欧盟NIS 2指令正式生效！推进高度统一的网络安全措施

当地时间1月13日，《关于在欧盟全境实现高度统一网络安全措施的指令》（NIS 2指令）正式生效。欧洲近期的网络威胁提高了公民和企业对于加强网络安全的需求，关键部门和基础设施保持安全和弹性也至关重要。为了应对这些挑战，NIS 2指令取代了《网络和信息系统安全规则》（NIS指令），为许多成员国采取更具创新性的网络安全监管方法铺平了道路。

网络安全是欧盟委员会的优先事项，也是数字化和互联欧洲的基石。

2016年生效的第一部欧盟范围内的网络安全法律，即NIS指令，有助于在整个欧盟范围内实现网络和信息系统的共同高度安全。NIS指令涵盖多个部门，包括能源、运输、银行和金融、卫生、饮用水供应和分配以及数字基础设施。它还涵盖了数字服务提供商，特别是云服务提供商、在线市场和在线搜索引擎。

作为其使欧洲适应数字时代的关键政策目标的一部分，欧盟委员会于2020年12月提议修订NIS指令。自2019年起生效的《欧盟网络安全法》为欧洲提供了产品、服务和流程的网络安全认证框架，并加强了欧盟网络安全局（ENISA）的任务。2022年9月，欧盟委员会通过了《网络弹性法案》提案，该法案规定了具有数字元素的产品的网络安全要求，涵盖硬件和软件。

某些部门的相互联系和数字化程度的提高导致了更多的网络威胁。确保更多的部门和实体采取网络安全风险管理措施将提高欧洲的网络安全水平。NIS 2指令大大扩展了属于其范围的关键实体的部门和类型，包括公共电子通信网络和服务的供应商、数据中心服务、废水和废物管理、关键产品的制造、邮政和快递服务以及公共管理实体。这些规则还更广泛地涵盖了医疗保健部门，包括医药的研究和开发、医药产品的制造。成员国在确定应纳入该指令范围的具有高安全性的小型实体时，将有一定的自由裁量权。

NIS 2指令还加强了公司需要遵守的网络安全风险管理要求。根据NIS指令，公司必须采取适当和相称的技术、措施来管理网络安全风险，防止和尽量减少潜在事件的影响。这一要求在NIS 2指令中变得更加具体，列出了一系列重点措施，其中包括事件响应和危机管理、漏洞处理和披露、评估网络安全风险管理措施有效性的政策和程序以及网络安全卫生和培训。

为了帮助在国家和欧盟层面加强网络危机管理方面的信息共享与合作，该指令简化了事件报告义务，对报告、内容和时限做出了更精确的规定。此外，对国家当局的监管措施、执法要求更加严格，行政处罚清单也更加严格，包括对违反网络安全风险管理和报告义务的罚款。

成员国将有21个月的时间将NIS 2指令转化为国家法律。在此期间，成员国应采取并公布遵守本指令的必要措施。

2022年12月，理事会通过了一项关于在欧盟全境范围内采取协调方法的建议，以加强关键基础设施的复原力，帮助成员国加快NIS 2指令和关键实体复原力指令（CER）转换和应用的准备工作。

*来源：欧盟委员会