NIS2 实施法：关键概览

随着 NIS2UG 的通过，长期以来与关键基础设施运营商和受影响机构有关的许多问题现在都有了答案。从法律上讲，全面修订《BSI 法》（BSIG）是现已通过的法律的核心内容，因此，法律专家可参考以下《BSIG》中的段落（§）。为便于阅读，我们在下文中将这些段落归入 NIS2UG。

NIS2UG （《NIS-2 实施法》）概览

现状：2025 年 12 月

2022 年 12 月 27 日，NIS2 指令（"网络与信息安全 (NIS) 指令"）在《欧盟官方公报》上发布。该指令于 2023 年 1 月 16 日生效。欧盟委员会已将关键基础设施安全面临的物理和网络攻击风险确定为欧洲经济面临的四大风险之一。因此，提高经济抵御犯罪或国家攻击危险的能力是国家、经济和社会相关行为者的一项中心任务。

NIS2UG 将于 2025 年 12 月生效，这标志着德国 IT 安全法发生了深刻的范式转变。

重要的问题现在可以以具有约束力的方式得到回答：

• 哪些部门和机构受到影响？
• 什么规模的公司会受到影响？
• 对技术和组织措施的要求有多具体？
• 发生事故时的罚款和董事责任如何？
• ...

德国已大大超过了欧盟范围内实施 NIS2 指令的最后期限。原本，这一期限应在 2024 年 10 月前完成。

谁会受到 NIS2 实施法案的影响？

新的 BSIG 制度大大扩展了受监管公司的范围。今后，不仅关键基础设施（KRITIS）的运营商、具有特殊公共利益的公司以及数字服务提供商将被纳入监管范围，"特别重要机构"和"重要机构"这两个新类别也将被纳入监管范围。

• 一方面，从 "特别重要 "和 "重要设施 "的部门来看：能源、交通和运输、金融、医疗保健、水和废水处理、数字基础设施和空间
• 另一方面，来自 "重要设施 "部门：邮政和快递服务，废物管理，化学品的生产、制造和贸易，食品的生产、加工和分销，商品的制造和生产，数字服务提供商和研究。

然而，在这些行业经营的公司并不会自动受到影响。

NIS2UG 第 28 条对 "特别重要 "和 "重要 "实体进行了区分，具体取决于雇员人数和财务门槛（"规模上限规则"）：

• 特别重要实体是指附件 1 所列行业中雇员人数超过 250 人或年营业额超过 5000 万欧元且年度资产负债表总额超过 4300 万欧元的公司。合格的信托服务提供商、顶级域名提供商、DNS 提供商、电信提供商和关键设施运营商也按特殊规定分类。
• 附件 1 和附件 2 所列行业中员工人数超过 50 人或营业额超过 1,000 万欧元且年度资产负债表总额超过 1,000 万欧元的公司被视为重要机构。信托服务和电信服务提供商也受到特殊监管。

联邦信息安全办公室的 NIS2 影响评估（BSIBSI)的 NIS2 影响评估只需几个步骤就能提供初步指导。然而，关键供应链中的公司，无论其规模大小，也可能间接有义务实施与 NIS2 相关的措施。

受影响组织的义务是什么？

NIS2UG 规定了一系列适当、适度和有效的技术和组织措施，这些措施与ISO 27001 等国际标准密切相关。核心义务包括

• 系统化的信息安全风险管理
• 风险分析和安全概念
• 事件管理
• 业务连续性管理和应急计划
• 备份和加密解决方案
• 供应链安全检查（供应链安全）
• 员工培训和提高认识措施
• 定期审计和检查

这些技术和组织措施的目的是防止有关机构在提供服务时使用的信息技术系统、组件和程序的可用性、完整性和保密性受到破坏。此外，一个非常重要的经济目标是将安全事故的影响降至最低。

NIS2 实施法案规定了哪些报告义务？

第 32 节规定引入三阶段报告制度。在发生重大安全事件时，受影响的公司有义务...

