【欧盟网络安全】NIS 2指令

cioctocdo 10 December 2022

SEO Title

EU : THE NIS 2 DIRECTIVE

2022年11月28日-理事会通过NIS 2指令。

NIS 2指令取代并废除NIS指令（指令2016/1148/EC）。NIS 2将改进网络安全风险管理，并将在能源、运输、卫生和数字基础设施等部门引入报告义务。

下一步：该指令将于未来几天在《欧盟官方公报》上发布，并将于本次发布后的第二十天生效。

成员国必须在指令生效后21个月内将NIS 2指令的规定纳入国家法律。

2022年11月10日——欧洲议会通过NIS 2指令。

NIS 2指令取代并废除NIS指令（指令2016/1148/EC）。

下一步：欧盟理事会必须正式通过NIS 2指令的文本。

2022年5月13日——加强欧盟范围内的网络安全和韧性——理事会和欧洲议会达成的临时协议

理事会和欧洲议会商定了在欧盟范围内建立高度共同网络安全水平的措施，以进一步提高公共和私营部门以及整个欧盟的应变能力和事件应对能力。

一旦通过，名为“NIS2”的新指令将取代当前关于网络和信息系统安全的指令（NIS指令）。

加强风险和事件管理与合作

NIS2将为该指令涵盖的所有部门（如能源、交通、卫生和数字基础设施）的网络安全风险管理措施和报告义务设定基准。

修订后的指令旨在消除不同成员国在网络安全要求和网络安全措施实施方面的分歧。为了实现这一目标，它为监管框架制定了最低限度的规则，并为每个成员国的相关当局之间的有效合作制定了机制。它更新了受网络安全义务约束的部门和活动清单，并规定了补救措施和制裁措施，以确保执行。

该指令将正式建立欧洲网络危机联络组织网络，即欧盟CyCLONe，该网络将支持大规模网络安全事件的协调管理。

扩大规则的范围

根据旧的NIS指令，成员国负责确定哪些实体符合基本服务运营商的资格标准，而新的NIS2指令引入了规模上限规则。这意味着，在该指令所涵盖的行业内运营或提供服务的所有中型和大型实体都将属于该指令的范围。

虽然欧洲议会和理事会之间的协议维持了这一一般规则，但临时商定的案文包括了额外的条款，以确保相称性、更高级别的风险管理和确定所涉实体的明确临界标准。

案文还澄清，该指令不适用于在国防或国家安全、公共安全、执法和司法等领域开展活动的实体。议会和中央银行也被排除在范围之外。

由于公共行政部门也经常成为网络攻击的目标，NIS2将适用于中央和区域一级的公共行政实体。此外，成员国可以决定，这也适用于地方一级的此类实体。

共同立法者提出的其他变化

欧洲议会和理事会已将该文本与特定部门的立法相一致，特别是金融部门数字运营弹性条例（DORA）和关键实体弹性指令（CER），以提供法律明确性并确保NIS2与这些法案之间的一致性。

一个自愿的同行学习机制将增进相互信任，并从良好做法和经验中学习，从而有助于实现高度共同的网络安全水平。

两位共同立法者还简化了报告义务，以避免造成过度报告，并给所涉实体造成过重负担。

成员国将在指令生效后21个月内将这些条款纳入其国家法律。

接下来的步骤

今天达成的临时协议现在有待安理会和欧洲议会批准。

在安理会方面，法国主席打算很快将该协议提交安理会常驻代表委员会批准。

修订后的网络和信息系统安全指令（NIS 2指令）。

2020年12月16日-欧盟委员会通过了一项关于修订网络和信息系统安全指令（NIS 2指令）的提案。

尽管取得了显著的成就，但《网络和信息系统安全指令》（NIS指令）目前也证明了其局限性。社会的数字化转型（因新冠肺炎疫情而加剧）扩大了威胁范围，并带来了新的挑战，这需要适应和创新的应对措施。

