概要: 德国首批 NIS2 审计周期已经过去。自去年 12 月以来,我们接触的采购方描述的情形大同小异:五种工具、三份合同、两份彼此重叠的审计日志,以及一个始终无法填补的缺口。本文是这些对话的结构性总结。自托管控制平面能够整合哪些内容,哪些成本无论如何都会留在你的预算里,以及为何 2026 年续约谈判的正确框架不是”比 Veeam 更便宜”,而是”更少的注册表条目、更少的重叠、同样诚实地命名缺口”。
- Frontier Economics 将欧盟范围内 NIS2 合规的年度直接成本估算为 EUR 31.2 billion。落到中型市场单个组织层面,现实是:“我们本来就有安全技术栈,NIS2 只是把缺失的部分暴露出来了。”
- 五工具技术栈:备份、灾难恢复(DR)、数据脱敏或测试数据、渗透测试合同、GRC 平台。每个工具承担一部分职责,没有一个能覆盖全部。
- Rediacc 将备份、DR、fork 作为测试数据、即时恢复整合进一个控制平面,并附带一份统一审计日志。它不能整合 GRC、认证、培训、更广泛的 MFA、渗透测试,以及 SIEM 和 SOC。
- 本文结构性价值所在,是那张诚实的”仍属于你”对照表。如果有采购方读完后得出”Rediacc 可以替代 Drata”的结论,那他们的审计师会让他们失望的。
2025 年 12 月,德国 BSI 向其认定属于 NIS2 适用范围但尚未完成注册的实体发出了 47 份正式通知。法国 ANSSI 随即启动了类似行动。意大利 ACN 开始追查约 2,000 家其认为未注册的实体。第一批中型市场重要实体和一般重要实体进入了首轮 NIS2 审计周期。
此后我们与大约三十家这样的组织进行了通话交流,涵盖不同行业和规模,主要来自德国和意大利,还有少数来自荷兰和爱沙尼亚。这些对话惊人地相似。每个团队都有备份供应商、一份不确定是否经过实际测试的 DR 计划、一个关于预发布环境的半真半假的说法,以及一份在 NIS2 尚未出现在任何人的 PPT 上时就已获批的采购预算。
本文是这些对话的结构性版本。着眼于 CFO 或采购方在 2026 年实际需要签署哪些内容、自托管控制平面如何改变账单结构,以及诚实的残余成本究竟是什么样子。本文刻意回避 TCO 计算器的形式。我们正在交流的采购方不需要再多一张电子表格,他们需要一张关于资金去向以及哪些行项目存在重叠的结构性地图。
如果你想了解”自托管很重要”这一主张背后的供应链风险论据,请参阅关于 Article 21(2)(d) 的配套文章。如果你想了解为何年度渗透测试已不再足够的 SRE 层面论述,请参阅关于持续有效性的配套文章。本文位于两者之间,聚焦于预算对话。
宏观数字,以及它意味着什么、不意味着什么
Frontier Economics 2024 年为欧盟委员会所做的研究将欧盟范围内 NIS2 合规的年度直接成本定为 EUR 31.2 billion。这一数字被广泛引用,同样也被广泛误读。
EUR 31.2 billion 分摊到约 160,000 家重要实体和一般重要实体身上。按组织计算,平均落在 EUR 150,000 至 EUR 250,000 区间,行业和规模是造成差异的主要因素。一家拥有 250 名员工、处于制造业或医疗行业的中型市场重要实体处于该区间的高端。一家拥有 60 名员工、数据密集程度较低行业的一般重要实体则处于低端。
ENISA 自身的实施成本指引(实施条例 (EU) 2024/2690 附件四)与 Frontier 的数字吻合,但分解方式不同:工具层约占 35%~45%,人员与培训约占 30%~40%,认证与审计约占 15%~20%,事件响应保留费和托管服务约占 5%~10%。
对于正在签署 2026 年预算的 CFO 而言,这意味着:工具层每年大约需要 EUR 50,000 至 EUR 120,000,具体取决于现有基础。接下来我们将逐层梳理这个工具层。
它不意味着:购买一个 NIS2 就绪的捆绑包就能解决问题。对大多数团队来说,人员培训和认证预算比工具预算更大,没有任何工具供应商能减少这些支出。一家供应商声称可以降低 50% NIS2 成本,几乎总是只针对工具层做的计算,而不是针对完整项目成本。
中型市场团队悄然搭建的五工具技术栈
纵观三十次采购方对话,90% 的情况下技术栈的构成是相同的。五个类别,每个类别有一到两个具名供应商。类别标签稳定,供应商选择则各有不同。
