德国 NIS2 国内实施 — 科技企业扩大的网络安全义务

德国国内实施欧盟 NIS2 指令，标志着十年来欧洲数字经济中网络安全义务最重大的扩展。德国联邦政府已公开确认国内立法转化的推进，联邦信息安全办公室 (BSI) 已发布官方判定工具，使企业能够自查是否落入新的适用范围。对于在德国本地、其他欧盟国家或自境外向欧盟提供服务的科技企业而言，问题已不再是"是否要处理 NIS2"，而是"如何尽快建立结构化的合规响应"。

I. 监管框架：NIS2 与 NIS1 的根本区别

NIS2 指令 (法规 (EU) 2022/2555) 取代了 2016 年的第一代 NIS 指令，从三个结构性维度扩展了欧盟的网络安全制度：适用行业范围、风险管理义务的具体性、执法后果的严重性。NIS1 主要针对传统关键基础设施运营者及少数数字服务提供者；NIS2 则覆盖 18 个行业的广泛实体 — 包括云计算服务、数据中心、内容分发网络、数字市场、在线搜索引擎、社交网络平台、托管服务提供者及托管安全服务提供者。

德国的国内实施通过 NIS2 实施与网络安全强化法 (NIS2UmsuCG) 进行，对《BSI 法》(BSI-Gesetz) 及相关法规进行修订。欧盟法上的国内转化截止日为 2024 年 10 月 17 日；德国国内立法程序处于推进阶段，预计将在国内立法完成期间生效。

NIS2 将欧洲网络安全从"行业专项性叠加"转变为"横向性义务集合" — 假定每一家中型数字运营者均落入适用范围，除非其能够主动证明相反。

II. 适用对象：核心实体、重要实体、规模门槛

NIS2 区分两类受规制实体，二者均触发实质性义务：核心实体 (essential entities) — 附录一所列高度关键性行业，包括能源、运输、银行、医疗、饮用水、数字基础设施及 ICT 服务管理；重要实体 (important entities) — 附录二所列其他关键性行业，包括数字提供者、邮政服务、特定关键产品制造及科研。划分主要不取决于行业本身，而取决于行业与企业规模的组合。

核心实体 (附录一)

高度关键性行业的大型实体。通常 > 250 名员工，或营业额 > 5,000 万欧元，或资产负债表 > 4,300 万欧元。

能源、运输、银行、金融
医疗、饮用水及废水
数字基础设施 (DNS、TLD、云、数据中心、CDN)
ICT 服务管理 (MSP/MSSP)
太空、公共行政

重要实体 (附录二)

其他关键性行业的中型实体，及附录一门槛未完全满足的数字与制造行业的大中型实体。

邮政及快递服务
废物管理、化工、食品生产
医疗器械、计算机、电子产品制造
数字提供者 (市场、搜索引擎、社交网络)
科研机构

某些实体不论规模均落入适用范围 — 例如公共电子通信网络提供者、信任服务提供者、域名注册服务。对在德国提供服务的科技企业而言，判定取决于：(i) 行业分类；(ii) 是否满足规模门槛；(iii) 是否有任何与规模无关的判定标准适用。由于判定具有多层次性与事实依赖性，BSI 已发布正式的适用对象判定工具，对该分析过程进行了结构化指引。

NIS2 涵盖行业 — 由 NIS1 的 7 个增至 18 个

24h

早期警告通知截止时间 — NIS2 第 23 条

€10m

核心实体最高行政罚款 (或全球营业额 2%)

III. 核心义务：风险管理与事件报告

NIS2 第 21 条要求受规制实体实施适当且相称的技术、运营及组织性网络安全风险管理措施。这并非通用的"现代技术水准"条款 — 该条规定了每一家核心实体与重要实体均须实施的十类最低措施清单。

NIS2 第 21 条 — 最低风险管理措施

风险分析与信息系统安全政策
事件处理
业务连续性与危机管理
供应链安全 (含供应商及服务提供者关系)
网络与信息系统的获取、开发与维护中的安全
评估网络安全措施有效性的政策
基础网络卫生实践与网络安全培训
密码学政策与程序，及加密 (如适用)
人力资源安全、访问控制政策与资产管理
多因素或持续认证、安全通信、安全语音/视频/文本通信、安全紧急通信系统的使用

NIS2 第 23 条规定了多阶段事件报告制度。重大事件须向国家级计算机安全事件应急响应小组 (CSIRT) — 在德国为 BSI — 分三阶段报告：(i) 早期警告，于知悉事件后 24 小时内；(ii) 事件通知，于 72 小时内，含初步评估与适用情形下的入侵指标；(iii) 最终报告，于 1 个月内，含详细描述与所采取的缓解措施。这些时间表非常严格，并不等待内部取证分析的完成。

IV. 执法机制与高管责任

NIS2 项下的执法机制远比 NIS1 严格。NIS2 第 32 条赋予主管机关 — 在德国为 BSI — 广泛的监督权力，包括现场检查、定向审计、临时审计、信息请求，及发布约束性整改命令的权力。NIS2 第 34 条建立行政罚款框架：核心实体最高1,000 万欧元或上一财年全球年营业额的 2%，以较高者为准；重要实体700 万欧元或全球年营业额 1.4%。

NIS2 第 20 条引入了一个有时被忽视但值得特别关注的要点：管理机构责任。核心实体与重要实体的管理机构须批准网络安全风险管理措施、监督其实施，并可因实体违反第 21 条义务而承担责任。该条款明确要求管理机构成员接受培训，以获得识别风险与评估网络安全实践的足够知识。

NIS2 是首个将欧盟网络安全义务延伸至公司治理与高管个人层级的监管框架。管理层培训与批准并非形式 — 它们是履行义务的法律前提。

V. 实务第一步：BSI 判定工具

鉴于适用范围分析的结构性复杂性 — 多个附录、规模门槛、与规模无关的判定标准、行业专项例外 — 任何在德国本地或自境外向德国提供服务的科技企业，最有效的第一步是结构化的适用对象判定。

BSI 官方工具

Betroffenheitsprüfung NIS-2 — 官方适用对象判定

德国联邦信息安全办公室 (BSI) 已发布官方在线判定工具，逐步引导企业完成适用范围分析。该工具识别给定实体是否落入德国 NIS2 实施范围以及具体类别 — 涵盖附录一核心实体标准、附录二重要实体标准、规模门槛及与规模无关的判定规则。是任何 NIS2 暴露评估的权威起点。

访问 BSI NIS-2 判定工具 →

该工具生成初步判定结果，但在边缘案例中并不替代法律定性 — 例如实体跨多个行业运营、关联实体合并适用、或 NIS2 第 26 条项下的跨境服务提供规则要求对非德国/非欧盟提供者进行额外分析。在此类情形下，工具输出是起点；将事实与法定框架进行法律定性是下一步。

VI. 科技企业现在应做什么

NIS2 的结构化响应包含四个层面，可并行而非依次执行：

1. 适用范围判定。判定实体 (及任何在 NIS2 项下合并的关联实体) 是否落入德国国内实施的范围。BSI 工具提供官方路径；法律定性解决模糊情形。

2. 差距分析。对照第 21 条最低措施清单，识别十类措施中已实施、部分实施与缺失的部分。该评估须文件化 — 文件本身即合规义务的组成部分。

3. 事件报告就绪度。建立并测试满足 24 小时 / 72 小时 / 1 个月报告节奏所需的内部流程。多数为 NIS1 或单纯内部通知设计的事件响应工作流并不满足 NIS2 节奏。

4. 治理与管理机构参与。将网络安全风险管理框架提交董事会或管理机构层级批准，并组织所需培训。文件化批准与培训交付 — 二者均为任何监督检查中的首批审查项。

自境外向德国提供服务的科技企业应额外考虑与其他欧盟数字监管制度的相互作用：NIS2 与《数字服务法》(DSA)、《AI 规则》、《数据法》(Data Act)、GDPR，以及金融实体专属制度 DORA 同时适用。跨制度协调分析 — 识别事件报告、风险管理与监督制度的重合 — 是避免重复合规支出的最有效路径。

Kanzlei Theo Funk — NIS2 与欧盟网络安全合规咨询

西奥·丰克律师为国际科技企业提供 NIS2 适用范围判定、对照第 21 条风险管理义务的差距分析、事件报告就绪度，及与 DSA、AI 规则、GDPR、DORA 的跨制度协调咨询。如 BSI 适用对象判定结果显示有适用范围或边缘暴露情形，本所提供将判定结果转化为运营性合规态势的法律定性与结构化响应框架。欢迎预约初步咨询，以审阅 BSI 工具输出并界定委任范围。

联系我们 → china@kanzlei-theofunk.de