NIS2 合规指南：第 3 部 — 展示对 NIS2 的合规能力

by Canonical on 10 July 2025

在本系列的第三部分也是最后一部分中，笔者将针对如何制定路线图以及在不加重团队负担的前提下有效证明合规性提供一些实用性建议。

对首次阅读本系列的读者在此说明一下，我们在前两期内容中探讨了 NIS2 的适用对象及其规定的各项要求。如需了解更多背景信息，请务必阅读这两期内容。

如何制定 NIS2 合规路线图？

了解 NIS2 的适用范围及其规定的各项要求之后，接下来就该制定合规路线图了。

以下是我们针对制定路线图提供的一些建议：

进行差距分析：了解 NIS2 所规定的各项管控措施之后，要梳理出已经满足的要求、有待落实的要求以及需要通过改进来进一步满足的要求。
确定行动计划：编写详细的行动计划，阐明如何落实或改进相关流程与管控措施以满足 NIS2 合规要求。拒绝复杂化：不要害怕从细微处着手，要先重细节基础，后在细节基础上逐步完善。例如，无需在初始阶段即投入大量时间和资源用于实现自动化，反而是要专注于为流程和管控措施奠定良好基础，之后再着手解决自动化问题。
制定时间计划：完成上述步骤后即已拥有待办事项清单以及详细计划。按照复杂程度、关键程度和工作力度对这些事项进行优先级排序。确定快速致胜事项（容易落实或改进的事项），逐步提升安全水平。
开展保证性检查：一旦行动计划实施完成，即刻进行评估或审计，以确保各项控制措施已正确实现并有效运行。这项工作可以由内部评估人员（内部审计团队、合规团队）来完成，也可以由外部评估人员（外部审计师和顾问）来执行。

完成路线图制定之后，即可开始证明自身的合规性，并向外界和利益攸关方展示。下面我们介绍如何进行证明。

如何有效证明 NIS2 网络安全合规要求？

如果 EU NIS2 适用于您，那么想必您已经在整个企业内构建了众多控制框架来确保所有业务领域都达到合规要求。您可能一整年要进行多次不同形式的审计（每次的审计人员也可能不同），这会给合规团队和运营团队带来沉重的负担。

EU NIS2 不允许进行自我认证形式的合规证明。如要证明是否满足该指令的合规要求，您需要从经认可的认证机构获得认证或合规证明。

虽然这看起来有点像一个仅涉及（他方）审计的常规性审计流程，但对于欧洲本土企业以及希望在欧盟市场开展业务的国际公司来说，合规要求的范围还在不断扩大。EU NIS2 叠加现行的各项法规以及近期即将正式通过的新法规，同时再加上企业已经持有的各类行业认证（例如 ISO27001），这使得整个局面变得更加复杂和混乱不堪，导致企业需要接受各种不同形式的审计来满足类似的合规要求。

为了减轻企业在这种情况下的负担，EU 和 ENISA 启动了欧盟共同标准网络安全认证方案（EUCC）计划。该计划将为企业提供整个欧盟适用的认证方案，企业可以根据自己选择遵循的保证级别和／或保护框架来认证并证明自身的不同法规合规性。

笔者建议企业利用这一计划，获取 EUCC 认证。“一次测试获多项合规认证”的理念备受欢迎，因为如今监管环境下的合规难度日益增大。

不过，企业仍需要持续关注这一方面的动态。候选认证方案将在不久之后正式确定，欧洲网络与信息安全局（ENISA）届时也将公布更多详细信息。

Canonical 如何帮助满足 NIS2 网络安全合规要求？

Canonical 能够在满足与 EU NIS2 相关的合规需求方面提供有力帮助。我们的解决方案组合能够针对技术栈的各个环节提供值得信赖的开源软件，并提供长期支持来保障稳定性。此外，Canonical 同样致力于 NIS2、CRA 等欧盟法规合规性。