1. 备份供应商。 Veeam Data Platform Foundation 或 Premium 是最常见的答案,其次是 Cohesity DataProtect、Rubrik Security Cloud、Commvault,规模较小时则会出现 Acronis Cyber Protect。中型市场的年度成本区间为 EUR 15,000 至 EUR 60,000。这通常是存续时间最长的行项目,早于 NIS2 多年就已存在。
2. DR 站点或 DR 即服务。 可能是带有操作手册的辅助云区域、Veeam Cloud Connect 或 Rubrik Cloud Vault 租约,或者与托管 DR 提供商签订的合同。年度成本 EUR 8,000 至 EUR 35,000。实践中很少真正测试,操作手册通常更像美好愿景,而非实际可操作的流程。
3. 测试数据或数据脱敏工具。 Delphix(现已并入 Perforce DevOps Data)是企业级默认选择,此外还有 Tonic.ai、Redgate Test Data Manager,偶尔也有自建的 rsync 加脱敏脚本。授权产品年度成本 EUR 25,000 至 EUR 90,000。我们通话中的大多数团队并没有这个行项目,他们有的是自认为”足够好用”的预发布环境。Article 21(2)(e) 审计对话才是促使这项支出进入预算的导火索。
4. 渗透测试合同。 与安全测试公司签订的保留合同,或像 Pentera、Horizon3.ai 这样的自主测试平台。自主工具年度成本 EUR 15,000 至 EUR 50,000,人工测试参与年度成本 EUR 20,000 至 EUR 80,000。大多数团队有这项支出,且大多数团队每年执行一到两次。
5. GRC 平台。 Drata、Vanta、OneTrust、AuditBoard、Hyperproof、DataGuard、Kertos,最小规模的团队有时使用自制电子表格。年度成本 EUR 12,000 至 EUR 60,000,用于供应商注册表、控制框架认证、证据收集,以及(越来越频繁地)支持 SOC 2 或 ISO 27001 审计。
五个行项目,三到五个具名供应商,人员和培训费用之前通常为每年 EUR 75,000 至 EUR 295,000。差异较大,但结构是一致的。
这五份合同之间往往互不相通。审计日志没有统一。退出计划分开编写。供应商评审分开进行,有时由不同的采购负责人负责。这正是 NIS2 让人感到不适的结构性形态。
重叠在哪里
技术栈中每个类别至少与另一个类别存在重叠。
备份与 DR 重叠。 现代备份供应商都声称具备 DR 能力。带 Cloud Connect 的 Veeam Data Platform 是 DR 产品。带 Cloud Vault 的 Rubrik 是 DR 产品。两个行项目往往在同一供应商处为相邻能力付费。历史上未能整合这两个行项目的采购方有其运营层面的原因(独立团队、独立 SLA),但在 NIS2 “恢复单一可信来源”的预期下,这一理由日益站不住脚。
备份与测试数据重叠。 Veeam Instant Recovery、Rubrik Live Mount、Cohesity SmartFiles 都提供了某种形式的可挂载备份用于测试。它们并非完整的 Delphix 替代品(脱敏层是独立的,数据库集成也更浅),但对于许多测试数据场景而言,备份工具提供了一半的解决方案。大多数团队并未意识到这一点。
渗透测试与自主测试重叠。 基于保留合同的人工渗透测试与 Pentera 式持续测试,有时被定位为替代关系,有时被定位为互补关系。实践中,同时拥有两者的采购方为相邻能力付了双倍费用。两者都没有的采购方则存在 Article 21(2)(f) 的缺口。
GRC 与所有内容重叠。 Drata 声称与备份、DR、身份管理、漏洞管理、培训和事件响应都有集成。这些集成的深度参差不齐。一个与备份工具集成较浅的 GRC 平台所产生的合规证据,与备份工具自身的证据并不等价,审计师开始追问哪一个才是权威来源。
这些重叠并非浪费。它们是一个跨越十年、在 NIS2 出现之前就已拼凑而成的技术栈的必然结果,那时整合问题尚未成为结构性命题。
缺口在哪里
缺口比重叠更值得关注,因为缺口正是 NIS2 所揭露的问题所在。
针对真实生产数据的补丁验证。 五个类别中没有一个能很好地完成这件事。备份工具挂载备份,挂载的环境是已恢复的备份,而非当前生产环境。测试数据工具对生产数据进行脱敏,脱敏后的环境在数据形态上是真实的,但丢失了配置变化。渗透测试合同测试的是被指定的目标,90% 的情况下是预发布环境。“我们有工具”与”我们能在一小时内针对当前生产等效环境测试 CVE 补丁”之间的差距,是真实存在的结构性问题。
