PDF 内容概览
共十九个章节,专为需要了解指令核心内容但不想逐页阅读 73 页序言和条款的 CISO 或合规负责人而设计。
- 执行摘要
- 目的与法律依据
- 从 NIS1 到 NIS2:为何需要新法规?
- 适用范围与排除领域
- 关键定义
- 实体类别:基本实体与重要实体
- 适用范围内的行业(附件 I 和附件 II)
- 成员国义务
- 网络安全风险管理措施(第 21 条)
- 事件报告义务(第 23 条)
- 供应链安全
- 管理层职责
- 欧盟层面的合作机制
- 监督与执法
- 行政罚款
- 实施时间表与过渡安排
- 对非欧盟企业的影响
- 实用合规路线图(10 步)
- 结论与评估
三份配套指南
PDF 梳理了指令框架,配套指南则将合规义务转化为采购和运营决策,针对不同受众逐一呈现。
第 21(2)(d) 条是一个供应商问题
当数据面永远不离开你的租户时,第三方 ICT 登记册的范围如何缩小。面向 2026 年重新谈判数据处理协议的 CISO 和采购负责人。
阅读指南 →无形式主义的持续有效性
综合解读第 21(2)(e)、(f) 条与第 23 条。恒定时间分叉使每周演练切实可行,以及没有取证级别证据就无法满足的第 23 条报告时间线。面向 SRE 和运维负责人。
阅读指南 →买家在第一轮 NIS2 审计中告诉我们的
中型市场基本实体正在悄然搭建的五工具合规技术栈、自托管控制平面所能整合的内容,以及无论如何都由你承担的费用项目。面向进入续约周期的 CFO 和采购人员。
阅读指南 →常见问题
这是指令的官方译文吗?
不是。这是一份非官方英文摘要,旨在使指令的结构和义务更易于理解。如需具有约束力的解释,请查阅 OJ L 333/80(2022 年 12 月 27 日)的官方文本,或通过 EUR-Lex(CELEX 32022L2555)获取。你所在成员国的国内转化法律可能规定了比指令本身更严格或适用范围不同的义务。
哪些主体适用 NIS2?
在附件 I(高度关键性)或附件 II(其他关键性)行业运营且达到中型企业门槛(按建议 2003/361/EC,员工 50 人以上或年营业额超过 1000 万欧元)的实体。部分实体不受规模限制,包括顶级域名注册机构、DNS 提供商、信任服务提供商和中央公共行政机构。PDF 第 4、6、7 节详细介绍了适用范围。
NIS2 何时生效?转化期限是何时?
该指令于 2023 年 1 月 16 日生效。成员国须在 2024 年 10 月 17 日前将其转化为国内法;自 2024 年 10 月 18 日起开始适用(同日 NIS1 废止)。完整时间表(包括向委员会提交实体名单的截止日期 2025 年 4 月 17 日和定期审查计划)见第 16 节。
最高罚款是多少?
对于基本实体:1000 万欧元或全球年营业额的 2%,以较高者为准。对于重要实体:700 万欧元或全球年营业额的 1.4%,以较高者为准。该指令还允许采取非金钱制裁措施,包括对基本实体高级管理层的临时管理禁令(最后手段)。第 15 节介绍了罚款确定因素。
NIS2 适用于非欧盟企业吗?
适用,有两种方式。直接适用:在欧盟提供服务的非欧盟 DNS、云服务、数据中心、CDN、MSP/MSSP、在线市场、搜索和社交网络提供商,须指定欧盟代表并遵守相关规定。间接适用:向欧盟基本实体或重要实体提供产品或服务的非欧盟供应商,将受到其欧盟客户依据第 21(2)(d) 条施加的供应链安全合同要求约束。第 17 节对两种情况均有介绍。
第 23 条的事件报告如何运作?
三个截止期限,均从“知悉”重大事件起算:24 小时内提交早期预警,72 小时内提交完整事件通知,1 个月内提交最终报告。如存在重大网络威胁可能,还须及时通知服务接受方。第 10 节列有完整的报告矩阵。
关于本摘要
Rediacc 是一家在爱沙尼亚注册的自托管基础设施平台(OÜ 17363830,增値税号 EE102920091)。本摘要是我们 NIS2 内容计划的一部分。上方的配套指南介绍了 Rediacc 如何应对指令的具体条款,包括 Rediacc 尚无法覆盖的方面(尚无认证、无 GRC 层、无托管式第 23 条报告、仅限门户的 MFA)。如需查看公开能力映射,请参阅文档中的 NIS2 and DORA。
发送你的供应商问卷或去年预算中最重要的三项安全支出给我们。我们将基于已部署的实例以书面形式回复,包括不足之处。或者下载 PDF 转发给同事。
下载 PDF