了解

探索 NIS2：变更、要求和准备

《网络和信息系统指令》（NIS 指令）再次震荡了欧洲安全领域的格局。严厉的制裁和更严格的要求即将到来，合规管理比以往更加复杂。

本文将向您详细介绍 NIS2，以及 NIS2 对您的组织有何影响。

什么是 NIS2？

NIS2 是《网络和信息系统指令》的第二版。这项重要网络安全法律旨在在全欧盟 (EU) 的组织内建立更高的网络弹性，尤其是关键基础结构和基本服务的运营商。

值得注意的是，尽管“NIS2”是该法律的正确名称，但是，您可能会在一些官方文件中看到“NIS2 合规性”或“NIS2 指令”。这两个名称均可接受，但前者是《欧盟官方公报》发布的名称。

作为一项欧盟范围内的法规，该法规要求每个成员国必须在 2024 年 10 月 17 日之前将 NIS 指令纳入各国法律。届时，所有受保护实体都将有法律义务遵守其安全要求。更简单地说，这意味着所有欧盟国家都需要使该法规在自己的国家具有法律约束力，以便他们执行该法规。

在国家层面，NIS2 旨在通过以下方式增强整体网络安全：

要求每个欧盟成员国通过计算机安全事件响应小组 (CSIRT) 和国家网络和信息系统主管机构为最终的网络威胁做好准备。
通过创建合作小组来交换信息，加强成员国之间的合作。
在严重依赖信息和通信技术 (ICT) 的关键基础结构领域培养网络安全文化。

简而言之，NIS2 的目的是确保整个欧盟的相关实体做好准备，通过适当的安全措施、威胁情报和最佳实践来降低威胁。

NIS2 合规解决方案

了解欧盟立法对关键基础结构和服务有何影响，以及 Entrust 如何提供帮助。

查看解决方案简介

为什么 NIS2 很重要？

NIS2 对最初的 NIS 指令进行了显著改进。从历史上看，NIS 1 是欧洲第一部网络安全法律，其目的也是增强该地区的网络弹性。

尽管 NIS 1 成功引导了思维方式的改变并改善了数据保护情况，但它仍然面临挑战。 NIS 1 实施后不久，它在整个欧盟的采用情况各不相同。有些公司在某些国家非常重要，但在其他国家却不是。这些不一致导致了混乱和分散的合规格局。

同时，自 2016 年以来，风险环境急剧变化。在全球范围内，网络犯罪增长飞快。如果将它看作一个国家，它将成为世界第三大经济体。日益复杂的新攻击途径正在以前所未有的方式对组织构成挑战，包括使用人工智能 (AI)。

例如，AI 驱动的网络钓鱼诈骗正在学习如何欺骗毫无戒心的用户并轻松窃取他们的登录凭据。而且，随着量子计算的出现，黑客迟早会解密当今使用的许多加密算法。

当然，地缘政治也会让这一切更加复杂。俄罗斯在乌克兰的战争引发了出于政治动机和由国家支持的网络攻击。根据欧盟网络安全局 (ENISA) 的数据，在 2022 年，这些攻击中的绝大多数针对的是公共管理和政府、数字服务提供商和关键基础结构。

鉴于上述问题，欧盟委员会决定修订 NIS 指令。第二版指令不仅涉及统一实施，还提高了网络弹性的标准，以适应不断变化的网络威胁格局。

主要变化： NIS2 对比最初的 NIS 指令

更新后的 NIS 指令订正了其前身的缺陷，并大大扩张了其覆盖范围。具体而言，与 NIS 1 相比，NIS 2：

扩大了范围，包括更多领域
对违规行为实施更严厉的制裁
要求实施更严格的网络安全要求

下面我们详细了解两个 NIS 指令之间的主要区别。

扩大范围

最初的 NIS 指令适用于“基本服务运营商”(OES) 和“数字服务提供商”(DSP)。现在已不再作此区分。

取而代之的是，相关实体改为按规模和类型进行分类。一般而言，NIS2 影响所有向欧盟提供“基本或重要服务”的组织。这使覆盖的领域从 7 个增加到 15 个，从而可保护欧盟社会中更多关键方面。

基本实体被归类为在关键领域运营的大型公司，如下所示。在这种情况下，大型实体的定义是拥有至少 250 名员工、年营业额至少为 5000 万欧元或年度资产负债表总额至少为 4300 万欧元的实体。根据 NIS2，基本服务包括：

