监管框架
法律来源
| 法律来源 | 状态 | 相关性 |
|---|---|---|
| NIS 2指令 (EU) 2022/2555 | 自2023年1月16日起生效 | 欧盟框架指令 |
| NIS2UmsuCG(综合法) | 自2025年12月6日起生效 | 德国实施 |
| BSIG(修订版) | 自2025年12月6日起生效 | 核心义务规范 |
| 实施条例 (EU) 2024/2690 | 已生效 | 详细技术要求 |
| KRITIS伞法 | 2026年1月29日通过 | 物理韧性 |
适用性
NIS2指令区分两类实体:
| 类别 | 标准 | 制裁 |
|---|---|---|
| 关键实体 | 附件I行业,≥250名员工或≥5000万欧元营业额 | 最高1000万欧元或全球年营业额的2% |
| 重要实体 | 附件I/II行业,≥50名员工或≥1000万欧元营业额 | 最高700万欧元或全球年营业额的1.4% |
§30 BSIG – 十项风险管理措施
| 编号 | 措施 | 文档 |
|---|---|---|
| 1 | 风险分析和信息系统安全概念 | 风险管理 |
| 2 | 事件处理 | 事件管理 |
| 3 | 业务连续性(BCM、备份、灾难恢复、危机管理) | 业务连续性 |
| 4 | 供应链安全 | 供应链安全 |
| 5 | 采购、开发和维护中的安全 | 漏洞管理 |
| 6 | 有效性评估概念和程序 | 有效性审查 |
| 7 | 基本网络卫生实践和培训 | 培训与意识 |
| 8 | 加密概念和程序 | 加密技术 |
| 9 | 人员安全、访问控制概念 | 访问控制 |
| 10 | 多因素认证、安全通信 | 访问控制 |
其他义务
| 条款 | 义务 | 文档 |
|---|---|---|
| §32 BSIG | 重大安全事件报告义务 | 事件管理 |
| §33 BSIG | BSI注册义务 | 已在组织层面实施 |
| §38 BSIG | 管理层批准、监督和培训义务 | 治理 |
CRA协同效应
符合CRA的流程(漏洞管理、事件响应、供应链)在很大程度上也满足相应的NIS2要求。详情请参阅CRA合规文档。