网络安全不再只是技术部门的事务。对希腊不少企业而言,它已经成为法律义务、管理层事项和业务连续性问题。NIS2指令和希腊第5160/2024号法律改变了关键行业处理网络风险的方式:能源、交通、健康、金融服务、数字基础设施、食品、快递、制造、研究、特定产品生产,以及其他可能影响经济和社会生活的活动。
简单地说,国家现在问的不再只是“你们有杀毒软件吗?”而是企业是否知道自己有哪些系统,哪些供应商有访问权限,发生事件时谁作决定,何时通知主管机关,是否有备份,管理层是否批准政策,以及这一切是否可以被证明。
NIS2并不只是技术清单
管理层需要对系统、供应商、备份、角色、事件和报告拥有可记录的图像。这意味着决策、档案和执行审查,而不仅是购买新软件。
本文实践性说明NIS2在希腊涉及哪些主体,企业应检查什么,以及在问题变得紧急之前哪些第一步最有意义。
NIS2是什么,为什么现在重要
NIS2是欧盟关于网络和信息系统安全的第二项指令。它取代旧的NIS1,并大幅扩大适用范围。希腊通过第5160/2024号法律将其纳入国内法,该法律发表于2024年11月27日政府公报A' 195号。
基本思想很简单:当企业或机构提供的服务对市场、社会或公共功能具有关键性时,不能把网络安全视为可选支出。它必须有组织的预防、风险管理、事件处理和重大事件报告体系。
NIS2并不只涉及“大银行”或“国家机关”。它也涉及在特定行业活动并符合规模标准或特别条件的私营企业。因此,每家企业的第一项实践问题是:“我是否在适用范围内?”
哪些企业可能受到影响
希腊法律围绕两类主体展开:“基本实体”和“重要实体”。这不是简单标签。类别会影响监督程度、义务以及企业组织合规的方式。
通常需要考察两件事:活动行业和企业规模。关键行业中的中型和大型企业,是最应首先进行适用性审查的对象。但也存在不论规模都可能纳入范围的情形,例如某些数字或电子服务提供者、信任服务提供者、域名注册机构和DNS服务。
示例检查表
| 问题 | 为什么重要 | 实际行动 |
|---|---|---|
| 企业在哪个行业活动? | NIS2适用于特定的高度关键或其他关键行业。 | 将KAD、实际活动和合同同第5160/2024号法律附件进行比较。 |
| 是否为中型或大型企业? | 规模是许多类别适用的重要标准。 | 按中小企业标准检查员工、营业额和资产负债表。 |
| 是否向其他企业提供关键服务? | 中断影响可能提高实体重要性。 | 梳理客户、SLA、公共服务和关键依赖关系。 |
| 是否拥有数字基础设施、cloud、managed services或security services? | 数字提供商在NIS2中具有特别重要性。 | 检查是否属于DNS、cloud、data center、MSP、MSSP或在线市场提供者。 |
| 是否有义务在自我申报平台登记? | 登记是纳入范围实体的法律义务。 | 进行有记录的评估,并在需要时在nis2register.cyber.gov.gr登记。 |
应认真审查NIS2的企业示例
一家拥有广泛配送网络的快递公司,不只是面临电子邮件丢失风险。如果路线规划、包裹追踪或开票系统宕机,中断可能影响客户、合作伙伴和市场。一家拥有工业生产的食品公司,也不只是商业风险。如果事件影响生产线、可追溯性或冷链,问题可能成为运营和监管问题。
技术提供商同样如此。一家为多个客户提供managed IT的公司,可能成为攻击的“中央通道”。如果远程管理工具被攻破,受影响的不只是其自身,也包括客户。NIS2在这里强调供应链安全,以及与直接供应商或服务提供商的关系。
实践中,许多希腊企业不能只凭名称找到答案。它们需要看自己实际做什么。“销售零售设备的信息技术公司”和为关键客户运营cloud、data center、网络安全或基础设施管理服务的公司,并不是同一回事。
“基本”实体和“重要”实体是什么意思
基本实体与更高程度的关键性相关。实践上,这意味着更多关注、更高的预防性监督可能性,以及更高的记录要求。重要实体也不是“宽松”类别。它们也有实质义务,只是监督方式和审查强度可能不同。
这种差异在罚款中也很重要。对于违反风险管理措施或事件报告义务的行为,第5160/2024号法律规定了较高的最高罚款限额:基本实体可达10,000,000欧元或全球年营业额2%,重要实体可达7,000,000欧元或全球年营业额1.4%,以较高者为准。
这些金额并不意味着每一项违规都会自动导致最高罚款。但它们说明,合规不能停留在一份装有通用政策的文件夹中。管理层必须能够证明自己理解风险、批准措施、投入资源,并监督执行。
自我申报平台和第一项行政义务