能源
交通运输业
金融
公共管理
医疗
空间
供水（饮用水和废水）
数字基础设施

相比之下，重要实体是指在不属于基本服务类别但重要性较高的领域运营的中型企业。这些组织通常至少有 50 名员工，年营业额至少为 1000 万欧元，资产负债表总额为 1000 万欧元。根据 NIS2，重要实体包括：

邮政服务
废物管理
化学品
研究
食物
制造业
数字提供商

上述一些领域似乎有重叠，例如数字基础结构和数字提供商。但前者是指云服务、电信运营商、数据中心、信托服务等。简言之，只要是为社会支柱提供关键数字服务的实体，都属于数字基础结构。

数字提供商包括更具体的服务，例如搜索引擎、在线市场和社交网络。这些服务是人们的沟通方式和交易方式中不可或缺的部分，但如果网络事件导致它们无法运作，这可能不会产生重大影响。

但是总部设在欧盟以外的运营商呢？根据 NIS2 第 26 条，基本和重要实体被视为受各自服务提供地的欧盟成员国的管辖。如果某实体在多个会员国提供服务，则应分别属于其所在的每个会员国的管辖。

要求更高的合规性

NIS2 对违规行为规定了更严厉的处罚，包括：

1. 非金钱处罚

NIS2 赋予国家监管机构以下方面的权力：

合规令
约束命令
安全审计
威胁通知令

2. 行政罚款

具体的罚款金额可能因成员国而异，但 NIS 指令规定了最低制裁清单。

对于基本实体，成员国必须处以最高 1000 万欧元或总体年收入的 2% 的罚款，以较高者为准。
如果重要实体违反该指令，则成员国必须处以最高 700 万欧元或总体年收入的 1.4% 的罚款，以较高者为准。

3. 对管理机构的刑事制裁

遵循 NIS2 指令的压力并非全部由 IT 部门承担。NIS2 包括了新的制裁措施，要求高层管理机构在发生网络安全事件时对重大过失承担个人责任。例如，主管机构可以暂时禁止高管担任管理职务。该指令还可以命令各组织披露违规行为，并发表公开声明，确定事件的责任人。

更严格的要求

最后，NIS2 大幅提高了对相关实体的网络安全要求。总体而言，该指令、要求尽早报告事件，扩大风险管理，并采取一系列最低限度的安全措施。

这一切意味着什么？接下来，我们将更深入地了解 NIS2 的具体要求。

NIS2 安全要求

新指令通过在四个领域引入义务来增强网络弹性：

风险管理

组织必须采取网络安全风险管理措施，以最大限度减少各种网络威胁途径出现的可能性和影响。更具体地说，他们必须实施技术、运营和组织预防措施，降低影响其网络和信息系统的风险，从而加强数据保护。其中可能包括事件管理程序、更高的供应链安全性、访问控制系统和加密。

公司治理

管理机构负责监督和批准各自组织的网络安全风险管理协议，必须确保这些协议得到有效实施。

根据第 20 条，成员国应“确保要求基本和重要实体的管理机构成员接受培训”，并应鼓励他们持续为员工提供类似的培训计划。这规定的目标是使组织中的每个人都能识别风险并尽其所能减少风险。

事件报告

关键实体必须制定相应流程，及时报告严重影响其服务交付和/或用户的安全事件。 NIS2 对“重大”安全事件的界定如下：

已经或可能导致关键领域的严重运营中断
已经或可能通过造成严重损害而影响其他自然人或法人

各实体必须在得知网络事件后的 24 小时内向其成员国的主管机构（包括 CSIRT）发出预警。他们还必须在提交初始文件后的 72 小时内完成完整报告，并在提交初始文件后一个月内完成最终报告。

业务连续性

修订后的 NIS2 旨在保证攻击发生后的业务连续性。各实体必须制定可靠的策略，并在策略中详细说明他们对此类事件的应对措施和恢复措施，以便尽快将中断降至最低。因此，NIS2 强调采用云备份解决方案。

10 项基本网络安全措施

第 21 条确定了各组织应实施的 10 项基准安全措施，目的是支持这四个首要领域。这些措施基于“全危害方法”(All-hazards Approach)，旨在减轻最可能的威胁途径的危害。这些措施包括：