• 立即向联邦信息安全办公室 (BSI) 和联邦民事保护与灾难援助办公室 (BBK) 的联合报告办公室提交早期初步报告，最迟在获悉事件后24 小时内提交。
• 在72 小时内确认或更新该报告，并对其严重性和影响进行初步评估。
• 在报告事件后一个月内提交最终报告，详细解释事件并披露原因。

如果安全事件持续时间超过一个月，则必须提交进展报告。

罚款规定是如何构成的？

任何人故意或因疏忽而违反 NIS2 要求，或未采取措施，或未正确、完整或及时地采取措施，均属第 65 条规定的行政违法行为。其中详细列出的行政违规行为将被处以罚款。处罚方式与违反《一般数据保护条例》（GDPR）的行为类似。

对于特别重要的机构，罚款上限为 1000 万欧元；对于年营业额超过 5 亿欧元的机构，罚款上限为年营业额的 2%。与 GDPR 一样，上述行政违法行为在法律生效后肯定不会立即受到处罚。不过，在该法生效后的几年内，任何故意或过失违反该法的人都可能被处以罚款。

受影响的公司必须做些什么？

根据第 33 条的规定，任何登记义务都适用于 "特别重要的实体"、"重要的实体 "和某些服务提供商，这些公司在首次或再次被视为上述实体之一或提供某些服务后，有义务在新法生效后三个月内进行登记。因此，尽早确定受影响实体并进行合法合规的注册是当务之急。

如何实现 NIS2 合规？

没有 "唯一 "的方法！方法取决于公司规模、可用资源和其他考虑因素。原则上，在信息安全领域考虑适当的风险管理方法是有意义的。对最新技术和欧洲或国际标准的交叉引用，说明了受影响组织应采取的进一步行动。

根据我们的经验，我们可以确认，按照国际标准ISO 27001引入信息安全管理系统是根据第 30 条第 1 款有效实施技术和组织措施的可靠起点。

NIS2 是否需要 ISO 27001 认证？

不需要。NIS2 准则不要求认证，也不是具有法律约束力的合规证明。必须明确区分 NIS2UmsuCG 的法律要求与信息安全管理系统的技术和组织措施。然而：ISO 27001 规定了许多与实施 NIS2 相关的结构和流程。但是，它不能替代具体的法律要求。企业必须继续检查并独立履行各自对当局的义务。

简而言之：ISO 27001涵盖了NIS2的大部分技术和组织要求，其实用的附件A为满足合规要求提供了坚实的基础。无论 NIS2UG 如何，证明符合该标准的组织也向当局、业务伙伴和客户发出了强烈的信任信号。

NIS2实施法案--结论

据欧洲中央银行估计，全球每年因网络攻击造成的损失高达三位数十亿美元，其中欧洲占了很大比例。网络威胁形势已发生重大变化，并正在造成巨大的经济损失。随着云服务的广泛使用，企业发现自己正处于充满挑战的技术转型期。

出于这些原因，欧盟议会和理事会通过了《NIS2 指令》，以规范欧洲经济区的全面网络安全。NIS2 指令》的目的是确保欧盟具有较高的共同网络安全水平。其目的是建立全面和可持续的经济保护，不仅包括与信息技术相关的技术措施，还包括组织和人员领域的风险最小化计划。

NIS2UG 于 2025 年 12 月 6 日生效，标志着德国网络安全的一个里程碑。NIS2UG 第 30 节提到的技术和组织措施与国际公认的ISO 27001标准在内容上有很大的重叠。按照著名的ISO 标准引入和实施信息安全管理系统，无疑为支持合规性证明奠定了坚实而可持续的基础。

与 DQS 携手共进

我们的认证审核为您提供清晰的信息。通过对人员、流程、系统和结果的全面、中立的外部观察，我们可以了解您的管理体系的有效性以及实施和控制情况。对我们来说，重要的是您不要将我们的审核视为检查，而要视为对您管理体系的丰富。

我们的方法总是从审计检查表结束的地方开始。我们会特别询问 "为什么"，因为我们希望了解贵公司选择特定实施方式的原因。我们关注改进的潜力，鼓励改变观点。通过这种方式，您就能认识到可供选择的行动方案，从而不断改进您的管理体系。

DQS 以胜任、客观、中立和公正的方式开展所有认证工作。国家认证机构每年都会在 DQS 进行多次认证审核和见证审核，就是最好的证明。您可以在我们的审核理念中找到更多相关信息。

信任和专业知识

我们的文章和白皮书完全由我们的标准专家或资深审核员撰写。如果您对文章内容或我们为作者提供的服务有任何疑问，请给我们发送电子邮件：iris.yang@dqs.de。

注：为提高可读性，我们使用通用的男性。不过，在声明需要的情况下，该指令包括所有性别身份的人。