NIS2 合规综合指南:第 1 部 — 了解 NIS2 及其范围
by Canonical on 6 March 2025
欧盟 NIS2 指令呼吁加强整个欧盟的网络安全,目前已在所有成员国生效。在这个由三部分组成的博客系列中,我将解释 NIS2 是什么,并帮助您了解它是否适用于贵公司,以及如何才能符合 NIS2。
在第一部分中,我将介绍 NIS2 是什么以及其与其前身 NIS 的区别和适用性,帮助您理解并判断它是否与您的公司相关。
NIS2简介
欧盟指令 2022/2555 或《网络和信息系统指令》(以下通常称为 NIS2 或欧盟 NIS2)是一项新的欧盟法规,适用于所有欧盟成员国,其目标是实现高水平的网络安全。该法规更新了 2016 年颁布的《网络和信息系统指令》(NIS 或 NIS1),并授权成员国对在欧盟地区提供关键服务的实体采用并严格执行更严格的网络安全要求。除非您的公司被视为小型/小微型实体(即员工少于 50 人或收入少于 1000 万欧元),并且不在关键行业运营(见下表),否则本文和本系列的其余部分都将与您有关。
表 1:适用 NIS2 的行业列表
欧盟 NIS2 是一项非常广泛且复杂的法规,所以在这篇文章中,我们将更详细地探讨 NIS2 对组织的具体适用性和要求。
是否适用于您?
一般来说,欧盟 NIS2 适用于所有在欧盟市场提供服务或开展活动的从事关键行业的大中型公共和私营实体。即使您在欧盟没有办事处,但只要您的任何客户位于欧盟,您也在该法规的适用范围内。欧盟 NIS2 的适用范围包含在指令的附录 I 和附录 II 中。附录 I 列出了高度关键的行业,附录 II 涵盖了其他被视为关键的行业(这也会将您的公司纳入适用范围)。上一节中的表格(表 1)提供了行业列表,但您还必须结合下方的规模上限表(表 2)来充分了解其适用性:
表 2:NIS2 的规模分类和上限
*根据欧盟中小企业建议定义
有关如何界定欧盟 NIS2 适用范围,这一难题通常可以使用提供的两个表格来解决,但需要考虑一些事项:
- 除了合格的信托服务提供商、TLD 域名注册管理机构和 DNS 服务提供商之外,其他行业的微型和小微型实体都不在适用范围之内。
- 如果您已经受到另一项欧盟指令或行业特定指令/法规的约束,则将优先适用这些指令/法规(部分人称之为特别法原则,例如,如果您在 DORA 的适用范围内,则它优先于 NIS2)。
- 适用性始终针对成员国的立法(或指令转换),而不是指令本身。
关于至关重要实体和重要实体的说明
欧盟 NIS2 适用范围内的实体可以根据行业关键程度和规模进一步划分为至关重要实体和重要实体。这两种类型的实体适用相同的要求,主要区别在于当局的监督程度。至关重要实体处于主动监督之下,而重要实体则处于被动监督之下(例如,仅在事故发生之后)。
NIS 和 NIS2 有什么区别?
自 2016 年颁布首个欧盟 NIS 指令以来,技术和数字市场已发生翻天覆地的变化。因此,NIS2 的目标是在其前身的基础上进行构建,并根据这些变化和不断发展的威胁形势进行调整。但是它也引入了一些变化和改进,例如:
- 适用范围更广(NIS1 中为 7 个行业,而 NIS2 中则为 16 个行业)
- 额外义务(最低要求)
- 要求更严格(例如,事件报告时间窗口更短)
- 管理机构的个人责任
- 增加行政罚款
指令生效时间?
