NIS2 合規

NIS2 的核心要求

NIS2 規定全組織與供應鏈適用的風險管理措施（Article 21）：

• 政策與治理：風險分析、資訊系統安全政策，以及管理階層之職責與角色。
• 事件處理：偵測、回應與復原能力；營運持續與危機管理。
• 供應鏈安全：採購、開發與營運中的安全；第三方與受託服務之監督。
• 預設／設計即安全：開發流程、弱點通報與揭露；修補與更新。
• 營運安全：網路與系統安全、存取控制與 MFA、日誌／監控、加密與金鑰管理。
• 測試與稽核：既定政策以進行測試、稽核與「獨立審查」，於計畫時程及重大變更／事故後執行。
• 意識與訓練：員工資安意識與職務導向訓練。

上述措施載於本指令 Article 21，特定數位供應者另由 Commission Implementing Regulation (EU) 2024/2690 補充細節。

NIS2 的適用範圍

NIS2 適用於關鍵實體與重要實體，涵蓋能源、運輸、銀行、金融市場基礎設施、醫療、飲用水與汙水處理、數位基礎設施（如 DNS、TLD 註冊、IXP、雲端與資料中心供應商）、ICT 服務管理（受託服務供應商）、公共行政、太空、郵政／快遞、廢棄物管理、化學、食品、生產關鍵產品之製造，以及數位供應者（線上市集、搜尋引擎、社群平台）等。基於關鍵性，微型與小型企業亦可能被納入。完整行業清單請參考委員會綜述與指令原文。

NIS2 的事件通報

實體須提交：

• 早期警示：於察覺重大事件 24 小時內（必要時亦含「險些發生」）提出。
• 事件通報：於 72 小時內提供初步評估與（如可得）入侵指標。
• 最終報告：通常於事件通報後一個月內提交（若調查仍在進行，應先提臨時報告）。

針對特定供應者之「重大事件」判準與範本，另由 Implementing Regulation (EU) 2024/2690 規定；ENISA 亦提供時程指引。

適用實體範例

• 關鍵實體：電力 TSO/DSO；天然氣與 LNG 網路營運商；航空／鐵路／海運基礎設施營運商；銀行與金融市場基礎設施；醫院；飲用水供應商；DNS 服務供應者；TLD 登記機構；信任服務供應者。
• 重要實體：受託服務供應商（含 MSSP）、未列為關鍵的雲端服務與資料中心、郵政／快遞、廢棄物管理、化學製造、食品生產，以及部分公共行政機構。

上述分類影響監理方式與裁罰層級；請參閱指令之部門定義與附件，以及委員會綜述。

監理與裁罰

• 管理責任：管理機關成員須核准並監督 NIS2 措施，違規時可能承擔責任。
• 執法：關鍵實體採主動監理；重要實體以事後監理為主。
• 行政罰鍰：關鍵實體至少可罰至 €10,000,000 或全球年營收 2%（取其高）；重要實體至少可罰至 €7,000,000 或 1.4%，實際金額依各會員國轉置（Article 34）。

詳細監理與裁罰架構請見指令第 29–34 條。

NIS2 與其他 EU 規範之互動

NIS2 與部門性框架互補，當其他部門性聯盟法規之效果等同或更嚴時，可優先適用（例如金融領域之 DORA）。同時亦與 GDPR 的安全與通報機制、以及由 ENISA 協調的 EU 網路安全認證計畫相互銜接。