国家网络安全局已为第5160/2024号法律设立实体登记平台。登记不针对自然人,而是针对纳入适用范围的法人和机构。平台要求提交实体基本信息、法定代表人、服务类型、IP ranges和domain names等资料。
这一点重要,因为它显示了法律逻辑。主管机关并不只想知道“谁存在”。它还想了解支撑关键服务的数字暴露面。未记录domains、系统、公共IP、提供商和访问点的企业,在登记和实质合规上都会遇到困难。
正确方法不是“先赶紧登记,以后再看”。正确方法是进行内部审查:适用性、类别、服务、系统、负责人、供应商、拟提交资料以及资料变化时的更新流程。
企业实践上应做什么
NIS2并不要求所有企业使用同样工具。但它要求适当且相称的技术、运营和组织措施。这意味着拥有250名员工、cloud ERP、生产系统和数十个供应商的企业,不能与小型办公室保持同样成熟度。相称性不是不作为的借口,而是设计适合真实风险的措施的方法。
合规第一步
| 步骤 | 做什么 | 应留下什么证据 |
|---|---|---|
| 1. 适用性审查 | 检查行业、规模、服务和特别类别。 | 带法律和技术依据的简短适用性备忘录。 |
| 2. 系统梳理 | 记录关键系统、domains、IP、应用、cloud、backups。 | 资产登记册、网络图、提供商和负责人清单。 |
| 3. 风险评估 | 评估可能性、影响和风险优先级。 | 风险表、日期、参与人员、管理层决定。 |
| 4. 风险处理计划 | 选择措施:MFA、backups、logging、patching、endpoint security、incident response。 | 带负责人、期限和状态的行动计划。 |
| 5. 事件响应程序 | 规定事件发生时谁做什么。 | Playbook、联系人清单、报告模板、演练。 |
| 6. 培训 | 至少每年培训管理层和员工。 | 签到记录、培训材料、理解小测验。 |
| 7. 供应商审查 | 在IT、cloud、ERP、MSP、MSSP、payroll、logistics中加入安全要求。 | 合同条款、security questionnaires、SLA、需要时的DPA。 |
措施不只是技术措施
许多企业听到“网络安全”就想到防火墙。NIS2更广。它包括风险分析政策、事件管理、业务连续性、备份和恢复、供应链安全、安全开发和系统维护、措施有效性评估、网络卫生、培训、加密、访问控制、资产管理和多因素认证。
关键点在于技术措施与管理责任的连接。如果企业有MFA,却不知道哪些账号未适用,就存在缺口。如果有backups却没有测试restore,就存在缺口。如果有IT供应商,却没有合同说明其何时通知事件,就存在缺口。如果有安全政策但员工不知道,也存在缺口。
关于国家网络安全要求框架的KYA 1689/2025使这一逻辑更实践化。它谈到技术、运营和组织措施,整体风险方法,相称性,以及证据:政策、程序、董事会记录、合同、培训证明、网络图、业务连续性计划、审计报告,以及其他证明合规正在执行的资料。
事件报告:24小时和72小时
最实际也最困难的一点,是重大事件报告。法律规定,基本实体和重要实体应向国家网络安全局主管CSIRT通报重大事件。重大事件包括已经造成或可能造成严重运营中断或经济损失,或可能对其他自然人或法人造成重大物质或非物质损害的事件。
时间压力很大。预警必须在无不当迟延的情况下提交,并且在任何情况下,应在实体意识到重大事件后的24小时内提交。更完整的事件通报应在72小时内跟进。最终报告通常应在通报后最迟一个月内提交。
这意味着incident response不能在事件发生后才写。必须事先存在。谁决定某一事件是否“重大”?谁与技术团队沟通?谁通知法律顾问、DPO、管理层、客户或主管机关?谁在不破坏证据的情况下保存资料?如果这些问题没有事先决定,最初24小时就会被浪费。
NIS2、GDPR和个人数据
NIS2并不废除GDPR。它们经常会同时适用。ERP中的ransomware可能既是网络安全事件,也是个人数据泄露。客户数据泄露,如果企业属于基本或重要实体,可能同时需要基于GDPR和第5160/2024号法律评估。
实践后果是,企业需要协调三个角色:技术团队或外部IT、法律顾问,以及如有则包括数据保护官。IT“堵住漏洞”并不够。还必须评估是否有通报义务,存在哪些证据,谁受到影响,应在何时说什么。
供应商合同:容易被忘记的环节
供应链是NIS2最重要的部分之一。实践上,许多攻击通过供应商发生:远程访问工具、cloud consoles、ERP软件、电子邮件服务、托管、domain management、外包支持、备份服务。如果供应商访问控制薄弱、更新管理不佳,或延迟通知,主企业也会暴露在风险中。
