欧盟委员会通过NIS2指令首个实施条例

文|王漪清 中国信通院互联网法律研究中心工程师

侯文兴 中国信通院互联网法律研究中心实习生

2024年10月17日，欧盟委员会根据《关于在欧盟实现高度统一网络安全措施的指令》（Directive on Measures for High Common Level of Cybersecurity across the Union，简称“NIS2指令”），通过了有关关键实体和网络安全（Cybersecurity of Critical Entities and Networks）的首个实施条例。实施条例将适时在欧盟官方公报公布，并于20天后生效。

一、实施条例重要内容

实施条例对网络安全风险管理措施、构成重大事件的具体情形进行规定，并要求提供数字基础设施和服务的公司应履行向国家当局报告的义务。

第三条明确规定了构成重大事件的统一标准：（一）该事件已经或能够给相关实体造成超过50万欧元或上一财年年营业总额5%（以较低者为准）的直接经济损失；（二）已经或能够导致商业秘密泄露；（三）已经或能够导致自然人死亡；（四）已经或能够对自然人的健康造成相当大的损害（Considerable Damage）；（五）发生对网络和信息系统成功、可疑且未经授权的恶意访问，能够造成严重的操作中断；（六）反复发生的事件等。此外，对于由相关实体或代表相关实体进行的预定服务中断和预定维护操作的计划后果，实施条例规定不应被视为重大事件。

第五条至第十四条分别对与十一类关键实体相关的重大事件进行了详细规定，具体涉及DNS服务提供商、TLD名称注册、云计算服务提供商、数据中心服务提供商、内容分发网络（CDN）提供商、托管安全服务提供商(MSSP)和托管服务提供商(MSP)、在线市场提供商、在线搜索引擎提供商、社交网络服务平台提供商、信任服务提供商（TSP）等。

二、实施条例通过背景

欧盟范围内的第一部网络安全法NIS指令于2016年生效，旨在实现整个欧盟范围内网络和信息系统的共同安全水平。为了更好实现欧洲适应数字时代的关键政策目标，欧盟委员会于2020年12月提议修订NIS指令。修订后的NIS2指令于2023年1月生效，规定成员国必须在2024年10月17日前将其转化为国家法律。

NIS2指令旨在确保整个欧盟的高水平网络安全。内容涵盖对经济和社会至关重要的部门运营实体，包括公共电信服务、信息通信服务管理、数字服务、废水和废物管理、空间、卫生、能源、运输、关键产品制造、邮政和快递服务、公共行政等提供商。

NIS2指令强化对公司的安全要求，解决供应链和供应商关系的安全问题；简化报告义务，为国家当局引入更严格的监督措施及执法要求，以协调各成员国的制裁制度。该指令有助于在国家和欧盟层面加强网络危机管理方面的信息共享与合作。

三、意义

实施条例的通过有利于欧盟更好实施NIS2指令的规定，促进欧盟关键实体和网络的网络安全，是欧盟提高关键数字基础设施网络弹性的又一重要步骤。实施条例通过之日恰逢欧盟成员国应将NIS2指令转化为国家法律的最后期限。自2024年10月18日起，所有成员国必须采取措施遵守NIS2网络安全规则，包括监督和执法措施。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。