以下是您可能会感兴趣的产品：

Ubuntu Pro：订阅即可在每一个 Ubuntu 长期支持版本的基础之上获得安全与合规更新。长达 12 年的更新支持覆盖超过 36,000 个软件包，同时提供自动化强化工具与安全补丁选项。再结合我们提供的企业级支持服务，您可以纵享最放心的体验。

Landscape：用于管理 Ubuntu 设备集群且适用于桌面设备、服务器以及各类设备的解决方案。使用我们的 SaaS 或 Managed Landscape 解决方案，对所有 Ubuntu 设备进行自动化的安全补丁自动安装、审计、访问管理和合规性相关任务，也可以在本地环境（网络连接良好的环境和物理隔离的环境均可）中部署。订阅 Ubuntu Pro 即可获取 Landscape。

Ubuntu Core：针对嵌入式 Linux 的理想之选。Ubuntu Core 是一款极简、安全且严格隔离的操作系统，能够驱动全球各类设备稳定运行。利用 Ubuntu 提供的必要功能，有效减少攻击面，是保障设备运行的绝佳选择。此外，还可使用 Landscape 对 Core 设备集群进行统一管理。

Everything LTS：我们根据您的需求构建 distroless docker 容器镜像，并为其提供安全维护，同时也为 Ubuntu 中未包含的上游组件提供安全维护。这些定制的容器也可在其他平台（如 RHEL、VMware 或主要公共云平台 Kubernetes）上使用，并且享受 12 年安全补丁更新服务。

如需了解关于携手 Canonical 简化安全与合规工作的更多内容，请联系我们。

有关 EU 法规与合规要求的更多资源

感谢阅读本文！点击以下链接可以查看有关欧盟法规以及如何通过基础架构强化方法满足安全合规要求的更多资源。

阅读关于 NIS2 的前两篇博客文章：阅读第 1 部和第 2 部
从我们的《网络弹性法案》系列文章开始读起
观看关于 CRA 介绍的网络研讨会或了解设备制造商们会面临的影响

请参阅我们的基础架构强化白皮书，进一步了解关于如何实现强化的内容

查看更多内容

NIS2 合规指南：第 2 部 — 了解 NIS2 合规要求

在上一篇博客文章中，笔者详细介绍了 NIS2 及其适用对象。本系列的第二篇文章中将详细介绍 NIS2 中的主要要求，并将这些要求具体转化为切实可行的行动措施，助力企业组织满足 NIS2 合规要求。欢迎阅读本文，一同深入了解 NIS2 的内容。 NIS2 适用于您。那么，您需要做些什么来满足 NIS2 合规要求？如果您正在阅读本文，想必已经意识到 EU NIS2 适用于您所在的公司。接下来，让我们深入探究其中的具体要求，以及为实现合规性需要采取的行动。该指令规定，相关实体必须落实网络安全风险管理措施，且这些措施必须“适当适度”。尽管这一要求看似宽泛，存在一定的解释空间，但指令中明确规定了一系列必须落实的最低限度的网络安全风险管理措施。下面将细入探讨这些措施，并将其转化 […]

什么是「应用安全」 — Application Security “AppSec” ？

网络安全领域已然迎来重大变革。如今，网络攻击、恶意软件和勒索软件等风险日益蔓延，加之新出台的网络安全法规以及针对数据泄露和数据外泄的高额罚款所带来的压力与日俱增，强化应用安全（AppSec）已毫无妥协可言。在本文中，我们将探讨如何直面这些挑战，通过聚焦安全态势中最基本的要素，确保业务和系统安全。笔者将介绍应用安全（AppSec）的概念及其益处，探讨企业应如何设计和实现应用安全，并分享我们团队的一些实用建议和最佳实践，帮助您筑牢安全防线。什么是 AppSec ？应用安全（简称 AppSec）是一个广义概念，涵盖了企业组织为保护其应用程序在整个生命周期内免遭各种安全漏洞而采用的所有工具、举措与流程。应用安全的目标只有一个，就是找出应用程序和系统中可能会被恶意攻击者利用， […]