导语
2022 年颁布、2023 年生效的 NIS2(Directive (EU) 2022/2555)重塑了欧盟对“关键与重要实体”的网络安全监管框架:扩大适用对象、明确治理责任、细化风险管理与报告义务,并通过欧盟层面的“实施规则”将某些技术/方法论要求下沉到具体行业。对于正在或计划“出海欧盟”的中国企业,NIS2 已从理论走向实操——既是合规门槛,也是提升业务韧性的机会。
本文结合NIS2、ENISA 指南、CIR 2024/2690和实务中企业问的最多的问题,提炼、总结10+关键问题,以问答的形式逐条解析,以帮助企业快速判定是否需遵守NIS2、如何落实合规义务与优先级执行清单。
Q
Q1 — 什么是NIS2?它与旧版NIS有何区别?
A
NIS2全称为《Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union》(《关于在欧盟全境实现高度统一网络安全水平的指令》),取代2016年的首部NIS指令。其核心目标是:在全欧盟范围内建立“统一且高水平的网络安全保障体系”,实现跨国协同应对复杂威胁。
与NIS1相比,NIS2在三方面显著升级:
覆盖范围扩大——行业从7类扩展至18类;
监管层级深化——引入“关键实体(Essential Entities)”与“重要实体(Important Entities)”双层监管;
执法强度提升——罚款上限最高可达全球营业额的2%。
Q
Q2 — NIS2 的法律性质与生效时间是什么?
A
NIS2 是 欧盟指令(Directive (EU) 2022/2555),于 2022-12-14正式通过,指令要求成员国在2024年10月17日前将其转化为本国法律,须经各成员国“转化(Transposition)”为国内法后才能适用。但截至2025年9月,仍有较多成员国延迟转化。
这意味着:企业应以所在或经营成员国的转化法为准,并密切关注不同国家在定义、报告时限和处罚机制上的差异。
Q
Q3 — Commission Implementing Regulation (EU) 2024/2690(CIR 2024/2690) 是什么?为何重要?
A
Commission Implementing Regulation (CIR 2024/2690)是欧盟委员会为 NIS2 在特定数字基础设施/服务类别上落地的技术与方法论细则(例如:云计算、数据中心、DNS/TLD、CDN、MSP/MSSP、在线市场/搜索/社交平台、信任服务等)。它把 NIS2 第21条等抽象要求细化为可操作的技术/方法学要求,并列举何种情形下某类事件对特定服务被视为“significant”(重大)。该 CIR 已在 Official Journal 发布并自行生效(进入实施细则层面),对被列明的实体类别具有直接约束力(直接针对这些实体在成员国层面的适用)。
注:CIR 并非替代 NIS2 指令的转化义务;指令仍须由成员国在国内法中完成其它程序性与惩罚性规则的实现,但 CIR 为统一技术基线提供了欧盟层面的“硬规范”。
Q
Q4—哪些企业受NIS2约束?(行业 + 规模 + 地域三维判断)
A
NIS2适用于:
行业层面:附录I列示“高关键行业”(能源、医疗、交通、银行、数字基础设施等);附录II列示“其他关键行业”(制造业、食品、科研、数字服务提供商等);
规模层面:通常限于中型及以上企业(依据 Commission Recommendation 2003/361/EC 的中型/大型企业划分);但对“具特定影响”的小企业(由成员国指定)亦可纳入;
地域层面:只要向欧盟提供服务或在欧盟开展活动,无论是否在欧盟设立实体,均可能纳入适用范围(但具体域外适用与程序由各成员国转化法确定)。因此需同时判断:企业是否列入成员国的“Essential/Important entity list”。
因此,中国企业即使未在欧盟设立实体,只要面向欧盟市场提供云服务、应用或数字基础设施,也可能被认定为NIS2适用主体。
Q
Q5 — “关键实体(Essential)”与“重要实体(Important)”的实质差别(监管/义务差异)?
A
关键实体:通常为附录 I 所列行业且规模为大型企业、或特定类别(如公共行政、公共通讯运营商、顶级域名注册机构等)。对其实施更强的主动监督(如定期审计、现场检查)。
重要实体:通常为附录 II 的中型企业等,适用事后监督与登记/信息提供义务。
成员国将建立并公布本国的“关键/重要实体清单”,并至少每两年更新一次(企业必须关注该清单)。
Q
Q6 — 合规义务1:受规制企业需要做哪些“网络安全风险管理措施”?
A
NIS2第21条列出10类最低措施要求,涵盖治理、技术与运营层面:
风险分析与信息安全政策
事件处理与响应机制
业务连续性与灾难恢复
供应链安全管理
安全开发与漏洞披露
有效性评估机制
网络卫生与安全培训
加密与密码管理
人员与访问控制策略
多因素认证与安全通信
更细化的实施措施:
欧盟委员会通过“实施规则”(CIR 2024/2690)对特定数字基础设施/服务提供商(例如 cloud computing providers、data centre providers、DNS provider、TLD registries、CDN、MSP/MSSP、online marketplaces、search engines、social networking services、trust service providers)制定具体技术标准。对这些被点名的类别,CIR 中的技术要求在欧盟层面构成了统一的基线;在这些领域运营或提供服务的实体须优先匹配 CIR 的技术条目(例如安全测试/分级控制/日志与监控能力/备份策略等)。
ENISA 2025年《技术实施指南》也进一步细化实施路径。
Q
Q7 — 合规义务2:管理层、董事会的合规责任与证明义务?
