谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

NIS2 合规综合指南:第 1 部 — 了解 NIS2 及其范围

by Canonical on 6 March 2025

欧盟 NIS2 指令呼吁加强整个欧盟的网络安全,目前已在所有成员国生效。在这个由三部分组成的博客系列中,我将解释 NIS2 是什么,并帮助您了解它是否适用于贵公司,以及如何才能符合 NIS2。

在第一部分中,我将介绍 NIS2 是什么以及其与其前身 NIS 的区别和适用性,帮助您理解并判断它是否与您的公司相关。

NIS2简介

欧盟指令 2022/2555 或《网络和信息系统指令》(以下通常称为 NIS2 或欧盟 NIS2)是一项新的欧盟法规,适用于所有欧盟成员国,其目标是实现高水平的网络安全。该法规更新了 2016 年颁布的《网络和信息系统指令》(NIS 或 NIS1),并授权成员国对在欧盟地区提供关键服务的实体采用并严格执行更严格的网络安全要求。除非您的公司被视为小型/小微型实体(即员工少于 50 人或收入少于 1000 万欧元),并且不在关键行业运营(见下表),否则本文和本系列的其余部分都将与您有关。

表 1:适用 NIS2 的行业列表

欧盟 NIS2 是一项非常广泛且复杂的法规,所以在这篇文章中,我们将更详细地探讨 NIS2 对组织的具体适用性和要求。 

是否适用于您? 

一般来说,欧盟 NIS2 适用于所有在欧盟市场提供服务或开展活动的从事关键行业的大中型公共和私营实体。即使您在欧盟没有办事处,但只要您的任何客户位于欧盟,您也在该法规的适用范围内。欧盟 NIS2 的适用范围包含在指令的附录 I 和附录 II 中。附录 I 列出了高度关键的行业,附录 II 涵盖了其他被视为关键的行业(这也会将您的公司纳入适用范围)。上一节中的表格(表 1)提供了行业列表,但您还必须结合下方的规模上限表(表 2)来充分了解其适用性:

表 2:NIS2 的规模分类和上限

*根据欧盟中小企业建议定义

有关如何界定欧盟 NIS2 适用范围,这一难题通常可以使用提供的两个表格来解决,但需要考虑一些事项:

  • 除了合格的信托服务提供商、TLD 域名注册管理机构和 DNS 服务提供商之外,其他行业的微型和小微型实体都不在适用范围之内。 
  • 如果您已经受到另一项欧盟指令或行业特定指令/法规的约束,则将优先适用这些指令/法规(部分人称之为特别法原则,例如,如果您在 DORA 的适用范围内,则它优先于 NIS2)。
  • 适用性始终针对成员国的立法(或指令转换),而不是指令本身。 

关于至关重要实体和重要实体的说明

欧盟 NIS2 适用范围内的实体可以根据行业关键程度和规模进一步划分为至关重要实体和重要实体。这两种类型的实体适用相同的要求,主要区别在于当局的监督程度。至关重要实体处于主动监督之下,而重要实体则处于被动监督之下(例如,仅在事故发生之后)。

NIS 和 NIS2 有什么区别? 

自 2016 年颁布首个欧盟 NIS 指令以来,技术和数字市场已发生翻天覆地的变化。因此,NIS2 的目标是在其前身的基础上进行构建,并根据这些变化和不断发展的威胁形势进行调整。但是它也引入了一些变化和改进,例如:

  • 适用范围更广(NIS1 中为 7 个行业,而 NIS2 中则为 16 个行业)
  • 额外义务(最低要求)
  • 要求更严格(例如,事件报告时间窗口更短)
  • 管理机构的个人责任 
  • 增加行政罚款

指令生效时间?

