欧盟合规资讯：网络安全NIS2指令修订在即

当前所在位置：

网站首页 > 活动

2026.03.31 14:43

来源：admin

标签：网络安全

分享到：

背景

- 2016年7月19日，《关于在欧盟实现高度统一网络安全措施的指令》在欧盟《官方公报》（Official Journal）被发布，是欧盟的首部横向网络安全立法，被称为《NIS1指令》

- 2022年12月14日，《NIS2》在《官方公报》发布，替代NIS1指令，其内容对NIS1的相关内容和要求进行了拓展。

- 2024年12月19日，欧盟《网络安全法案》（Cybersecurity Act，欧盟编号2019/881）的针对性修正案正式发布，欧盟编号（EU）2025/37。

- 2026年1月20日，欧盟委员会提出了一项新的网络安全一揽子方案（new cybersecurity package），以进一步增强欧盟在面对日益增长的威胁时的网络安全韧性与能力，该方案主要包含《网络安全法案》（Cybersecurity Act）修订提案和对《NIS2指令》（NIS2 Directive）的修订。

2026年2月5日，欧盟委员会就《NIS2指令》的最新修正案提案发起的反馈征集（Feedback period for Commission adoption），反馈截止日期为2026年5月12日。欧盟认为，关键基础设施的韧性已成为经济安全与民主制度的战略支柱，因此该修订提案旨在回应现行指令在欧盟成员国实施过程中暴露的现实挑战。

本文将简要对修订提案的情况进行介绍和解析。

修订目的

本次《NIS2指令》修订的核心目的包括：

降低受监管实体的合规负担与法律不确定性；
解决因各成员国对NIS2指令范围界定不一、监督方式差异导致的内部市场碎片化问题；
该修订提案是欧盟网络安全一揽子方案（new cybersecurity package）的一部分。因此欧盟也希望通过此次修订，强化认证工具与欧盟网络安全局（ENISA）的协调职能，实现与正在修订的《网络安全法案》（欧盟称其为Cybersecurity Act 2, 简称CSA2）修订方案的制度协同。

《NIS2指令》的前世今生

《关于在欧盟实现高度统一网络安全措施的指令》（英文全称Directive on Measures for High Common Level of Cybersecurity across the Union，简称NIS2 Directive，即“《NIS2指令》”），欧盟编号(EU)2022/2555，是欧盟2016年颁布的NIS指令（也被称为《NIS1指令》）的修订。其主要内容包括：

确立成员国在网络安全能力、国家战略、危机管理框架等方面的义务；
要求实体实施风险管理措施，涵盖风险分析、事故处理、业务连续性、供应链安全、人力资源安全等领域；
强化合作与信息交流，设立欧洲网络危机联络组织（CyCLONe），建立协调漏洞披露框架；
要求欧盟网络安全局（ENISA）每两年提交欧盟网络安全状况报告；
对必要与重要实体分别实施差异化的监督与认证要求，并引入最高管理层对网络安全措施实施情况的监督与法律责任。

与NIS1相比，现行NIS2的主要修订内容包括：

适用范围显著扩大，新增废水、空间、公共政府、信息通信技术服务管理、制造业、食品生产与分销、化学品制造、废弃物管理等多个部门。
在实体分类上，引入基于规模的标准，将员工超过250人或年营业额超过5000万欧元的实体划为“必要实体”，中型实体则为“重要实体”，并建立了被动选择与登记机制，要求成员国在2025年3月前完成所有范围内实体的清单登记。
管理责任方面，明确要求实体管理机构批准并监督网络安全措施的实施，对不合规行为承担问责。还对事故通知设定了严格时限：24小时内提交早期预警，72小时内提交正式事件通知，1个月内提交最终报告。
监管层面，赋予主管部门警告、发布约束性指令、处以行政罚款等权力。

修订提案框架及概况

本提案以修订现有《NIS2指令》的形式呈现，不替代现行指令，而是通过针对性修订实现简化与协调。修订内容主要涵盖以下维度：范围与定义澄清、实体分类优化、网络安全风险管理措施的协调化、事件报告义务的统一化（特别是勒索软件攻击）、监督机制的跨国务实协作，以及引入认证作为合规证明的工具。