现在，任何中断，即使最初仅限于一个实体或一个部门，都可能产生更广泛的连锁效应，可能对整个内部市场的服务提供产生深远和长期的负面影响。

为了应对这些挑战，正如《塑造欧洲数字未来的沟通》中所宣布的那样，委员会将该指令的审查加速到2020年底，进行了影响评估，并提出了新的立法建议。

这项建议是进一步提高公共和私营实体、主管当局以及整个欧盟在网络安全和关键基础设施保护领域的应变能力和事件应对能力的一揽子措施的一部分。这符合欧盟委员会的优先事项，即让欧洲适应数字时代，建设一个为人民服务的未来经济。

网络安全是委员会应对新冠肺炎危机的首要任务。该一揽子计划包括一项新的网络安全战略，旨在加强欧盟的战略自主性，以提高其应变能力和集体反应能力，并建设一个开放的全球互联网。最后，该方案包含一项关于基本服务关键运营商恢复能力的指令提案，旨在减轻对此类运营商的物理威胁。

该提案基于并废除了关于网络和信息系统安全的指令（EU）2016/1148（NIS指令），该指令是欧盟范围内关于网络安全的第一项立法，并提供了提高欧盟网络安全总体水平的法律措施。NIS指令具有：

（1）通过要求会员国采取国家网络安全战略和任命网络安全机构，促进提高国家一级的网络安全能力；
（2）通过建立各种论坛促进战略和业务信息的交流，加强成员国在欧盟层面的合作；和
（3）通过要求成员国确保运营商基本服务和数字服务提供商制定网络安全要求并报告事件。

考虑到近年来国内市场日益数字化，以及不断演变的网络安全威胁格局，该提案使现有法律框架现代化。自新冠肺炎危机爆发以来，这两个事态发展都得到了进一步放大。该提案还解决了阻碍NIS指令发挥其全部潜力的几个弱点。

尽管NIS指令取得了显著的成就，但它也证明了其局限性，该指令为许多成员国在网络安全的体制和监管方法方面的思维方式的重大改变铺平了道路。社会的数字化转型（新冠肺炎疫情加剧）扩大了威胁范围，并带来了新的挑战，需要采取适应和创新的应对措施。网络攻击的数量继续增加，越来越复杂的攻击来自欧盟内外的广泛来源。

为进行影响评估，对NIS指令的功能进行了评估，确定了以下问题：

（1）在欧盟运营的企业的网络弹性水平低；
（2）会员国和各部门的复原力不一致；和
（3）联合态势感知水平低，缺乏联合危机应对。例如，一个成员国的某些主要医院不属于NIS指令的范围，因此不需要实施由此产生的安全措施，而在另一个成员国中，该国几乎每一家医疗机构都受到NIS安全要求的保护。

作为监管健身计划（REFIT）的一项举措，该提案旨在减轻主管部门的监管负担以及公共和私人实体的合规成本。最值得注意的是，这是通过取消主管部门识别基本服务运营商的义务，提高安全和报告要求的统一程度，以促进跨境服务实体的监管合规性而实现的。同时，主管当局还将被赋予一系列新任务，包括监督国家情报系统指令迄今未涵盖的部门的实体。

2020年12月16日-关于在欧盟范围内实施高共同网络安全措施的建议，废除指令（EU）2016/1148

2020年12月16日-关于在欧盟范围内实现高共同网络安全水平的措施的建议的附件，废除指令（EU）2016/1148

NIS 2指令，欧洲议会，欧盟网络安全的高共同水平

欧洲理事会-加强欧盟范围内的网络安全和复原力。

NIS 2将为该指令涵盖的所有部门（如能源、交通、卫生和数字基础设施）的网络安全风险管理措施和报告义务设定基准。

该指令将正式建立欧洲网络危机联络组织网络，即欧盟CyCLONe，该网络将支持大规模网络安全事件的协调管理。

根据旧的NIS指令，成员国负责确定哪些实体符合基本服务运营商的资格标准，而新的NIS2指令引入了规模上限规则。这意味着，在该指令所涵盖的行业内运营或提供服务的所有中型和大型实体都将属于该指令的范围。