持续有效性评估。 大多数团队执行的是年度频率。Article 21(2)(f) 要求更频繁的机制。五个类别中没有一个默认产出每周或每两周的证据。采购方要么运行自定义演练(罕见且昂贵),要么接受年度频率并希望审计师接受(审计师越来越不接受了)。
供应链注册表整合。 五个供应商中的每一个都是独立的注册表条目,各自携带自己的 DPA、SCC、子处理商清单和退出计划。在加入人员培训工具、身份工具、可观测性工具和 IaaS 之前,注册表已经有五个一级条目。在 NIS2 的语境下,供应链对话与其说是安全对话,不如说是注册表管理对话。(供应链注册表的结构性论据,请参阅供应链文章。)
Article 23 报告工作流。 24 小时早期预警、72 小时通知和一个月报告,都不是五个类别中任何一个能自动产生的。它们需要 SIEM、SOC(内部或外包),以及一个知道如何向国家 CSIRT 提交报告的人。规模较小的团队往往不具备这些条件,第一次事件往往是痛苦的实战学习。
Rediacc 整合了什么
Rediacc 是一个带有统一审计日志的控制平面,取代了五个类别中四个的核心能力,适用于自托管基础设施。
备份:热备份(基于 BTRFS 快照的崩溃一致性,无停机时间)和冷备份(应用一致性的停机-快照-启动)策略,通过 systemd timers 调度,通过 rclone 支持多目的地。LUKS 加密卷,操作员持有凭据,Rediacc 公司本身永远看不到明文数据。运营细节请参阅 Backup & Restore 和 Cross Backup Strategy。
DR:与备份相同的基础原语,加上 rdc repo migrate 用于跨机器数据迁移,以及 fork 原语用于在并行机器上快速启动已恢复状态。DR 站点可以是另一台 Hetzner 机器、OVH 机器、本地机架,任何 SSH 可达的地方都行。数据路径中没有 DR 供应商的云。
测试数据与全栈克隆:基于 BTRFS reflink 的 fork,无论存储库大小均为常数时间,涵盖全栈(数据、配置、容器状态、服务)。在我们的 PocketOS 测试中,fork 一个 128 GB 的存储库仅需 7.2 秒。fork 出的环境是当前生产环境,而非精简版预发布环境。请参阅 Risk-Free Upgrades。
即时恢复:从任意 rclone 目标执行 rdc repo backup pull,在新的 fork 中启动,并在父存储库通配符证书覆盖的 fork 专属子域名下运行。无需 DNS 改动,无需证书操作。
统一审计日志:覆盖整个控制平面的 70 多种事件类型(身份验证、API 令牌、配置写入、存储库生命周期、备份、同步、终端会话、机器操作)。在操作员工作站上进行哈希链式记录,rdc audit verify 验证端到端完整性。
对于一家拥有 250 名员工的中型市场重要实体而言,整合结果是:从四个具名供应商(备份、DR、测试数据、即时恢复)缩减为一个。一份授权、一份审计日志、一组升级决策、一个注册表条目。
第五个类别 GRC 不在整合范围内,稍后我们会回到这个话题。
无论如何都会留在你预算里的内容
这是决定本文其余部分是否诚实的核心章节。以下是两列对照表:
| Rediacc 移除的内容 | 仍属于你的行项目 |
|---|---|
| 备份供应商授权 | GRC 平台(Drata、Vanta、OneTrust、AuditBoard、DataGuard),用于供应商注册表、控制框架认证、证据收集,以及 SOC 2 或 ISO 27001 审计支持 |
| DR 站点合同或 DR 即服务租约 | 认证审计费用(ISO 27001、SOC 2、如有需要的 BSI C5;Rediacc 本身尚未获得认证,因此这笔费用目前由你承担) |
| 测试数据或脱敏工具授权 | 人员培训和安全意识预算(NIS2 Article 21(2)(g)) |
| 备份供应商处的即时恢复授权 | 更广泛的企业 MFA 解决方案;Rediacc 门户提供 TOTP,而非企业级 MFA 平台 |
| 渗透测试合同或自主测试平台;Rediacc 提供目标环境,不提供测试能力 | |
| 用于 Article 23 检测和报告的 SIEM 和 SOC;Rediacc 提供法证级证据,不提供运营报告层 | |
| IaaS 提供商(Hetzner、OVH、你的托管机房、你的裸金属);Rediacc 运行在基础设施之上,而非取代基础设施 | |
| 负责运营整个项目的人员。Rediacc 是工具层,不是安全团队 |
