NIS2 和 DORA 是欧盟法规,对关键基础设施和金融部门组织提出网络安全和运营韧性要求。两者均于 2025 年生效,广泛适用于欧盟各行业。 ## NIS2 指令 网络和信息安全指令 2 (NIS2) 为能源、交通、医疗、数字基础设施和公共管理等领域的"基本"和"重要"实体制定了网络安全要求。 全文: [指令 (EU) 2022/2555](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) ### NIS2 要求映射 | NIS2 要求 | Rediacc 功能 | |----------|-------------| | 风险管理措施(第 21 条) | LUKS2 静态加密、每仓库网络隔离、仅 SSH 访问、账户级审计日志(40 多种事件类型) | | 事件处理(第 21(2)(b) 条) | 40 多种账户级事件类型(认证、令牌、配置、许可)提供取证线索。每仓库隔离限制影响范围。 | | 业务连续性(第 21(2)(c) 条) | `rdc repo backup push/pull` 支持多目标加密备份。CoW 快照实现即时回滚。 | | 供应链安全(第 21(2)(d) 条) | 自托管消除 SaaS 供应链风险。没有第三方云提供商处理您的数据。 | | 网络安全(第 21(2)(e) 条) | 每仓库 Docker daemon、iptables 规则、环回 IP 隔离(/26 子网)。 | | 加密(第 21(2)(h) 条) | 强制 LUKS2 AES-256 加密。使用 AES-256-GCM 的零知识配置存储。 | | 访问控制(第 21(2)(i) 条) | SSH 密钥认证、带 IP 绑定的范围限定 API 令牌、双因素认证 (TOTP)。 | | 事件报告,24 小时早期预警(第 23 条) | 审计日志支持快速事件检测和范围界定。 | ### 供应链风险 供应链安全是 NIS2 的核心关注点(第 21(2)(d) 条)。组织必须评估和管理来自 ICT 服务提供商和供应商的风险。 自托管 Rediacc 消除了最大的供应链攻击面:没有第三方 SaaS 处理您的数据,没有云提供商拥有对您基础设施的逻辑访问权,也没有多租户环境导致暴露于其他客户的安全态势。[Blackbaud 2020 年的勒索软件攻击暴露了 13,000 多个客户组织的数据,和解金额达 4950 万美元。](https://www.sec.gov/newsroom/press-releases/2023-48) --- ## DORA(数字运营韧性法案) DORA 为欧盟金融部门制定了 ICT 风险管理、事件报告、韧性测试和第三方风险管理的要求。适用于银行、保险公司、投资公司、加密资产服务提供商及其关键 ICT 第三方提供商。 全文: [条例 (EU) 2022/2554](https://eur-lex.europa.eu/eli/reg/2022/2554/oj) ### DORA 要求映射 | DORA 要求 | Rediacc 功能 | |----------|-------------| | ICT 风险管理框架(第 6 条) | 加密、隔离、审计日志和备份构成技术控制层。 | | 保护和预防(第 9 条) | LUKS2 AES-256 静态加密。网络隔离防止横向移动。仅 SSH 访问。 | | 检测(第 10 条) | 40 多种账户级事件类型。带用户和团队过滤的管理面板。机器操作可通过 SSH 和系统日志审计。 | | 响应和恢复(第 11 条) | CoW 快照实现即时回滚。`rdc repo backup push/pull` 支持多目标恢复。基于 Fork 的灾难恢复测试。 | | ICT 第三方风险(第 28-30 条) | 自托管完全消除"关键 ICT 第三方提供商"分类。 | | 数字运营韧性测试(第 24-27 条) | CoW 克隆支持在类生产环境中进行威胁导向渗透测试,无数据暴露。克隆、测试、销毁。 | ### ICT 第三方提供商风险 DORA 最繁重的要求是关于管理关键 ICT 第三方提供商(第 28-30 条)。金融机构必须维护 ICT 提供商登记册、进行风险评估、协商特定合同条款并制定退出策略。 自托管 Rediacc 完全避免了这一点。没有需要登记、评估或监控的 ICT 第三方提供商。金融机构直接控制自己的基础设施。 ### 韧性测试 DORA 要求进行数字运营韧性测试,包括大型机构的威胁导向渗透测试 (TLPT)(第 26 条)。CoW 克隆直接处理此需求: 1. Fork 生产环境(即时、同一机器、无数据传输) 2. 对 Fork 运行渗透测试 3. 完成后销毁 Fork 生产环境从未被触及,而测试环境是精确的副本。没有数据离开机器。