与IT提供商的合同需要更具体。应规定安全等级、事件通知义务、响应时间、forensic审查中的职责、日志访问、备份政策、数据存储地域、分包商义务和退出流程。这不是“法律细节”。它是一家企业知道谁做什么,与一家企业在危机中翻找合同之间的差异。
实践示例
以一家希腊中型logistics企业为例,它使用cloud ERP、订单应用、tracking系统、公司电子邮件、仓库手持设备和外部IT提供商。管理层认为“提供商会处理”。实际上,企业必须知道自己是否纳入NIS2、哪些系统关键、保存哪些数据、哪种中断会停止配送,以及谁拥有管理员权限。
第一项严肃步骤不是再买一个工具,而是绘制地图:系统、角色、供应商、风险、backups、访问、合同、事件计划。之后才能排定优先级:所有关键账号启用MFA、限制admin权限、测试backup restore、logging、endpoint protection、patch management、员工培训、供应商条款和事件应对演练。
如果发生事件,企业将能够回答:何时发现,影响了什么,是否重大,谁被通知,采取了哪些措施,保存了哪些证据,以及是否存在报告义务。这就是合规的实践价值。
企业从明天早上开始应做什么
不需要一开始就拥有完美项目。需要按正确顺序开始。
第一,根据行业、规模和实际服务进行适用性审查。第二,指定有管理层参与的项目负责人,而不仅是IT。第三,记录关键系统、供应商、domains和IP ranges。第四,准备risk assessment和行动计划。第五,检查是否需要在自我申报平台登记。第六,建立包含24/72小时流程的incident response playbook。第七,审查与主要提供商的合同。
最有用的标准很简单:如果明天无法访问电子邮件、ERP或生产系统,我们是否知道谁决定、谁通知、谁恢复、以及必须报告什么?如果答案是否定的,企业还有工作要做。
常见问题
NIS2涉及小企业吗?
通常主要针对特定关键行业中的中型和大型企业。但也有特殊情形可能不受规模限制,尤其是特定数字服务。作为基本或重要实体供应商的小企业,即使不直接纳入范围,也可能面对更严格的合同要求。
如果我们有ISO 27001,是否已经覆盖?
ISO 27001非常有帮助,但并非自动豁免。需要将控制措施同第5160/2024号法律和KYA 1689/2025的要求对应,尤其是报告、管理责任、供应链和记录方面。
每个技术问题都必须通知主管机关吗?
不是。义务涉及重大事件,即法律所定义的具有严重运营、经济或其他影响的事件。因此需要内部评估标准,而不是每个alert都引发恐慌。
公司内部应由谁负责?
技术团队不可或缺,但责任不只是技术性的。需要管理层、法律顾问、财务管理、如有则DPO、运营和采购负责人共同参与。NIS2是风险管理项目,不是单一IT项目。
企业可能支付什么代价?
法律规定了较高的罚款上限,尤其是违反风险管理措施和事件报告义务时。除了罚款,还有真实成本:业务中断、客户流失、赔偿、检查、违规公开和恢复成本。
结论
希腊的NIS2并不是又一份合规文件。它是观念变化。企业必须知道自己的系统,评估风险,培训人员,审查供应商,拥有事件计划,并能够证明这一切正在执行。
对受影响企业而言,最坏情形是等到第一次严重事件后才开始组织。更好的做法是从清晰的适用性审查和实际合规计划开始。目的不是塞满文件夹,而是在出问题时还能继续运营。
来源和有用参考
- 国家网络安全局,NIS2指令:国家网络安全局 - NIS2指令
- 第5160/2024号法律实体登记平台:NIS2实体登记平台
- NIS2平台FAQ:https://nis2register.cyber.gov.gr/app/content/faq/FAQs_NIS2.pdf
- 第5160/2024号法律,政府公报A' 195/27.11.2024:第5160/2024号法律 - NIS2在希腊的转化
- KYA 1689/2025,国家网络安全要求框架:https://cyber.gov.gr/wp-content/uploads/2025/05/20250202186.pdf
- 欧盟委员会,NIS2 Directive:https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- EUR-Lex, Directive (EU) 2022/2555:欧盟第2022/2555号指令 - NIS2
Comments
Share your thoughts about this article.
No comments yet. Be the first to comment.
Submit a comment