【欧盟网络安全】关于欧盟范围内采取高公共水平网络安全措施的指令（NIS2指令）-常见问题解答

为什么委员会提出了新的NIS指令？

NIS指令是欧盟第一部网络安全法，是第一部横向内部市场工具，旨在提高欧盟网络和信息系统抵御网络安全风险的能力。尽管NIS指令取得了显著成就，但仍显示出一定的局限性。新冠肺炎危机加剧了社会的数字化转型，扩大了威胁范围。出现了新的挑战，需要作出适应和创新的反应。

为了能够分析NIS指令的影响并找出其不足之处，委员会进行了广泛的利益相关者协商。委员会确定了以下主要问题：

• 在欧盟运营的企业的网络弹性水平不足
• 会员国和各部门的复原力不一致
• 对会员国之间的主要威胁和挑战缺乏共识
• 缺乏联合的危机应对措施。

因此，为了应对数字化和互联互通带来的日益增长的威胁，委员会于2020年12月提出了一套修订后的经得起未来考验的规则，旨在加强欧盟的网络弹性水平，联合立法者已于2022年5月13日就其达成政治协议，并于2022年11月底正式通过了新指令。

新冠肺炎危机对新指令有何影响？

自新冠肺炎危机以来，欧洲经济比以往任何时候都更加依赖数字解决方案。各部门和服务正变得越来越相互关联和相互依存。这导致了网络安全威胁格局的不断增长和快速演变：任何中断，即使最初仅限于一个实体或一个部门，也可能产生更广泛的连锁效应，可能对整个内部市场的服务提供产生深远和长期的负面影响。

新冠肺炎大流行表明，我们日益相互依赖的社会在面临意外风险时很脆弱。它强化了当前NIS指令中已经出现的问题，并成为其修订的催化剂。鉴于这场危机，NIS指令的一个具体变化是扩大了新指令的范围，涵盖了卫生部门中更具体的要素，例如开展医药产品研发活动的实体。

NIS2指令建立在先前NIS指令的哪些要素之上？

NIS2指令提供了提高欧盟整体网络安全水平的法律措施，以促进内部市场的整体运作。它建立在作为NIS1指令基础的三个主要支柱之上：

• 在NIS1网络和信息系统安全战略的基础上，为了实现成员国的高水平准备，NIS2指令要求成员国采取国家网络安全战略。成员国还需要指定负责风险和事件处理的国家计算机安全事件响应小组（CSIRT）、主管国家网络安全机构和单一联络点（SPOC）。SPOC必须行使联络职能，以确保成员国当局与其他成员国的相关当局之间的跨境合作，并在适当情况下与委员会和ENISA进行合作，同时确保与成员国内其他主管当局的跨部门合作。
• NIS2指令还延续了NIS1框架，该框架建立了NIS合作小组，以支持和促进成员国之间的战略合作和信息交流，以及CSIRT网络，该网络促进国家CSIRT之间快速有效的业务合作。
• NIS1指令确保在七个部门采取网络安全措施，这些部门对我们的经济和社会至关重要，严重依赖信息和通信技术，如能源、交通、银行、金融市场基础设施、饮用水、医疗保健和数字基础设施

会员国认定为这些部门基本服务运营商的公共和私营实体必须进行网络安全风险评估，并采取适当和相称的安全措施。他们必须将严重事件通知有关当局。此外，关键数字服务（数字服务提供商或DSP）的提供商，如搜索引擎、云计算服务和在线市场，也必须遵守该指令下的安全和通知要求。与此同时，后者受到所谓的“轻度”监管制度的约束，这意味着这些实体不受事前监管措施的约束。

NIS2指令大幅扩大了部门的范围，并引入了规模阈值，以确定哪些实体属于其范围，并被要求向国家主管部门报告重大网络安全事件。

NIS2指令的关键要素是什么？

NIS2指令旨在解决以前规则的不足，使其适应当前需求，并使其经得起未来考验。

为此，该指令扩大了以前规则的范围，根据其数字化和互联程度以及它们对经济和社会的重要性增加了新的部门，引入了明确的规模门槛规则，这意味着选定部门的所有中型和大型公司都将被纳入范围。同时，它给成员国留下了一定的自由裁量权，以确定具有高安全风险的小型实体，这些实体也应纳入新指令的义务范围。

