NIS2 合规综合指南:第 1 部 — 了解 NIS2 及其范围
by Canonical on 6 March 2025
欧盟 NIS2 指令呼吁加强整个欧盟的网络安全,目前已在所有成员国生效。在这个由三部分组成的博客系列中,我将解释 NIS2 是什么,并帮助您了解它是否适用于贵公司,以及如何才能符合 NIS2。
在第一部分中,我将介绍 NIS2 是什么以及其与其前身 NIS 的区别和适用性,帮助您理解并判断它是否与您的公司相关。
NIS2简介
欧盟指令 2022/2555 或《网络和信息系统指令》(以下通常称为 NIS2 或欧盟 NIS2)是一项新的欧盟法规,适用于所有欧盟成员国,其目标是实现高水平的网络安全。该法规更新了 2016 年颁布的《网络和信息系统指令》(NIS 或 NIS1),并授权成员国对在欧盟地区提供关键服务的实体采用并严格执行更严格的网络安全要求。除非您的公司被视为小型/小微型实体(即员工少于 50 人或收入少于 1000 万欧元),并且不在关键行业运营(见下表),否则本文和本系列的其余部分都将与您有关。
表 1:适用 NIS2 的行业列表
欧盟 NIS2 是一项非常广泛且复杂的法规,所以在这篇文章中,我们将更详细地探讨 NIS2 对组织的具体适用性和要求。
是否适用于您?
一般来说,欧盟 NIS2 适用于所有在欧盟市场提供服务或开展活动的从事关键行业的大中型公共和私营实体。即使您在欧盟没有办事处,但只要您的任何客户位于欧盟,您也在该法规的适用范围内。欧盟 NIS2 的适用范围包含在指令的附录 I 和附录 II 中。附录 I 列出了高度关键的行业,附录 II 涵盖了其他被视为关键的行业(这也会将您的公司纳入适用范围)。上一节中的表格(表 1)提供了行业列表,但您还必须结合下方的规模上限表(表 2)来充分了解其适用性:
表 2:NIS2 的规模分类和上限
*根据欧盟中小企业建议定义
有关如何界定欧盟 NIS2 适用范围,这一难题通常可以使用提供的两个表格来解决,但需要考虑一些事项:
- 除了合格的信托服务提供商、TLD 域名注册管理机构和 DNS 服务提供商之外,其他行业的微型和小微型实体都不在适用范围之内。
- 如果您已经受到另一项欧盟指令或行业特定指令/法规的约束,则将优先适用这些指令/法规(部分人称之为特别法原则,例如,如果您在 DORA 的适用范围内,则它优先于 NIS2)。
- 适用性始终针对成员国的立法(或指令转换),而不是指令本身。
关于至关重要实体和重要实体的说明
欧盟 NIS2 适用范围内的实体可以根据行业关键程度和规模进一步划分为至关重要实体和重要实体。这两种类型的实体适用相同的要求,主要区别在于当局的监督程度。至关重要实体处于主动监督之下,而重要实体则处于被动监督之下(例如,仅在事故发生之后)。
NIS 和 NIS2 有什么区别?
自 2016 年颁布首个欧盟 NIS 指令以来,技术和数字市场已发生翻天覆地的变化。因此,NIS2 的目标是在其前身的基础上进行构建,并根据这些变化和不断发展的威胁形势进行调整。但是它也引入了一些变化和改进,例如:
- 适用范围更广(NIS1 中为 7 个行业,而 NIS2 中则为 16 个行业)
- 额外义务(最低要求)
- 要求更严格(例如,事件报告时间窗口更短)
- 管理机构的个人责任
- 增加行政罚款
指令生效时间?
欧盟 NIS2 指令于 2023 年 1 月 16 日起生效。欧盟成员国必须在 2024 年 10 月 17 日之前将该法规转化为国家法律,并从 2024 年 10 月 18 日开始适用此类法律。
这就是本系列的第一篇博客文章。我希望这有助于您理解和解决这个难题,从而确定 NIS2 是否适用于您。在本系列的第二篇文章中,我将分解要求,并让您知道如何将这些要求转化为贵公司的行动指南和控制措施,从而促进您的合规之旅,敬请关注。
Canonical 如何帮助您实现 NIS2 网络安全合规
Canonical 致力于帮助各个组织符合欧盟 NIS2 指令。我们致力于提供可信的开源软件,使组织能够将安全性置于其堆栈的核心。通过我们全面的安全和支持订阅服务 Ubuntu Pro,组织可以在长达 12 年的时间中获得 36000 多个软件包的扩展安全维护,无论他们在何处使用 Ubuntu。Ubuntu Pro 还包括修补自动化和合规审计工具,例如 Landscape 和Livepatch,以及对合规性和强化功能的访问权限。
欢迎访问我们的专用页面了解关于 Ubuntu Pro 的更多信息,或者联系我们的团队,讨论我们如何帮助您满足需求。
关于欧盟法规和合规性的更多资源
感谢您的阅读!下面,您将找到更多相关资源,了解欧盟法规,以及如何使用基础架构强化方法实现安全性和合规性。
- CRA博文系列1:首席信息安全官对欧盟《网络弹性法案》的全面解析
- CRA博文系列2:《网络弹性法案》对开源意味着什么
- CRA博文系列3:《网络弹性法案,CRA》对物联网制造商而言意味着什么
订阅博客文章
查看更多内容
Ubuntu 26.04 LTS 在安全方面的新增功能
Ubuntu 26.04 LTS 是我们安全设计最为完善的 LTS 版本之一。Ubuntu 26.04 LTS 并非单纯新增功能,而是通过同步提升系统各层级的安全基准,实现全方位安全强化,且全程无需中断部署或人工干预。通过“默认设置”聚焦安全核心,我们得以采用全新方式强化 Ubuntu 的安全性。本文将带您一览 Ubuntu 26.04 LTS 在安全方面的新增功能,包括: Ubuntu 26.04 LTS 为未来十年桌面端、服务器、机密虚拟机、云镜像及边缘系统的 Linux 部署,显著提升了默认安全基线。对于将 Ubuntu 作为安全基础进行标准化部署的企业而言,该版本是其业务构建的理想选择。 安全性不再仅限于安装阶段:安全中心升级为控制平面 以往,关键的安全决策(例 […]
Ubuntu Pro 部署 Nutanix 裸机 Kubernetes
Nutanix 与 Canonical 扩大合作,为容器化工作负载提供更多选择 企业级 Kubernetes® 正逐步发展为高度灵活的多架构模型。随着 AI/ML 及数据密集型工作负载对硬件吞吐量的要求不断提升,企业在追求裸机性能的同时,也希望兼顾云平台的运维一致性。 为满足这一需求,Nutanix 与 Canonical 已将 Ubuntu Pro 服务拓展至裸机环境下运行的 Nutanix Kubernetes 平台 (NKP) 实例,涵盖最新发布的 NKP Metal 解决方案。本次功能拓展基于双方 2025 年达成的合作,彼时搭载安全补丁的 Ubuntu 操作系统可支持虚拟机环境下运行的 NKP 实例。安全补丁服务隶属于 Ubuntu Pro,是 Canonica […]
Canonical 发布 Ubuntu Core 26
Ubuntu Core 26 推出精准化 Linux 构建、优化的 OTA 更新、实时内核补丁,以及面向关键任务部署的增强型硬件级安全防护。 2026 年 5 月 19 日,Canonical 宣布正式发布 Ubuntu Core 26。该系统为极简不可变操作系统,提供长达 15 年的安全维护支持。 Ubuntu Core 26 针对关键任务操作与低延迟 AI 工作负载实现重大系统改进:安装时长缩短、OTA 更新包体积缩减 90%,并借助 Chisel 工具实现精准化系统构建。与以往版本一致,所有组件均为经过沙箱隔离、加密签名的 Snap 软件包,构建可信启动链,仅允许运行经验证的软件。凭借这款全新长期支持(LTS)版本,Ubuntu Core 仍是适用于关键任务系统的 […]