合规矩阵
所有NIS2要求到文档、实施和协同效应的完整映射。
有效性审查
上次有效性审查列记录了根据 §30 第2款第6项 BSIG 要求的证明。当年未进行有据可查的审查的措施视为未经有效审查。下次定期有效性审查应在上次有据可查的审查后12个月进行。
§30 BSIG – 风险管理措施
| 编号 | 措施 | 文档 | 状态 | 上次有效性审查 | 下次审查 |
|---|---|---|---|---|---|
| 1 | 风险分析和IT安全概念 | 风险管理 | ✅ 已实施 | 2026-03 | 2027-03 |
| 2 | 事件处理 | 事件管理 | ✅ 已实施 | 2026-03 | 2027-03 |
| 3 | 业务连续性 / BCM | 业务连续性 | ✅ 已实施 | 2026-03 | 2027-03 |
| 4 | 供应链安全 | 供应链安全 | ✅ 已实施 | 2026-03 | 2027-03 |
| 5 | 安全采购、开发、维护 | 漏洞管理 | ✅ 已实施 | 2026-03 | 2027-03 |
| 6 | 有效性审查 | 有效性审查 | ✅ 已实施 | 2026-03 | 2027-03 |
| 7 | 培训与意识 | 培训与意识 | ✅ 已实施 | 2026-03 | 2027-03 |
| 8 | 加密技术 | 加密技术 | ✅ 已实施 | 2026-03 | 2027-03 |
| 9 | 访问控制与人员安全 | 访问控制 | ✅ 已实施 | 2026-03 | 2027-03 |
| 10 | MFA与安全通信 | 访问控制 | ✅ 已实施 | 2026-03 | 2027-03 |
其他BSIG义务
| 条款 | 义务 | 文档 | 状态 | 上次有效性审查 | 下次审查 |
|---|---|---|---|---|---|
| §32 | 报告义务 | 事件管理 | ✅ 已实施 | 2026-03 | 2027-03 |
| §33 | 注册义务 | 已在组织层面实施 | ✅ 已实施 | 2026-03 | 2027-03 |
| §38 | 管理层职责 | 治理 | ✅ 已实施 | 2026-03 | 2027-03 |
状态图例
| 符号 | 含义 |
|---|---|
| ✅ 已实施 | 措施已记录、已部署,且上次有效性审查通过 |
| 🟡 实施中 | 措施已批准,正在推出,有效性审查待定 |
| 🔴 未实施 | 措施必需但尚未部署 |
| ⏸️ 不适用 | 措施不适用(已记录理由) |
CRA协同效应
| NIS2措施 | CRA文档 | 协同 |
|---|---|---|
| 第2项 – 事件 | CRA事件响应 | 产品事件通过CRA,运营事件通过NIS2 |
| 第4项 – 供应链 | CRA供应链 | 软件供应链通过CRA,服务提供商通过NIS2 |
| 第5项 – 漏洞 | CRA漏洞管理 | 产品CVE通过CRA,基础设施CVE通过NIS2 |
| 第5项 – SBOM | CRA SBOM 与签名 | SBOM 生成与签名通过 CRA |
AI法案协同效应
| NIS2措施 | AI法案参考 | 协同 |
|---|---|---|
| 第1项 – 风险管理 | AI法案第9条(风险管理) | NIS2 ISMS作为AI风险管理的基础 |
| 第8项 – 加密技术 | AI法案第15条(网络安全) | 加密标准也适用于AI系统 |
| 第9项 – 访问控制 | AI法案第14条(人类监督) | 访问控制作为AI监督的基础 |