监管框架
法律来源
| 法律来源 | 状态 | 相关性 |
|---|---|---|
| NIS 2指令 (EU) 2022/2555 | 自2023年1月16日起生效 | 欧盟框架指令 |
| NIS2UmsuCG(综合法) | 自2025年12月6日起生效 | 德国实施 |
| BSIG(修订版) | 自2025年12月6日起生效 | 核心义务规范 |
| 实施条例 (EU) 2024/2690 | 已生效 | 详细技术要求 |
| KRITIS伞法(KRITIS-DachG) | 自2026年3月17日起生效 | 物理韧性(CER实施) |
适用性
NIS2指令区分两类实体:
| 类别 | 标准 | 制裁 |
|---|---|---|
| 关键实体 | 附件I行业,≥250名员工或≥5000万欧元营业额 | 最高1000万欧元或全球年营业额的2% |
| 重要实体 | 附件I/II行业,≥50名员工或≥1000万欧元营业额 | 最高700万欧元或全球年营业额的1.4% |
§30 BSIG – 十项风险管理措施
| 编号 | 措施 | 文档 |
|---|---|---|
| 1 | 风险分析和信息系统安全概念 | 风险管理 |
| 2 | 事件处理 | 事件管理 |
| 3 | 业务连续性(BCM、备份、灾难恢复、危机管理) | 业务连续性 |
| 4 | 供应链安全 | 供应链安全 |
| 5 | 采购、开发和维护中的安全 | 漏洞管理 |
| 6 | 有效性评估概念和程序 | 有效性审查 |
| 7 | 基本网络卫生实践和培训 | 培训与意识 |
| 8 | 加密概念和程序 | 加密技术 |
| 9 | 人员安全、访问控制概念 | 访问控制 |
| 10 | 多因素认证、安全通信 | 访问控制 |
其他义务
| 条款 | 义务 | 文档 |
|---|---|---|
| §32 BSIG | 重大安全事件报告义务 | 事件管理 |
| §33 BSIG | BSI注册义务 | 已在组织层面实施 |
| §38 BSIG | 管理层批准、监督和培训义务 | 治理 |
KRITIS-DachG 关键日期
- 2026年3月17日 – 生效(联邦参议院于2026年3月6日批准)
- 2026年7月17日 – 已识别关键设施的注册义务最早开始日期(识别后3个月期限,不早于此日期)
- KRITIS-DachG 通过物理韧性层面补充 NIS2,并将欧盟 CER 指令((EU) 2022/2557)转化为德国法律。
NIS2 与 CRA 的区别
| 标准 | NIS2 | CRA |
|---|---|---|
| 监管对象 | 运营者(实体) | 含数字要素的产品 |
| 法律形式 | 指令(需国家实施) | 法规(直接适用) |
| 重点 | 运营安全(风险管理) | 产品安全(设计安全) |
| 报告义务 | CSIRT(24小时/72小时/1个月) | ENISA(24小时/72小时/14天) |
CRA协同效应
符合CRA的流程(漏洞管理、事件响应、供应链)在很大程度上也满足相应的NIS2要求。详情请参阅CRA合规文档。