A
最终合规责任:NIS2和ENISA 技术指南均强调管理层必须批准并监督网络安全风险管理措施,并对合规状态承担最终责任。董事、高管还须定期接受合规培训,具备足够知识以履职。
违规后果:如企业违反义务,管理层可能被追究个人责任(包括停职命令或刑事调查)。
建议可供证明的实务动作:董事会有关网络安全议程的会议记录、年度/季度风险报告、预算拨付记录、管理层培训证书、第三方审计报告(例如ISO 27001/渗透测试/红蓝队报告)。这些材料在监管检查或审计时是必要的可证明证据。
Q
Q8 — 合规义务3: 重大事件报告时限与分级:企业应该如何理解并执行?
A
NIS2 将重大事件的报告流程细分为阶段化时限(NIS2与成员国规则具体化后仍可能调整,但指令层面有明确的时间框架):
若事件涉及个人数据泄露,还须同时履行GDPR的72小时报告义务。
实务建议:企业统一NIS2与GDPR流程,形成一体化“网络安全 + 数据保护”应急机制。
Q
Q9 — 成员国如何监督与处罚?
A
监管手段包括现场检查、文档审查、安全扫描及独立审计等。
罚则上限为:
关键实体:1000万欧元或全球营业额2%;
重要实体:700万欧元或全球营业额1.4%。
此外,监管机构可采取整改令、运营限制、公开通报等行政措施。具体罚则、执行方式、适用与程序由成员国在转化法中确定。
Q
Q10 — 供应链上下游企业是否也受影响?
A
是。NIS2第21条明确要求对直接供应商与服务提供商的安全性进行审查。
因此,即使非适用实体,中国云服务、数据分析或系统维护供应商,也需参照NIS2标准提升安全水平,避免被客户排除出欧盟市场供应链。
Q
Q11 — 企业应如何判断自己受哪个成员国管辖?
A
如果在多个成员国开展业务,一般规则:
若在欧盟设有多个机构,以主要决策所在地为准;
若无法确定,则以网络安全运营所在地为准;
若仍无法确定,则以雇员人数最多的设立地为准;
未设立机构但提供服务者,应在服务覆盖国之一设立代表。
Q
Q12 — 典型实施难点与合规实务建议(技术/法律双轨)
A
难点:成员国标准差异与转化滞后
建议:采用“最严格国家标准先行法”(即在集团层面以 EC CIR + 最严成员国转化草案为基线),并在本地化时记录差异矩阵。
难点:事件报告的证据与技术细节(IOCs、日志保留)
建议:日志保留策略 ≥ 120 天(或按成员国要求),建立可导出的监管报告包(事件时间线、影响评估、IOC 附件、修复计划)。具体可参考ENISA 指南给出的“可接受证据”的建议。
难点:供应链合规的可执行性
建议:将 NIS2 要求写入招标/采购评估表,按风险等级要求供应商出具第三方审计(如 SOC2 / ISO27001 / 渗透测试报告)并纳入 SLA。
Q
Q13 — 企业合规落地的五步行动建议
A
第一步:适用性识别
确认企业是否被认定为“关键/重要实体”;识别所涉及的成员国及行业分类。
第二步:治理架构调整
指定网络安全负责人,建立管理层报告与审议机制。
第三步:风险管理体系建设
依照NIS2第21条与(CIR 2024/2690)要求,完善信息安全管理制度,强化供应链控制。
第四步:事件响应与报告体系
设立7×24小时报告机制,整合NIS2与GDPR报告通道。
第五步:长期监测与培训
关注成员国国内法更新、ENISA年度指南及欧盟委员会新规,定期开展审计和培训。
结语
NIS2 已把欧盟的网络安全监管从“抽象规则”推进到“有硬性技术基线 + 成文实施细则”的阶段(通过 CIR 及 ENISA 指南形成落地链)。对出海企业而言,短期做对流程、长期建体系是稳妥的路径:先把“上报链路与证据链”落实,再围绕 CIR/ENISA 做技术闭环,最终把合规转为市场竞争力。
我们能为您做哪些支持
合规从不是文件层面的应对,而是一场系统能力建设。
我们携手国际化网络安全技术伙伴,结合欧盟监管经验与中国企业出海场景,能为企业提供从合规框架设计、事件报告机制搭建,到技术整改与审计闭环的全链路支持。
通过“法律+技术融合”的专业支持,让每一次出海,都能在规则之内、安全之上。
特别声明:
文章仅代表作者观点,供参考学习,不代表任何形式的法律意见或建议。
作者简介:
