网络与信息安全指令更新（NIS2）导航

网络与信息安全指令》（NIS）最初于八年前出台，一直是欧盟（EU）加强网络安全的基石。现在，随着 NIS2 即将于今年 10 月生效，企业必须准备好驾驭新的监管框架，该框架在其前身的基础上引入了重要的更新和增强功能。

国家信息安全指令》于 2016 年制定，旨在使围绕网络风险和企业准备工作的法律框架现代化，并于 2023 年通过《国家信息安全指令 2》进行了修改和扩展。

科威德事件后的快速数字化转型带来了更加复杂的网络安全威胁。鉴于系统、供应链等的相互依存性日益增强，一个部门出现的威胁会产生深远的影响。换句话说，欧盟的商业生态系统比以往任何时候都更加相互关联和相互依存，各成员国必须立即采取行动应对威胁，确保为应对日益增长的风险做好准备。随着成员国坚持更严格的网络安全标准以提高复原力，更多的企业必须为新秩序做好准备。

国家信息系统指令》无疑提高了欧盟信息系统的复原力，但鉴于数字经济的快速变化，该指令也显示出一定的局限性。

根据欧盟网站，《国家信息安全指令》在以下方面存在不足：

• 让欧盟企业做好应对网络安全威胁的准备
• 培养会员国和各部门应对网络安全威胁的能力
• 使会员国对网络安全的主要威胁和挑战形成共识
• 缺乏联合应对措施

NIS2 通过扩大受网络安全法规约束的实体数量和种类、精简这些实体的类别、推动跨部门合作、加强报告要求等方式，回应并改进了之前的 NIS 指令所面临的挑战。

扩大范围：
NIS2 扩大了之前规则的范围，根据数字化程度、相互关联性以及对经济和社会的重要性，纳入了更多行业。它引入了明确的规模门槛，涵盖了选定行业内的所有大中型公司。不过，成员国可自行决定是否将具有高安全风险的较小实体纳入该指令。

简化分类标准：
新指令通过取消基本服务运营商和数字服务提供商之间的区别，既扩大了受监管实体的数量，又简化了其类别。根据实体所属的类别（基本或重要），指令引入了新的安全和报告要求。

强化安全和报告要求：
该条例加强并简化了对公司的安全和报告要求，规定了事件报告流程、内容和时限。其目的是协调各成员国的制裁制度，确保对违规行为的处罚保持一致。

企业如何参与 NIS2？

展望 NIS2 的企业注意到了强化的安全和报告要求。成员国将要求受 NIS2 监管的企业管理、预防并尽量减少事件对其服务对象的影响。一般来说，风险评估将更加严格，对报告的要求也将更加细化。

NIS2 第 21 条规定："会员国应确保基本和重要实体采取适当和相称的技术、业务和组织措施，管理这些实体用于其业务或提供其服务的网络和信息系统的安全所面临的风险，并防止或尽量减少事件对其服务接受者和其他服务的影响"。

NIS2 如何管理风险？

联系我们的团队欲了解更多有关您的团队如何利用 Mitratech 的解决方案与 NIS2 框架和现成模板的信息，以加速您的 NIS2 合规之旅，并利用与新一代 GRC 技术合作的强大优势。