1. 什么是 NIS-2?
“ NIS ”全称为:Network and Information Security,意为“网络和信息安全”,而数字“2”则表示这是对 2016 年欧盟首次推出的 NIS 指令的升级版。其目标是应对不断变化的网络攻击手段,提升整个欧盟的网络安全水平,并实现标准化。
不过,NIS-2 目前只是欧盟层面的指令,下一步需要各成员国转化为本国法律。在德国,这一指令将通过《 NIS-2 落实及网络安全加强法》 (NIS2UmsuCG)来实施。
2. NIS-2 与 NIS-1:有何不同?
初代 NIS-1 指令旨在确保欧盟的高水平网络安全,但由于其局限性,已经难以应对新的挑战。而 NIS-2 指令及其在德国的落实法通过一系列改进来解决这些不足。
相比旧版,NIS 2 更加明确和细致地规定了在风险管理、安全事件检测及报告义务方面的要求。它进一步加强了与各国监管机构的合作,这些机构将加大监督和执法力度。同时,NIS 2 加大了处罚力度,以促进企业合规。此外,NIS 2 扩大了受影响组织的范围,涉及更多行业,并通过聚焦“供应链安全”间接将更多企业纳入监管范围,例如 IT 服务提供商。
3. NIS 2:谁会受到影响?
NIS-2 的适用范围已超出原先的关键基础设施(KRITIS)运营商,扩展至 18 个领域,涵盖重要和特别重要的设施以及关键运营商。受影响的机构包括能源、交通、金融、医疗、供水和废水处理、数字基础设施及航天领域的企业。此外,一些联邦政府机构也被纳入监管之列。
需要强调的是,并非上述行业的所有组织都自动适用 NIS-2 指令。一般情况下,员工人数超过 50 人或年营业额超过 1000 万欧元的企业将被涵盖。此外,还有一些例外情况,无论企业规模如何,均需遵守 NIS-2 及其德国实施法。
因此,各组织应尽早评估自己是否受 NIS-2 落实法的影响,并主动进行自查,因为不会有第三方通知。此外,相关企业需向德国联邦信息安全局(BSI)注册备案。
扫二维码联系专业客服