该提案与欧盟CSA的修订一揽子方案紧密挂钩，关于该一揽子方案的更详细情况，欢迎访问前期报道：

欧盟合规资讯：新一揽子方案提议修订《网络安全法案》

欧盟《网络安全一揽子方案》：热点问答

主要修订内容及对企业的影响

对于在欧盟市场销售产品、提供服务或向欧盟实体出口的企业而言，本提案中的多项修订都可能对其合规策略与运营安排带来影响，主要包括：

扩展范围与新增实体类型：提案明确将欧洲数字身份钱包（European Digital Identity Wallets）和欧洲商业钱包（European Business Wallets）的提供者纳入NIS2指令范围，且无论其规模大小，一律划归为“必要实体”（essential entities）。这意味相关服务提供商需承担更高强度的风险管理、事故通知及管理层责任义务。此外，海底数据传输基础设施的运营商，凡不属于现有公共电子通信网络服务商的，亦被纳入指令范围。同时，提案将“中小市值企业”（small mid-cap enterprises）定义为新的实体类别，并规定此类企业原则上应被指定为“重要实体”（important entities），以降低其合规负担。
范围澄清与门槛调整：提案针对电力生产商、氢能企业、化学品制造实体及医疗服务提供者进行了范围澄清。例如，电力生产商仅当其总发电容量超过1 MW时才被纳入指令范围，以平衡电网安全与中小企业负担。此外，规模微小的DNS服务提供商将被排除在范围之外。
认证作为合规证明机制：为简化合规证明，提案引入一项关键机制，要求必要实体与重要实体可通过获取欧盟网络安全认证框架下的“网络态势证书”（certificate on the cyber posture）来证明其对NIS2指令网络安全风险管理措施的合规性。若该证书覆盖了相关实施法案或欧盟成员国国内立法转化的要求，则主管当局不得就证书覆盖的合规事项对该实体施加额外的监督措施。这对在欧盟多国运营的企业尤为利好，可显著减少重复审计与区域性差异带来的合规成本。
供应链安全义务的协调化：提案针对《NIS2指令》第21(2)(d)条规定的供应链安全义务，要求欧盟委员会制定指南，明确实体向供应商索取信息安全相关信息时应采用适当的细节水平、结构与格式。此举旨在防止当前实践中因各实体使用差异化的问卷与流程而给供应商造成的行政负担，尤其有利于作为大型企业供应商的中小企业。
勒索软件报告义务的强化：新增了针对勒索软件攻击的专门报告要求。主管的计算机安全事件响应团队（Computer Security Incident Response Team，简称CSIRT）或主管当局有权要求受影响的实体提供特定信息，包括是否收到赎金要求、赎金支付金额、支付方式及收款方（如加密资产服务提供商）。需要注意的是，该信息仅在主管机构提出请求时提交，且提案要求成员国在法律框架内解决因报告该信息可能引发的责任风险问题。
监督机制的跨国务实化：对于在多个欧盟成员国提供服务、或其网络与信息系统位于多个成员国的实体，ENISA将承担新的协调职能。ENISA将建立并维护必要与重要实体的登记册，开展跨境网络安全风险分析，并可应相关欧盟成员国主管当局的请求组建联合审查小组、制定联合监督行动指南，甚至参与具体监督行动。这将为在欧盟范围内跨境运营的企业提供更一致、更可预期的监管环境。
后量子密码加密转型要求：提案要求欧盟各成员国在其国家网络安全战略中纳入向“后量子密码加密”（post-quantum cryptography）迁移的政策。这意味着受监管实体需关注成员国层面后续发布的转型路线图，并提前规划对现有加密系统的升级。
管辖权规则的明确：提案新增对航空承运人的管辖权规则，明确其适用颁发运营许可证的成员国的管辖权。同时，对于未在欧盟设立但提供服务的企业，必须指定一名在欧盟的代表，并以此代表的所在地确定管辖归属。该条款对第三国企业在欧盟市场的合规架构设计具有直接约束力。