虽然安理会的立场维持这一一般规则，但它包括确保相称性的额外规定、更高级别的风险管理以及确定所涉实体的明确临界标准。

理事会案文还澄清，该指令不适用于在国防或国家安全、公共安全、执法和司法等领域开展活动的实体。议会和中央银行也被排除在范围之外。

由于公共行政部门也经常成为网络攻击的目标，NIS2将适用于中央政府的公共行政实体。此外，成员国还可以决定，它也适用于区域和地方一级的此类实体。

第一个NIS指令，主要元素。

NIS指令规定了提高欧盟网络安全总体水平的法律措施，以促进内部市场的整体运作。它基于三个主要支柱：

为了实现成员国的高度准备，NIS指令要求成员国通过一项关于网络和信息系统安全的国家战略。成员国还需要指定负责风险和事件处理的国家计算机安全事件响应小组（CSIRT）、国家NIS主管机构和单一联络点（SPOC）。SPOC必须行使联络职能，以确保成员国当局与其他成员国相关当局以及NIS合作小组之间的跨境合作。
NIS指令设立了NIS合作小组，以支持和促进成员国之间的战略合作和信息交流，以及CSIRTs网络，促进国家CSIRTs之间快速有效的业务合作。
NIS指令确保在七个部门采取网络安全措施，这些部门对我们的经济和社会至关重要，并且严重依赖ICT，如能源、交通、银行、金融市场基础设施、饮用水、医疗保健和数字基础设施。

被成员国认定为这些部门基本服务（OES）运营商的公共和私人实体需要进行网络安全风险评估，并采取适当和相称的安全措施。他们必须向有关当局通报严重事件。此外，关键数字服务提供商（数字服务提供商或DSP），如搜索引擎、云计算服务和在线市场，必须遵守指令中的安全和通知要求。同时，后者受制于所谓的“轻度接触”监管制度，除其他措施外，该制度要求它们受一个成员国对整个欧盟的管辖，不受事前监管措施的约束。

新的NIS 2指令，主要元素。

新的委员会提案旨在解决先前NIS指令的缺陷，使其适应当前需求，并使其成为未来的证明。

为此，委员会的提案扩大了现行NIS指令的范围，根据新部门对经济和社会的重要性增加了新部门，并引入了明确的规模上限，这意味着选定部门的所有中大型公司都将纳入范围。同时，它为会员国确定安全风险较高的较小实体提供了一定的灵活性。

该提案还消除了基本服务运营商和数字服务提供商之间的区别。实体将根据其重要性进行分类，并分为基本和重要类别，这些类别将受到不同的监督制度。

该提案通过实施风险管理方法，加强并简化了公司的安全和报告要求，该方法提供了必须应用的基本安全要素的最低清单。该提案对事故报告流程、报告内容和时间表提出了更为精确的规定。

此外，委员会建议通过要求各公司解决供应链和供应商关系中的网络安全风险来解决供应链安全和供应商关系安全问题。在欧洲层面，该提案加强了关键信息和通信技术的供应链网络安全。成员国可与委员会和ENISA合作，在委员会关于5G网络网络安全的建议中采取的成功方法的基础上，对关键供应链进行协调风险评估。

该提案为国家当局引入了更严格的监管措施、更严格的执法要求，旨在协调各成员国的制裁制度。

该提案还加强了合作小组在制定战略政策决定方面的作用，并加强了成员国当局之间的信息共享与合作。它还加强了包括网络危机管理在内的业务合作。

委员会的提案还与负责的关键行为者建立了一个基本框架，对整个欧盟新发现的漏洞进行协调一致的漏洞披露，并在该领域建立了欧盟登记处，由欧盟网络安全机构（ENISA）运营。

NIS 2指令、新闻和警报

本网站属于Cyber Risk GmbH（成立于瑞士霍根，地址：Handelsregister des Kantons Zürich，Firmensummer：CHE-244.099.341）。我们正在仔细监测NIS指令修订后的新法律和监管义务。我们了解欧盟和非欧盟公司和实体的要求，相应地更新我们的培训计划，并向我们的客户和收件人通报我们的月度通讯。有关NIS 2指令的新闻和发展，您可以免费接收我们的每月新闻稿（您可以访问Cyber Risk GmbH，阅读室，页面顶部的链接）。您也可以访问此网站。