谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

NIS2 合规综合指南:第 1 部 — 了解 NIS2 及其范围

by Canonical on 6 March 2025

欧盟 NIS2 指令呼吁加强整个欧盟的网络安全,目前已在所有成员国生效。在这个由三部分组成的博客系列中,我将解释 NIS2 是什么,并帮助您了解它是否适用于贵公司,以及如何才能符合 NIS2。

在第一部分中,我将介绍 NIS2 是什么以及其与其前身 NIS 的区别和适用性,帮助您理解并判断它是否与您的公司相关。

NIS2简介

欧盟指令 2022/2555 或《网络和信息系统指令》(以下通常称为 NIS2 或欧盟 NIS2)是一项新的欧盟法规,适用于所有欧盟成员国,其目标是实现高水平的网络安全。该法规更新了 2016 年颁布的《网络和信息系统指令》(NIS 或 NIS1),并授权成员国对在欧盟地区提供关键服务的实体采用并严格执行更严格的网络安全要求。除非您的公司被视为小型/小微型实体(即员工少于 50 人或收入少于 1000 万欧元),并且不在关键行业运营(见下表),否则本文和本系列的其余部分都将与您有关。

表 1:适用 NIS2 的行业列表

欧盟 NIS2 是一项非常广泛且复杂的法规,所以在这篇文章中,我们将更详细地探讨 NIS2 对组织的具体适用性和要求。 

是否适用于您? 

一般来说,欧盟 NIS2 适用于所有在欧盟市场提供服务或开展活动的从事关键行业的大中型公共和私营实体。即使您在欧盟没有办事处,但只要您的任何客户位于欧盟,您也在该法规的适用范围内。欧盟 NIS2 的适用范围包含在指令的附录 I 和附录 II 中。附录 I 列出了高度关键的行业,附录 II 涵盖了其他被视为关键的行业(这也会将您的公司纳入适用范围)。上一节中的表格(表 1)提供了行业列表,但您还必须结合下方的规模上限表(表 2)来充分了解其适用性:

表 2:NIS2 的规模分类和上限

*根据欧盟中小企业建议定义

有关如何界定欧盟 NIS2 适用范围,这一难题通常可以使用提供的两个表格来解决,但需要考虑一些事项:

  • 除了合格的信托服务提供商、TLD 域名注册管理机构和 DNS 服务提供商之外,其他行业的微型和小微型实体都不在适用范围之内。 
  • 如果您已经受到另一项欧盟指令或行业特定指令/法规的约束,则将优先适用这些指令/法规(部分人称之为特别法原则,例如,如果您在 DORA 的适用范围内,则它优先于 NIS2)。
  • 适用性始终针对成员国的立法(或指令转换),而不是指令本身。 

关于至关重要实体和重要实体的说明

欧盟 NIS2 适用范围内的实体可以根据行业关键程度和规模进一步划分为至关重要实体和重要实体。这两种类型的实体适用相同的要求,主要区别在于当局的监督程度。至关重要实体处于主动监督之下,而重要实体则处于被动监督之下(例如,仅在事故发生之后)。

NIS 和 NIS2 有什么区别? 

自 2016 年颁布首个欧盟 NIS 指令以来,技术和数字市场已发生翻天覆地的变化。因此,NIS2 的目标是在其前身的基础上进行构建,并根据这些变化和不断发展的威胁形势进行调整。但是它也引入了一些变化和改进,例如:

  • 适用范围更广(NIS1 中为 7 个行业,而 NIS2 中则为 16 个行业)
  • 额外义务(最低要求)
  • 要求更严格(例如,事件报告时间窗口更短)
  • 管理机构的个人责任 
  • 增加行政罚款

指令生效时间?