欧盟 NIS2 指令于 2023 年 1 月 16 日起生效。欧盟成员国必须在 2024 年 10 月 17 日之前将该法规转化为国家法律,并从 2024 年 10 月 18 日开始适用此类法律。
这就是本系列的第一篇博客文章。我希望这有助于您理解和解决这个难题,从而确定 NIS2 是否适用于您。在本系列的第二篇文章中,我将分解要求,并让您知道如何将这些要求转化为贵公司的行动指南和控制措施,从而促进您的合规之旅,敬请关注。
Canonical 如何帮助您实现 NIS2 网络安全合规
Canonical 致力于帮助各个组织符合欧盟 NIS2 指令。我们致力于提供可信的开源软件,使组织能够将安全性置于其堆栈的核心。通过我们全面的安全和支持订阅服务 Ubuntu Pro,组织可以在长达 12 年的时间中获得 36000 多个软件包的扩展安全维护,无论他们在何处使用 Ubuntu。Ubuntu Pro 还包括修补自动化和合规审计工具,例如 Landscape 和Livepatch,以及对合规性和强化功能的访问权限。
欢迎访问我们的专用页面了解关于 Ubuntu Pro 的更多信息,或者联系我们的团队,讨论我们如何帮助您满足需求。
关于欧盟法规和合规性的更多资源
感谢您的阅读!下面,您将找到更多相关资源,了解欧盟法规,以及如何使用基础架构强化方法实现安全性和合规性。
- CRA博文系列1:首席信息安全官对欧盟《网络弹性法案》的全面解析
- CRA博文系列2:《网络弹性法案》对开源意味着什么
- CRA博文系列3:《网络弹性法案,CRA》对物联网制造商而言意味着什么
订阅博客文章
查看更多内容
Canonical 获得 ISO/SAE 21434 认证,强化了汽车网络安全标准
经过认证的网络安全流程有助于保护下一代互联汽车 Canonical 自豪地宣布,其安全管理系统经过全球知名认证提供商 TÜV SÜD 的广泛评估,已获得 ISO/SAE 21434 认证。这一里程碑突出了 Canonical 在为汽车行业提供可信可靠的开源解决方案方面的领导地位。它强调了 Canonical 对三大关键业务支柱的承诺:强大的网络安全、符合全球行业标准以及为自动驾驶和智能汽车构建更安全的未来。 强大的汽车网络安全 随着车辆的互联程度越来越高,未经授权的访问、远程攻击和数据泄露的风险也显著增加。ISO/SAE 21434 为在整个车辆生命周期内管理这些风险提供了详细的框架。对于原始设备制造商和一级供应商来说,合规是在竞争激烈的市场中交付产品的关键。 Canon […]
写给坚守CentOS的你-必知的六个关键点,助你做好准备
CentOS 7 的生产商在 2020 年宣布,CentOS 7 将于 2024 年 7 月达到生命周期结束(EoL)。如今,该日期已经过去,然而 CentOS 的故事还没有结束。有人预计 CentOS 用户数量会大幅下降,但数据显示,22% 的企业仍在使用 CentOS。 我们也许应该降低我们的期望:CentOS 7 的生命周期可能即将结束,但许多组织可能仍在考虑向新系统过渡却尚未实施。然而,CentOS 用户仍然必须面对这样一个事实:他们等待迁移的时间越长,就越难保持 CentOS 资产的安全和功能。坚持下去看起来很诱人,但是月复一月,年复一年,依赖关系将开始瓦解,手动修补工作量将增加,不兼容性将开始在整个堆栈中出现。 本篇博客适合仍在决定迁移到哪个系统的读者进行 […]
SiFive、ESWIN和 Canonical 宣布在 HiFive Premier P550 上提供 Ubuntu
SiFive、ESWIN(奕斯伟计算)和 Canonical 正在 HiFive Premier P550 上启用 Ubuntu 24.04 LTS,这是一个提供高级 RISC-V 开发体验的开发平台,是 RISC-V 开发社区的一个重要里程碑。这种合作确保了购买 HiFive Premier P550 的开发人员可以充分利用 Ubuntu 强大的生态系统,实现与更广泛的开源生态系统的无缝集成,并加快 RISC-V 支持的软件开发的创新。 HiFive Premier P550 开发系统 SiFive 在 2024 年中宣布推出 HiFive Premier P550。Canonical、SiFive 和奕斯伟计算合作,在本月推出这款预装了 Ubuntu 的产品。 该主 […]