NIS2將實體分為基本實體和重要實體，兩者均需滿足類似的基礎要求，區(qū)別在于監(jiān)管和處罰的不同?；緦嶓w需要接受實時監(jiān)管，而重要實體則需基于不合規(guī)證據(jù)接受事后監(jiān)管。該指令利用基于行業(yè)的清單簡化適用范圍，其中自動包括中大型企業(yè)。但如果小微企業(yè)在社會、經(jīng)濟或特定行業(yè)中發(fā)揮關鍵作用，成員國可將其納入要求范圍。各成員國對基本或重要實體的分類可能有所不同，但一般包括以下行業(yè)：

基本實體行業(yè)：

• 能源
• 交通
• 銀行
• 金融市場基礎設施
• 醫(yī)療
• 飲用水和廢水處理
• 數(shù)字基礎設施，包括互聯(lián)網(wǎng)交換點、DNS和云計算服務

重要實體行業(yè)：

• 數(shù)字服務提供商，包括在線市場、在線搜索引擎和社交網(wǎng)絡服務平臺
• 公共管理
• 太空
• 郵政和快遞服務
• 廢棄物管理
• 工業(yè)制造
• 化學品制造和分銷
• 食品生產(chǎn)、加工和分銷
• 研究

要確定您的公司是否受NIS2影響，您可以參考一些有用的標準，以確定是否需要全面遵守NIS2的網(wǎng)絡安全要求。

據(jù)估計，歐盟有超過10萬家組織受NIS2影響。與以往情況不同，這些組織不再僅限于關鍵基礎設施運營商，還包括關鍵行業(yè)中的眾多大型企業(yè)和中小企業(yè)，例如，銀行、能源供應商、運輸公司、電信提供商、醫(yī)院、機場以及食品生產(chǎn)商和零售商。

目前，公司需自行判斷是否屬于NIS2的適用范圍，但TÜV南德意志集團愿意為您提供支持，幫助您確定是否受到影響。在大多數(shù)歐盟成員國中，國家網(wǎng)絡安全當局（如德國聯(lián)邦信息安全辦公室（BSI））會提供支持和指導，以幫助確定您的組織是否可能受到影響（德語的NIS2適用性檢查）。

以下是具有決定性意義的判斷標準：

• 公司規(guī)模：如果公司員工人數(shù)超過50人，年收入超過1000萬歐元，且屬于相關行業(yè)，則將受到NIS2影響。
• 行業(yè)：NIS2定義了18個受影響行業(yè)，這些行業(yè)被分為基本或重要行業(yè)，均須遵守相同的網(wǎng)絡安全基本要求，而最關鍵領域的基本實體則需遵守更加嚴格的要求。

部分組織無論規(guī)模大小均會受到影響，例如，如果發(fā)生故障時存在系統(tǒng)性風險，則適用此情況。

• 2016年6月7日，通過《網(wǎng)絡與信息系統(tǒng)安全指令》（NIS）。
• 2018年9月5日，各成員國將NIS指令納入本國法律。
• 2020年7月7日，歐盟委員會開始就NIS改革進行磋商。
• 2020年12月16日，歐盟委員會發(fā)布NIS2提案。
• 2022年5月13日，歐盟理事會投票通過NIS2。
• 2022年11月10日，歐盟理事會批準NIS2。
• 2022年11月28日，NIS2在歐盟《官方公報》上公布。
• 2023年1月16日，NIS2正式生效。
• 2024年10月17日，各成員國將NIS2納入本國法律。
• 2024年10月17日起，開始執(zhí)行NIS2指令。歐盟內(nèi)各組織必須在此日期前滿足相關網(wǎng)絡安全要求，以確保合規(guī)。

截至目前，尚未建立在所有歐盟成員國均有效的官方NIS2認證機制，但組織可根據(jù)ISO 27001國際標準獲得認證，證明其滿足大多數(shù)NIS2要求。可能受到NIS2影響的公司應該首先根據(jù)ISO 27001標準實施信息安全管理體系（ISMS），該標準為組織提供了明確的框架，以系統(tǒng)、持續(xù)性地評估和改進流程和IT系統(tǒng)中的漏洞。通過實施ISMS，公司能夠有效縮減其面臨的網(wǎng)絡攻擊范圍，并確保業(yè)務連續(xù)性。

理想情況下，受影響的公司應盡快聯(lián)系審核人員，商討相關方案，確保在截止日期之前留有充足的準備時間。

了解更多關于TÜV南德意志集團如何幫助您進行ISMS審核與認證的信息。