欧盟 NIS2 指令于 2023 年 1 月 16 日起生效。欧盟成员国必须在 2024 年 10 月 17 日之前将该法规转化为国家法律,并从 2024 年 10 月 18 日开始适用此类法律。

这就是本系列的第一篇博客文章。我希望这有助于您理解和解决这个难题,从而确定 NIS2 是否适用于您。在本系列的第二篇文章中,我将分解要求,并让您知道如何将这些要求转化为贵公司的行动指南和控制措施,从而促进您的合规之旅,敬请关注。

Canonical 如何帮助您实现 NIS2 网络安全合规

Canonical 致力于帮助各个组织符合欧盟 NIS2 指令。我们致力于提供可信的开源软件,使组织能够将安全性置于其堆栈的核心。通过我们全面的安全和支持订阅服务 Ubuntu Pro,组织可以在长达 12 年的时间中获得 36000 多个软件包的扩展安全维护,无论他们在何处使用 Ubuntu。Ubuntu Pro 还包括修补自动化和合规审计工具,例如 LandscapeLivepatch,以及对合规性和强化功能的访问权限。 

欢迎访问我们的专用页面了解关于 Ubuntu Pro 的更多信息,或者联系我们的团队,讨论我们如何帮助您满足需求。

关于欧盟法规和合规性的更多资源

感谢您的阅读!下面,您将找到更多相关资源,了解欧盟法规,以及如何使用基础架构强化方法实现安全性和合规性。

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

《网络弹性法案》对开源意味着什么

《网络弹性法案》(Cyber Resilience Act,CRA)即将生效。这项影响广泛的法规将引入针对开发商、零售商和设备制造商的新要求和制衡措施;而许多亟待满足的需求在开源社区并没有得到很好的解决。  在本篇博客中,笔者将探讨 CRA 对开源的影响,分享一些专家的见解,说明该法案在哪些方面有着积极的影响以及在哪些方面存在灰色地带,并向大家介绍在使用或创建开源的情况下应该为法案的推行做好哪些准备。 为何制定《网络弹性法案》? 首先大致介绍一下,CRA 是欧盟即将出台的一项法规,旨在通过对欧盟 IT 行业实施更严格的网络安全、文档和漏洞报告要求,提高设备安全性。这项法规将适用于硬件、设备、软件、应用程序和其他“带有数字连接元素的产品”的开发商、分销商、制造商和零售商。 […]

写给坚守CentOS的你-必知的六个关键点,助你做好准备

CentOS 7 的生产商在 2020 年宣布,CentOS 7 将于 2024 年 7 月达到生命周期结束(EoL)。如今,该日期已经过去,然而 CentOS 的故事还没有结束。有人预计 CentOS 用户数量会大幅下降,但数据显示,22% 的企业仍在使用 CentOS。  我们也许应该降低我们的期望:CentOS 7 的生命周期可能即将结束,但许多组织可能仍在考虑向新系统过渡却尚未实施。然而,CentOS 用户仍然必须面对这样一个事实:他们等待迁移的时间越长,就越难保持 CentOS 资产的安全和功能。坚持下去看起来很诱人,但是月复一月,年复一年,依赖关系将开始瓦解,手动修补工作量将增加,不兼容性将开始在整个堆栈中出现。  本篇博客适合仍在决定迁移到哪个系统的读者进行 […]

Ubuntu Linux 为什么成为金融服务领域取代 CentOS 的首选?

金融服务由技术驱动。而客户体验越来越多地由数据驱动,通过定制产品和服务可以体现出个人行为和偏好。所有这一切都建立在安全稳定的技术基础之上,只有这样的基础才可以提供敏捷性和灵活性,以适应客户需求的同时保持合规性。  使用 CentOS 作为创新基础的金融服务机构见证了 CentOS 8 于 2021 年退出,随后是 CentOS 7 于 2024 年 6 月退出。不过,最近的一项研究显示,各行业近四分之一的企业组织仍在使用 CentOS。  听起来是不是很耳熟?众所周知,金融机构在进行重大技术变革时是最谨慎的。考虑到金融业务的敏感性,这也就可以理解了。事实上,尽管过渡到云已成为一种成熟的方案,但仍有 60% 的金融机构表示,他们采用的传统技术堆栈成本过高且存在不足。与所有传 […]