风险分析和信息系统安全政策
处理主动威胁的事件响应计划
业务连续性计划，例如备份、灾难恢复和危机管理流程
供应链安全，包括处理公司与其直接供应商或服务提供商之间关系的措施
网络和信息系统获取、开发和维护中的安全，包括漏洞处理和披露
评估网络安全风险管理措施有效性的政策和流程
网络安全意识、卫生和最佳实践培训
关于使用密码学和加密的政策
访问控制流程，特别是对于有权访问敏感数据的员工
多重身份验证、持续监控和安全通信系统

NIS2 与其他网络安全法规

除了 NIS2 之外，欧盟运营商还必须遵守许多其他法规，包括：

《数字运营弹性法案》(DORA)
《关键实体弹性指令》（CER 指令）
《网络弹性法案》(CRA)

这些法律有何重叠之处？下面我们详解一下：

NIS2 对比 DORA

NIS2 和 DORA 都是网络安全法规，但它们的目的略有不同。 DORA 专门关注金融领域，而 NIS2 则涵盖了更广泛的组织。

根据 NIS 指令第 4(1) 和 (2) 条，DORA 中与 ICT 风险管理和报告、数字运营弹性测试、信息共享和第三方风险相关的条款应优先于 NIS2 中概述的相关条款适用。换句话说，金融实体在这些领域应参考 DORA，而对于所有其他要求，应参考 NIS2。

重要的一点是，如果涉及上述的安全措施，那么对于金融实体而言，DORA 优先于 NIS2。

NIS2 对比 CER 指令

CER 指令适用于关键实体（例如能源和运输服务提供商），指导这些实体防御非网络相关风险。尽管 NIS2 侧重于网络安全，但所涵盖的实体可能存在重叠之处。在这种情况下，组织需要确保遵守这两项指令，同时解决网络和物理弹性问题。

关键实体在网络安全方面应遵守 NIS2，对于非网络事件，关键实体应遵守 CER 指令。

NIS2 对比 CRA

《网络弹性法案》是一项拟议的立法，侧重于具有数字元素的硬件和软件产品的网络安全，例如物联网 (IoT) 设备。 NIS2 侧重于增强公司自身的安全态势，而 CRA 要求公司优先考虑其生产或销售的产品的安全。

总的来说，CRA 是对 NIS2 的补充，但不一定有重叠或能取代 NIS2。因此，各实体可能同时受这两项法规的约束。

携手 Entrust 满足 NIS2 合规性

NIS2 合规性问题令您担忧吗？别担心，我们会帮助您。

Entrust 可消除网络安全和数据保护中的痛点。我们的产品提供一套全面的工具，可帮助组织增强其网络安全态势，防范威胁并满足 NIS2 指令的要求。

我们的产品组合几乎包括您需要的所有合规解决方案，包括：

准备好开始了吗？欢迎立即联系我们的团队。

联系 Entrust 销售客服

探索 NIS2：变更、要求和准备

什么是 NIS2？

NIS2 合规解决方案

为什么 NIS2 很重要？

主要变化： NIS2 对比最初的 NIS 指令

扩大范围

要求更高的合规性

1. 非金钱处罚

2. 行政罚款

3. 对管理机构的刑事制裁

更严格的要求

NIS2 安全要求

风险管理

公司治理

事件报告

业务连续性

10 项基本网络安全措施

NIS2 与其他网络安全法规

NIS2 对比 DORA

NIS2 对比 CER 指令

NIS2 对比 CRA

携手 Entrust 满足 NIS2 合规性

Entrust KeyControl

证书中心

缔造卓越的加密中心

身份即服务 (IDaaS)

准备好开始了吗？欢迎立即联系我们的团队。

联系信息

公司

新闻中心

产品资源

探索 NIS2： 变更、要求和准备

什么是 NIS2？

NIS2 合规解决方案

为什么 NIS2 很重要？

主要变化： NIS2 对比最初的 NIS 指令

扩大范围

要求更高的合规性

1. 非金钱处罚

2. 行政罚款

3. 对管理机构的刑事制裁

更严格的要求

NIS2 安全要求

风险管理

公司治理

事件报告

业务连续性

10 项基本网络安全措施

NIS2 与其他网络安全法规

NIS2 对比 DORA

NIS2 对比 CER 指令

NIS2 对比 CRA

携手 Entrust 满足 NIS2 合规性

Entrust KeyControl

证书中心

缔造卓越的加密中心

身份即服务 (IDaaS)

准备好开始了吗？欢迎立即联系我们的团队。

联系信息

公司

新闻中心

产品资源

探索 NIS2：变更、要求和准备