NIS2服务

NIS2将实体分为基本实体和重要实体，两者均需满足类似的基础要求，区别在于监管和处罚的不同。基本实体需要接受实时监管，而重要实体则需基于不合规证据接受事后监管。该指令利用基于行业的清单简化适用范围，其中自动包括中大型企业。但如果小微企业在社会、经济或特定行业中发挥关键作用，成员国可将其纳入要求范围。各成员国对基本或重要实体的分类可能有所不同，但一般包括以下行业：

基本实体行业：

• 能源
• 交通
• 银行
• 金融市场基础设施
• 医疗
• 饮用水和废水处理
• 数字基础设施，包括互联网交换点、DNS和云计算服务

重要实体行业：

• 数字服务提供商，包括在线市场、在线搜索引擎和社交网络服务平台
• 公共管理
• 太空
• 邮政和快递服务
• 废弃物管理
• 工业制造
• 化学品制造和分销
• 食品生产、加工和分销
• 研究

要确定您的公司是否受NIS2影响，您可以参考一些有用的标准，以确定是否需要全面遵守NIS2的网络安全要求。

据估计，欧盟有超过10万家组织受NIS2影响。与以往情况不同，这些组织不再仅限于关键基础设施运营商，还包括关键行业中的众多大型企业和中小企业，例如，银行、能源供应商、运输公司、电信提供商、医院、机场以及食品生产商和零售商。

目前，公司需自行判断是否属于NIS2的适用范围，但TÜV南德意志集团愿意为您提供支持，帮助您确定是否受到影响。在大多数欧盟成员国中，国家网络安全当局（如德国联邦信息安全办公室（BSI））会提供支持和指导，以帮助确定您的组织是否可能受到影响（德语的NIS2适用性检查）。

以下是具有决定性意义的判断标准：

• 公司规模：如果公司员工人数超过50人，年收入超过1000万欧元，且属于相关行业，则将受到NIS2影响。
• 行业：NIS2定义了18个受影响行业，这些行业被分为基本或重要行业，均须遵守相同的网络安全基本要求，而最关键领域的基本实体则需遵守更加严格的要求。

部分组织无论规模大小均会受到影响，例如，如果发生故障时存在系统性风险，则适用此情况。

• 2016年6月7日，通过《网络与信息系统安全指令》（NIS）。
• 2018年9月5日，各成员国将NIS指令纳入本国法律。
• 2020年7月7日，欧盟委员会开始就NIS改革进行磋商。
• 2020年12月16日，欧盟委员会发布NIS2提案。
• 2022年5月13日，欧盟理事会投票通过NIS2。
• 2022年11月10日，欧盟理事会批准NIS2。
• 2022年11月28日，NIS2在欧盟《官方公报》上公布。
• 2023年1月16日，NIS2正式生效。
• 2024年10月17日，各成员国将NIS2纳入本国法律。
• 2024年10月17日起，开始执行NIS2指令。欧盟内各组织必须在此日期前满足相关网络安全要求，以确保合规。

截至目前，尚未建立在所有欧盟成员国均有效的官方NIS2认证机制，但组织可根据ISO 27001国际标准获得认证，证明其满足大多数NIS2要求。可能受到NIS2影响的公司应该首先根据ISO 27001标准实施信息安全管理体系（ISMS），该标准为组织提供了明确的框架，以系统、持续性地评估和改进流程和IT系统中的漏洞。通过实施ISMS，公司能够有效缩减其面临的网络攻击范围，并确保业务连续性。

理想情况下，受影响的公司应尽快联系审核人员，商讨相关方案，确保在截止日期之前留有充足的准备时间。

了解更多关于TÜV南德意志集团如何帮助您进行ISMS审核与认证的信息。