新指令还消除了基本服务运营商和数字服务提供商之间的区别。实体将根据其重要性进行分类，并分为两类：基本实体和重要实体，它们将受到不同的监督制度的约束。

它通过实施风险管理方法来加强和简化公司的安全和报告要求，该方法提供了必须应用的基本安全要素的最低列表。新指令对事件报告流程、报告内容和时间表提出了更精确的规定。

此外，NIS2通过要求个别公司解决供应链和供应商关系中的网络安全风险，解决了供应链和供应关系的安全问题。在欧洲层面，该指令加强了关键信息和通信技术的供应链网络安全。成员国可以与委员会和ENISA合作，在委员会《5G网络网络安全建议》中采取的成功方法的基础上，对关键供应链进行联盟层面的协调安全风险评估。

该指令为国家当局引入了更严格的监督措施，更严格的执法要求，旨在协调各成员国的制裁制度。

它还加强了合作小组在制定战略政策决策方面的作用，并加强了成员国当局之间的信息共享与合作。它还加强了CSIRT网络内的业务合作，并建立了欧洲网络危机联络组织网络（EU CyCLONe），以支持大规模网络安全事件和危机的协调管理。

NIS2还与负责任的关键行为者建立了一个基本框架，就欧盟各地新发现的漏洞进行协调漏洞披露，并为信息通信技术产品和信息通信技术服务中的公开漏洞创建了一个欧盟漏洞数据库，由欧盟网络安全机构（ENISA）运营和维护。

NIS2将涵盖哪些部门和类型的实体？

NIS2涵盖以下部门的实体：

• 高关键部门：能源（电力、区域供暖和制冷、石油、天然气和氢气）；运输（航空、铁路、水运和公路）；银行业金融市场基础设施；健康，包括生产包括疫苗在内的药品；饮用水；废水；数字基础设施（互联网交换点；DNS服务提供商；TLD名称注册处；云计算服务提供商；数据中心服务提供商；内容交付网络；信托服务提供商；公共电子通信网络和公共电子通信服务提供商）；信息和通信技术服务管理（托管服务提供商和托管安全服务提供商）、公共行政和空间。
• 其他关键部门：邮政和快递服务；废物管理；化学品；食物医疗器械、计算机和电子产品、机械和设备、机动车辆、拖车和半拖车以及其他运输设备的制造；数字提供商（在线市场、在线搜索引擎和社交网络服务平台）和研究组织。

NIS2将如何加强和简化实体的安全要求和事件报告义务？

对现行安全规则和事件报告要求的评估表明，在某些情况下，会员国以截然不同的方式执行这些要求。这给在一个以上会员国经营的公司带来了额外的负担。

此外，在网络安全要求方面，我们希望确保所有公司都在其网络安全风险管理政策中解决必要的核心要素。

因此，NIS2列出了所有公司必须解决或实施的10个关键要素，作为其采取措施的一部分，包括事件处理、供应链安全、漏洞处理和披露、密码学的使用以及在适当情况下的加密。

在事件报告方面，我们需要在迅速报告以避免事件潜在传播的必要性和深入报告以从个别事件中吸取宝贵教训的必要性之间取得正确的平衡。新指令预见了一种多阶段的事故报告方法。受影响的公司从第一次意识到事件起有24小时的时间向CSIRT或国家主管部门提交预警，如果他们提出请求，也可以寻求援助（关于实施可能的缓解措施的指导或运营建议）。预警之后，应在意识到事件后72小时内发出事件通知，并在不迟于一个月后发出最终报告。

新规则将如何监督和执行？

新的NIS指令将监督和执法置于主管当局任务的核心，并为成员国的所有监督和执法活动设定了一个连贯的框架。

为了加强有助于确保有效合规的监督，NIS2规定了一份最低限度的监督手段清单，主管当局可以通过该清单监督重要实体。其中包括定期和有针对性的审计、现场和非现场检查、信息请求以及获取文件或证据。

此外，新的指令规定了基本实体和重要实体之间监督制度的区别，以确保实体和主管当局的义务之间的公平平衡。

在执法方面，迄今为止，各会员国普遍不愿对未能采取安全措施或报告事件的实体实施处罚。这可能会对实体的网络弹性产生负面影响。为了使执行有效，新指令为整个欧盟的制裁建立了一个一致的框架。因此，它制定了一份针对违反NIS2指令中规定的网络安全风险管理和报告义务的最低行政制裁清单。这些制裁包括具有约束力的指示、执行安全审计建议的命令、使安全措施符合NIS要求的命令以及行政罚款。关于行政罚款，新的NIS指令区分了基本实体和重要实体。关于重要实体，它要求会员国规定一定程度的行政罚款，特别是最高不超过10000000欧元或上一财政年度全球年营业额总额的2%，以较高者为准。关于重要实体，NIS2要求成员国规定最高罚款至少为7000000欧元，或至少占上一财政年度全球年营业额的1.4%，以较高者为准。

