 年义务真正生效,企业再以“规则不清楚”为理由的空间会越来越小。
本简报参考来源:ENISA 的 NIS2 页面和技术实施指南、EBA 的 DORA 监管与 reporting framework 4.2 材料、EDPB 年度报告与出版物信息流,以及欧盟委员会的 AI Act 实施页面,均于 2026 年 4 月 10 日查阅。
保持锋利。
🗡️ KENSAI 安全团队