NIS2 合规指南：第 2 部 — 了解 NIS2 合规要求

by Canonical on 28 May 2025

在上一篇博客文章中，笔者详细介绍了 NIS2 及其适用对象。本系列的第二篇文章中将详细介绍 NIS2 中的主要要求，并将这些要求具体转化为切实可行的行动措施，助力企业组织满足 NIS2 合规要求。欢迎阅读本文，一同深入了解 NIS2 的内容。

NIS2 适用于您。那么，您需要做些什么来满足 NIS2 合规要求？

如果您正在阅读本文，想必已经意识到 EU NIS2 适用于您所在的公司。接下来，让我们深入探究其中的具体要求，以及为实现合规性需要采取的行动。

该指令规定，相关实体必须落实网络安全风险管理措施，且这些措施必须“适当适度”。尽管这一要求看似宽泛，存在一定的解释空间，但指令中明确规定了一系列必须落实的最低限度的网络安全风险管理措施。

下面将细入探讨这些措施，并将其转化为可在企业内部落实的可行措施。

指令要求如下：

信息系统风险管理

要求：企业应实施一套风险管理程序，由管理机构审批并主导推行。

行动：具体而言，需制定风险对策、风险评估流程、风险登记表以及书面风险处理计划。另需由管理层或董事会层级对该管理程序进行审批与监督，即风险和控制措施需得到妥善监督和及时汇报。

事件处理与报告

要求：企业必须在严格的时间期限内，确认、应对安全事件，并向客户和监管机构进行通报。

行动：具体而言，需明确并实施具体的政策、流程及应对计划，其中要涵盖 NIS2 中汇报要求所涉及的具体时间要求与细则。请牢记：要前瞻性地运用这些资源，让相关人员在潜在安全事件发生前清楚知晓应对方法。提前宣传企业政策与流程，对相关人员进行培训。

业务持续性

要求：企业必须具备弹性，在发生安全事件或漏洞的情况下，确保业务运营或服务交付保持适当的连续性。

行动：具体而言，需建立备份管理（执行与完整性测试）等相关程序，制定灾难恢复／危机管理计划，并定期对这些程序和计划进行测试检验。这样可以确保企业在遭遇中断事件时能够迅速恢复。

供应链安全

要求：企业必须妥善应对第三方带来的风险以及它们对企业自身产品或服务安全产生的影响。

行动：具体而言，需从安全角度对关键供应商和服务提供商进行评估，并对企业与第三方合作关系中的安全相关内容（例如合同条款、针对漏洞报告与修复的 SLA）进行管控。

网络和信息系统安全

要求：企业必须明确自身网络和信息系统所必须满足的条件要求（架构要求和控制要求）。无论企业自行开发这些系统还是从第三方获取这些系统或服务，均适用该要求。

行动：具体而言，需制定一套明确的控制和安全措施，且这些措施能够根据资产的关键程度进行升级。资产的关键程度由其所包含的数据类型、完整性和可用性要求以及企业进行风险评估时所依据的其他因素决定。加密技术、强大的身份验证机制、最小权限原则、访问控制、数据治理以及漏洞管理在这之中都起着至关重要的作用。

网络安全风险管理措施成效评估

要求：企业应定期监测已实施控制措施和风险管理措施的成效。

行动：具体而言，需明确并监测 KRI 或风险/控制相关 KRI，同时定期开展内部或外部审计与／或评估工作，及时发现、报告问题并进行补救。

网络安全培训 

要求：企业必须对管理机构及其网络安全人员进行培训。

行动：具体而言，需每年对全体人员（上至管理层／董事会成员下至普通员工）进行网络卫生培训和安全意识培训。另外还需考虑针对企业特定部门或职能部门，如安全开发、安全 IT 运维和数据处理等部门，提供网络安全专项培训。

加密技术 

要求：企业必须在必要时对数据进行加密。

行动：具体而言，需制定书面化的加密技术与数据加密使用政策及流程，并在公司所有系统中实施这些政策和流程。要做到这一点，企业应当采用基于风险的方法，并且了解敏感数据、机密数据及个人身份识别信息（PII）的采集、处理以及存储。然后再视情况采取相应的措施。

人力资源安全与访问控制

要求：企业必须针对员工安全制定适当的措施并确保严格控制敏感／保密数据的访问权限。

行动：具体而言，需制定针对人员安全和敏感／重要数据访问控制的政策与流程。展开背景调查和在合同中纳入保密条款是最常见的人员管理相关的措施。从访问控制的角度来看，我们建议基于最小权限原则和需要知道原则，制定一套用于控制权限授予、撤销及定期审查的政策与流程。

多重身份验证与安全通信 

要求：企业必须在适用时采用多重身份验证和安全通信系统。

行动：具体而言，需添加第二重身份验证，例如 TOTP（身份验证应用程序、电子邮件或短信获取）、硬件令牌或生物识别技术，增强访问安全以及在适用时保障语音、视频和文本通信以及应急通信系统的安全。

注：以上是该项指令中提供的一般指南，不过欧盟各成员国可以制定更严格的法规（但不得低于指令本身所规定的要求）。各成员国也可以规定，EU NIS2 适用范围内的实体必须使用根据该法规或欧盟认证计划获得认证的特定 ICT 产品和服务，确保符合网络风险管理措施要求。另外，企业务必了解哪个成员国对该法规的转化版本对自身适用。

事件报告时间期限相关的更多细则

综上所述，笔者想特别提请注意的是新的安全事件报告要求，这些要求变得更加严格，报告流程现在分三个环节：

制定行之有效的流程以及对人员进行适当培训，是实现上述目标的关键。由于要求的时间期限十分紧迫，因此强烈建议做好充分的准备。

至此，本系列的第二篇文章即将接近尾声。希望这篇文章能帮助大家了解相关要求以及为实现合规性所需采取的具体行动。请继续关注本系列的第三篇也是最后一篇文章，笔者将在其中详细探讨如何制定 NIS2 合规路线图，并探讨企业如何有效证明自身符合该法规要求。

Canonical 如何帮助满足 NIS2 网络安全合规要求

Canonical 致力于帮助企业组织实现 EU NIS2 合规性。我们始终致力于提供值得信赖的开源软件，让企业组织能够将安全置于其技术堆栈的核心位置。借助我们推出的综合安全与支持订阅服务 Ubuntu Pro，无论企业组织在其技术堆栈中的哪个环节使用 Ubuntu，都能享受针对超过 36,000 个软件包的长达 12 年的扩展安全维护服务。Ubuntu Pro 还包含诸如 Landscape 和 Livepatch 的补丁自动化工具以及合规审计工具，并提供对合规和系统强化功能的访问权限。

如需了解关于 Ubuntu Pro 的更多信息，请访问我们的专题页面，也可以联系我们的团队，探讨如何帮助您满足自身需求。

有关 EU 法规与合规要求的更多资源

感谢阅读本文！点击以下链接可以查看有关欧盟法规以及如何通过基础架构强化方法满足安全合规要求的更多资源。

• 阅读我们首席信息安全官针对《网络弹性法案》的全面解析
• 观看网络研讨会（介绍 CRA 对设备制造商的影响）
• 阅读我们的基础架构强化白皮书，进一步了解关于如何实现强化的内容。