欧盟 NIS2 指令于 2023 年 1 月 16 日起生效。欧盟成员国必须在 2024 年 10 月 17 日之前将该法规转化为国家法律,并从 2024 年 10 月 18 日开始适用此类法律。

这就是本系列的第一篇博客文章。我希望这有助于您理解和解决这个难题,从而确定 NIS2 是否适用于您。在本系列的第二篇文章中,我将分解要求,并让您知道如何将这些要求转化为贵公司的行动指南和控制措施,从而促进您的合规之旅,敬请关注。

Canonical 如何帮助您实现 NIS2 网络安全合规

Canonical 致力于帮助各个组织符合欧盟 NIS2 指令。我们致力于提供可信的开源软件,使组织能够将安全性置于其堆栈的核心。通过我们全面的安全和支持订阅服务 Ubuntu Pro,组织可以在长达 12 年的时间中获得 36000 多个软件包的扩展安全维护,无论他们在何处使用 Ubuntu。Ubuntu Pro 还包括修补自动化和合规审计工具,例如 LandscapeLivepatch,以及对合规性和强化功能的访问权限。 

欢迎访问我们的专用页面了解关于 Ubuntu Pro 的更多信息,或者联系我们的团队,讨论我们如何帮助您满足需求。

关于欧盟法规和合规性的更多资源

感谢您的阅读!下面,您将找到更多相关资源,了解欧盟法规,以及如何使用基础架构强化方法实现安全性和合规性。

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

NIS2 合规指南:第 2 部 — 了解 NIS2 合规要求

在上一篇博客文章中,笔者详细介绍了 NIS2 及其适用对象。本系列的第二篇文章中将详细介绍 NIS2 中的主要要求,并将这些要求具体转化为切实可行的行动措施,助力企业组织满足 NIS2 合规要求。欢迎阅读本文,一同深入了解 NIS2 的内容。 NIS2 适用于您。那么,您需要做些什么来满足 NIS2 合规要求? 如果您正在阅读本文,想必已经意识到 EU NIS2 适用于您所在的公司。接下来,让我们深入探究其中的具体要求,以及为实现合规性需要采取的行动。 该指令规定,相关实体必须落实网络安全风险管理措施,且这些措施必须“适当适度”。尽管这一要求看似宽泛,存在一定的解释空间,但指令中明确规定了一系列必须落实的最低限度的网络安全风险管理措施。 下面将细入探讨这些措施,并将其转化 […]

最新 IDC 研究 — 70% 的 IT 团队每周在安全补丁方面耗费时间超 6 小时

Canonical 与国际数据公司(IDC)开展的最新研究表明,在严苛的 CVE 补丁更新规定下,企业组织难以笃定地应用补丁,并且在开源软件供应链方面也面临着其他严峻挑战。 今日,Ubuntu 发行商 Canonical 发布了一份与 IDC 合作完成并由 Google Cloud 联合赞助的研究报告,其揭示了有关企业组织在安全补丁和不断加重的监管负担方面所面临压力与挑战的全新见解。这份题为《软件供应链现状:安全挑战、机遇以及借助开源软件实现韧性的路径》的报告,对 500 家拥有 250 名以上全职员工的企业组织进行了调查,确定了他们所面临的最紧迫问题。最值得注意的是,这些问题都是企业组织在漏洞和补丁管理、软件依赖关系或软件供应链可视性不足以及软件来源可信度方面面临的难题 […]

Canonical 获得 ISO/SAE 21434 认证,强化了汽车网络安全标准

经过认证的网络安全流程有助于保护下一代互联汽车 Canonical 自豪地宣布,其安全管理系统经过全球知名认证提供商 TÜV SÜD 的广泛评估,已获得 ISO/SAE 21434 认证。这一里程碑突出了 Canonical 在为汽车行业提供可信可靠的开源解决方案方面的领导地位。它强调了 Canonical 对三大关键业务支柱的承诺:强大的网络安全、符合全球行业标准以及为自动驾驶和智能汽车构建更安全的未来。 强大的汽车网络安全 随着车辆的互联程度越来越高,未经授权的访问、远程攻击和数据泄露的风险也显著增加。ISO/SAE 21434 为在整个车辆生命周期内管理这些风险提供了详细的框架。对于原始设备制造商和一级供应商来说,合规是在竞争激烈的市场中交付产品的关键。 Canon […]