表格右侧比左侧更长。这是 NIS2 成本的真实形态。移除备份、DR 和测试数据的重叠确实能节省真实的资金和注册表条目,但不会把安全项目变成一个 SaaS 订阅。
如果有采购方读完本文后得出”我可以用 Rediacc 替代 Drata”的结论,那他们的审计师会让他们失望的。正确的理解是:Rediacc 实现的数据平面供应商整合,是 GRC 工具做不到的事;而 GRC 工具所做的注册表和证据工作,是 Rediacc 不做的事。两者是互补关系。
关于能力与 NIS2 条款的公开映射,请参阅 NIS2 and DORA。关于更广泛的架构框架,请参阅 Compliance Overview。关于 Rediacc 商业细节,请参阅 Subscription & Licensing。
参考场景:结构性而非数字性
以一家拥有 250 名员工的德国制造业公司为例。依附件二归类为”一般重要实体”。生产数据分布在 4 到 6 台服务器上,以自托管为主,有一到两个 SaaS 工具(CRM、薪资系统)。年收入 EUR 80M,现有安全团队 3 人。
整合之前,他们的数据平面技术栈:
- Veeam Data Platform Foundation,EUR 24,000/年
- Veeam Cloud Connect 用于 DR,EUR 12,000/年
- 一套自建的 rsync 加 pg_dump 测试数据方案,授权费用为零,但每两周需要一名 SRE 花费半天时间
- 年度渗透测试,EUR 22,000
- Drata 用于 GRC,EUR 18,000/年
五份合同,其中两份(Veeam、Veeam Cloud Connect)来自同一家供应商但属于不同的 SKU。不计渗透测试和 GRC 的情况下,数据平面行项目合计 EUR 36,000/年。团队每年执行一次恢复测试,没有持续有效性证据,供应商注册表在数据平面侧就已有五个条目。
整合之后,在 Hetzner 上使用 Rediacc 处理自托管工作负载:
- Rediacc Business 版,EUR 8,400/年(覆盖其存储库规模)
- Hetzner IaaS 主备合计,EUR 9,600/年(已在预算内,无新增行项目)
- 渗透测试合同保留(EUR 22,000)
- Drata 保留(EUR 18,000)
- 自建测试数据方案退役,原本每两周半天的 SRE 时间改用于运行每周有效性例程
数据平面整合:5 个行项目缩减为 1 个(Rediacc)加上现有 IaaS 行项目。供应商注册表数据平面部分从 5 个条目降至 2 个。持续有效性现在有每周演练和哈希链式审计日志证据作为支撑,恢复测试现在由 rdc machine backup status 输出和每周恢复演练提供背书。
这些数字是示意性的,不是承诺。你的技术栈会有所不同。四到五个行项目整合为一个加上现有 IaaS 的结构,是真实采购方对话的样子。
关于本文不是什么的说明
本文不是针对 Veeam 的攻击,也不是 TCO 计算器。Veeam 在欧洲拥有最大的 VM 备份市场份额,原因是充分的:产品成熟、合作伙伴网络广泛、NIS2 营销强劲。2026 年选择 Veeam 的采购方并没有犯错。参考场景中的数字是示意性的,来自真实的采购方对话,而非基准测试。请将结构性分析方法应用于你自己的合同。
本文是什么:为在未来十二个月内重新谈判备份、DR 或合规合同、并希望了解自托管控制平面如何改变行项目的 CFO,提供一个采购方视角的结构性框架。
接下来该做什么
如果你正面临续约周期且预算尚未锁定,以下是三个具体行动:
- 调取去年最大的三笔安全和基础设施行项目。 将其发送给你的 DPO、CISO 和审计师。询问在 NIS2 使重叠可见之前,哪些已经是冗余的。大多数团队会发现至少一个一直在为之付费的重叠项。
- 将你当前的数据平面技术栈与上述五类清单进行对照。 记录哪些类别只有一个供应商,哪些有两个,哪些一个都没有。“没有”的单元格就是 NIS2 将要揭露的缺口。
- 对每个数据平面供应商运行供应链文章中的供应商注册表练习。 统计注册表条目数量。这个数字通常比团队预期的要高。
如果我们在你的候选名单上,具体方案如下:将去年安全和基础设施预算中最大的三个行项目发给我们。我们会在一周内以书面形式告诉你,哪些可以整合,哪些不能。答案会包括缺口说明,因为诚实命名缺口是让答案其余部分值得信赖的前提。
关于零成本备份(我们在存储端比老牌竞争对手更轻量的架构论证)、Cross Backup Strategy(洲际 DR)以及 Subscription & Licensing(商业细节),请参阅对应文档。