近日，公安部网安局发布了《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号），就3.0版网络安全等级保护有关工作细则及政策变化作了详细说明，对企业开展网络安全等级保护合规建设具有重要影响。此前，公安部网安局印发了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)，明确测评机构应当启用《网络安全等级测评报告模版（2025版）》出具测评报告。更早之前，公安部发布《网络安全等级保护条例（征求意见稿）》后，一直没有下文。

与等保2.0相比，等保3.0要求二级及以上等保按实体报送等保备案更新、报送系统数据情况，三级及以上等保还要在2025年6月 30日前完成报送保护工作方案。

结合相关项目经验，就网络安全等级保护3.0最新政策变化及对企业合规影响，汇业黄春林律师团队解读如下：

1846号文首次明确，三级及以上等保须报送保护工作方案。存量三级等保必须于2025年6月 30日前完成报送。

保护工作方案以年度测评中发现的重大风险隐患为重点，同时统筹考量高中低风险问题，全面梳理分析安全保护需求。保护工作方案应至少包括但不限于以下内容: 资产情况(互联网资源情况、基础环境情况、网络设备情况、系统软件情况、网络安全产品情况等)、现有安全保护措施、问题成因、整改思路及后续工作计划等。

1846号文要求，企业需全面梳理已完成等保备案系统的情况，对于已完成定级备案的存量二级及以上网络系统，无论是否涉及级别变更，企业均需重新依据3.0版定级报告和备案表模板进行编写和填报，并及时按照属地公安机关网安部门要求及时报送已完成等保备案的存量二级及以上系统的情况。

根据1846号文要求，二级及以上网络系统运营者以法律实体为单位，在备案更新的同时，根据本实体数据分类分级结果填报《网络安全等级保护备案表》中的《数据摸底调查表》并报送至属地公安机关。

若企业之前未开展网络系统的数据分级分类工作的，应当先根据《数据安全法》《个人信息保护法》等规定，依法开展分类分级工作。如何在公安、工信及网信等部门之间打通报送数据共享、结果互信，还有待《网络数据安全管理条例》第五十二条等规定的进一步落地。

1001号文首次取消了等保2.0版本的分值体系，将等保测评结论的“优、良、中、差”四档改为“符合、基本符合、不符合”三档，减少了企业的合规内卷、内耗。

此外，等保3.0首次引入重大风险隐患概念，并结合符合率最终评定测评结论。具体如下：

根据1846号文，应当根据相关性、严重性、高发性等原则进行综合分析，判断是否为重大风险隐患。重大风险隐患可能由一个高风险问题直接引发，还可能是多个高、中、低安全问题的叠加。

该变化的影响在于，企业未来开展供应商合规评估时，不仅要看其年度测评结论，还要看具体重大风险隐患与合作业务的相关性，以及整改情况。

根据1846号文规定，《网络安全等级保护备案证明》有效期为三年，期满需要延期的，有两种路径可以实现延期：

（1）申请延期：二级等保期满前三个月内向受理备案的公安机关申请延期；

（2）自动延期：三级以上等保完成等级测评后，有效期自动延长一年。

关于有效期起算时间，2025年1月1日前备案的，有效期自2025年1月1日起算；2025年1月1日后备案的，自备案之日起算。

采用云服务、多地经营的大中型企业，实践中往往存在备案地难确定的困惑。1846号文首次明确，企业的工商注册登记地、实际经营所在地、网络安全管理机构/人员所在地、网络设备所在地等不一致的，以企业的网络安全管理机构/人员、运维所在地为主受理备案。若安全管理机构和运维所在地等不一致的，以安全管理机构所在地为主受理备案。

此外，备案受理机构原则上为地市级以上公安机关的网安部门。

多地经营的大中型企业，往往存在中央系统（例如后台系统或数据中心）统一集中部署，但各地部署、应用分支系统（例如子公司业务系统、各网点/门店业务系统等）的情况。1846号文首次明确，分支系统应当在所在地地市级以上公安机关网安部门办理备案。

未来等保实践中，如何确定哪些分支系统需要在当地单独办理等保备案，以及如何切实有效降低企业合规负担，还有待立法或政策进一步明确。