主管当局在行使强制执行权时，应适当考虑到每个案件的具体情况，如侵权的性质、严重性和持续时间、造成的损害或损失、侵权的故意或疏忽性质。

为了确保在组织层面对网络安全措施进行真正的问责，NIS2引入了关于在新NIS指令范围内的实体中担任高级管理职位的自然人的责任的规定。

委员会建议如何改进网络危机管理？

新规则改进了欧盟预防、处理和应对大规模网络安全事件和危机的方式。他们通过引入明确的责任、适当的规划和更多的欧盟合作来做到这一点。NIS2要求成员国任命负责网络危机管理的国家当局，引入国家大规模网络安全事件和危机应对计划，并建立欧洲网络危机联络组织网络（EU CYCLONe），以支持在运营层面协调管理大规模网络安全事件和危机。该网络是促进建立欧盟网络危机管理框架的关键组成部分，该框架由欧盟委员会在2017年提出，并提出了关于协调应对大规模事件和危机的建议。

哪个成员国将对NIS 2范围内的实体拥有管辖权？

一般来说，重要和重要实体被视为受其成立地会员国管辖。如果实体设在一个以上的会员国，则应属于这些会员国各自的管辖范围。这些成员国的主管当局应相互合作，相互协助，并酌情采取联合监督行动。此规则有几个例外：

公共电子通信网络的提供商或公共可用电子通信服务的提供商将属于其提供服务的成员国的管辖范围。

公共行政实体将由设立这些实体的成员国管辖。

某些类型的实体将由成员国管辖，它们的主要机构在欧盟。这些实体包括域名系统服务提供商、顶级域名注册机构、提供域名注册服务的实体、云计算服务提供商、数据中心服务提供商、内容交付网络提供商、托管服务提供商、托管安全服务提供商以及在线市场的提供商，在线搜索引擎和社交网络平台。这是为了确保这些实体不会面临多种不同的法律要求，因为它们在很大程度上提供跨境服务。为了有效监督，成员国将要求这类实体通知该实体的主要机构及其在欧盟的其他合法机构，或者，如果未在欧盟设立，则通知该实体代表的指定地点。ENISA将被要求创建和维护一个登记册，其中包含成员国在此基础上提供的信息。

规则将如何改善合作？

欧盟合作是通过允许成员国共同行动，应对正在进行的数字化转型带来的新安全风险来推进的。

更具体地说，成员国将能够共同监督欧盟规则的实施，并在发生跨境不法行为时相互协助，与私营部门进行更有结构的对话，并协调披露在内部市场销售的软件和硬件中发现的漏洞。他们还将能够以协调的方式评估与新技术相关的安全风险和威胁，就像5G首次做到的那样。

成员国将利用欧盟的合作，通过当局之间的人员交流和同行评审来提高国家能力。现有的小组，特别是汇集国家网络安全当局的合作小组和计算机安全事件响应小组网络，将分别为推进战略和技术层面的合作做出贡献。

这一举措如何与欧盟其他政策相互作用？

NIS2指令与另外两项举措密切相关，即关键实体弹性（CER）指令和金融部门数字运营弹性条例（《数字运营弹性法案》，DORA）。

NIS 2和关键实体弹性指令（CER指令）的范围在很大程度上保持一致，以确保全面解决关键实体的物理和网络弹性问题。根据CER指令被确定为关键实体的实体也将受到NIS2指令的网络安全义务的约束。此外，CER和NIS2指令下的国家主管部门必须定期合作和交换相关信息，如风险、网络威胁和事件以及非网络风险、威胁和事件。NIS2下的合作小组必须定期与根据CER指令成立的关键实体韧性小组举行会议，每年至少一次。

关于金融部门，虽然新的NIS指令将信贷机构、交易场所运营商和中央交易对手纳入其范围，但DORA将适用于这些实体的网络安全风险管理和报告义务。与此同时，重要的是要在金融部门与新谢克尔2所涵盖的其他部门之间保持强有力的信息交流关系。为此，根据DORA，欧洲金融部门监管机构和金融部门国家主管当局将能够参与NIS合作小组的讨论。此外，DORA主管部门将能够与根据NIS2建立的单一联络点（SPOCs）和CSIRT协商并共享相关信息。主管当局、SPOC或根据NIS2建立的CSIRT也将从DORA下的主管当局处获得重大ICT相关事件的详细信息。此外，成员国应继续将金融部门纳入其网络安全战略，国家CSIRT可在其活动中涵盖金融部门。

接下来的步骤是什么？

成员国必须在2024年10月17日（NIS2生效后21个月）之前转换该指令。然后，委员会必须定期审查该指令的运作情况，并在2027年10月17日前首次向议会和理事会报告。