前言
在上一期中,我们深入探讨了NIS2指令中的密码学要求。本期,我们将聚焦于NIS2合规中的另一个难点——供应链安全。欧盟《网络与信息安全指令》(NIS2)对“重要实体”的供应链安全提出系统性要求。本文以虚拟的医疗健康SaaS企业MediShield Health为场景,系统阐述其首席信息安全官(CISO) Joey如何在30天内建立符合NIS2官方指南的第5.1条要求的供应链合规框架,为同类组织提供可复制的实施蓝图。
背景与目标
MediShield Health在18个欧盟成员国运营医疗云服务平台,属于NIS2定义的“重要实体”。2025年Q3,公司收到主要客户发出的NIS2合规审计问卷,要求30日内证明其供应链安全管理体系已就位。CISO Joey受命牵头,按照NIS2官方指南第5.1条,制定并落地端到端合规方案。
方法论与总体路线图
Joey采用“政策-流程-合同-监控”四步闭环方法,主要结合NIST SP 800-161r1并参考ISO/IEC 27036-1:2021及ENISA《ICT供应链良好实践》,将法规要求拆解为5项可交付成果,确保外审可验证、可追溯。
步骤一:
制定并发布《供应链安全政策》
时间窗口:Day 1-7
关键动作:
1)以NIST 800-161r1为骨架,编制《MediShield供应链安全手册》V1.0,覆盖角色定义、风险评估、采购控制、生命周期监控、退出管理五大章节
2)NIS2官方指南规定了供应链中的5种角色:ICT supplier(软硬件供货商),Manufacturer(制造商),Managed service provider(运维商),Managed security service provider(安全运维商)和Cloud computing provider(云商)。Joey在手册中明确本公司双重角色:对外采购云资源时为Cloud computing provider(云商) + ICT supplier(软硬件供货商)的客户,对外交付SaaS时为Managed service provider(运维商);
3)获得CEO电子签批,通过OA向全员发布
4)向28家直接供应商发送政策邮件并传达角色,要求24小时内回复确认
交付物:《MediShield供应链安全手册》,邮件回执28份
步骤二:
高风险供应商筛选与尽调
时间窗口:Day 8-12
关键动作:
1)通过评估业务影响和可替代性,从总计26家供应商识别8家高风险供应商;
2)发放尽调问卷包括如下内容:
(a) 网络安全实践与安全开发流程
高危漏洞平均修复时间 ≤3 天,需提供漏洞管理平台数据截图
安全开发生命周期(SDL)覆盖 ≥80% 组件或模块,需提供IEC 62443证书或同等审计报告
最近一年内、外部发生的安全事件,如果有,需提供安全事件报告。如果没有,需提供公司事件响应计划
(b) 满足甲方网络安全规范的能力
已实施并通过的信息安全认证(如ISO27001、ISO27701、等级保护等),需提供相关认证证书
欧盟网络安全法NIS2合规能力,需提供NIS2合规报告
信息安全人员配置,需提供组织架构
(c) ICT 产品/服务的整体质量与韧性
整体质量测试报告,如ISO 25041测试报告,近12月可用性报告等
灾难恢复计划资质认证或相关制度与流程,如ISO22301
(d) 多元化供应与反锁定能力
支持ONVIF/REST/OPC-UA等开放标准,非私有协议
须同时提供数据开放格式,确保数据可迁移
交付物:尽调表回收记录、整改通知书
步骤三:
纳入官方协调安全风险评估结果
时间窗口:Day 13-15
关键动作:
1)下载并引用EU 5G Toolbox(官方对于5G的供应链风险评估结果)
2)在手册增加“Union Coordinated Assessments Reference”章节,对后续其余云、数据中心、CDN等报告持续关注
交付物:政策更新记录
步骤四:
合同条款“八件套”落地
时间窗口:Day 16-23
关键动作:将NIS2官方指南5.1.4的8项要求转化为标准合同条款:
网络安全要求
1)乙方应在交付前提供“软件配料清单”——里边列出所有第三方组件、版本号、许可证、哈希值,且格式必须是国际统一的SPDX标准
2)固件/软件升级包须甲方和乙方共同签名,且须通过甲方验收测试后方可上线
人员能力与培训
1)乙方投入本项目的核心运维人员须持有CISSP/CISP/CCSP中任一有效证书
2)每年完成不少于6小时的安全意识培训(含钓鱼模拟),培训记录须在甲方抽查时48小时内提供
背景核查
1)乙方应对能接触甲方生产网络、数据或机房的员工进行近5年无犯罪记录核查
2)对具有财务/管理权限的员工须额外提供信用记录查询结果
事件通报
1)乙方在知悉任何可能影响甲方网络与信息系统安全的事件后,须在2小时内通过邮件+电话初报
审计与报告
1)甲方或其委托的第三方审计机构有权每年进行一次现场或远程审计
2)对审计发现的高危不符合项,乙方须在30天内提交纠正措施计划并完成整改验证
漏洞处理
1)乙方发现或收到任何与交付物相关的漏洞信息后,须在24小时内通过甲方事件平台提交《漏洞通告单》
2)高危(CVSS ≥7.0)漏洞须在7日历天内提供正式修复包;低危漏洞30天内关闭
分包管理
1)乙方如需分包,须提前15个工作日书面申请,经甲方书面同意后方可实施
2)乙方对分包商所有安全义务承担连带责任,分包商违约视为乙方违约
退出与数据处置
1)合同终止或到期后7日历天内,乙方须完成全部数据导出,并提交《数据销毁证明》
2)若数据含个人信息,销毁过程须符合GDPR要求,并出具销毁公证
交付物:更新后的合同模板
步骤五:
全生命周期监控机制
时间窗口:Day 24-30
关键动作:
1)开展月度供应商例会,主要内容包括SLA偏差回顾和下月改进计划等
2)开发监控看板,对供应商进行网络安全实施监控
交付物:在线监控看板截图、月度会议记录
结语
软件开发生命周期管理是企业安全的第一道防线——从需求分析、威胁建模到持续测试,每一步都将风险在设计阶段降至最低。下一期,我们将聚焦NIS2对SDLC的硬性要求,并解析IEC 62443帮助企业实现NIS2合规。
