西班牙实施NIS2指令:现状、义务和挑战

最后更新: 12月7 2025
作者: 泰克诺数码
  • NIS2 指令扩大了行业和义务实体,加强了治理,并强化了监管和制裁制度。
  • 西班牙在通过未来的网络安全协调和治理法进行转化方面落后于其他国家。
  • 重要实体必须任命一名保安人员,全面管理风险,并在非常严格的期限内报告事件。
  • ENS、新的国家网络安全中心和 CSIRT 生态系统使西班牙在技术上处于稳固的地位,但最大的挑战在于成千上万的中小企业如何适应。

西班牙实施欧洲NIS2指令

La 欧洲指令NIS2已完全取消了 网络安全形势 在欧洲,尤其是在西班牙,这不仅仅是一项新的法规,而是规则的改变,它影响着企业和公共管理部门管理数字风险、报告事件以及与当局协调的方式。

与此同时 西班牙正在稳步推进,但显然已经落后于计划。 就其转化而言:官方截止日期为2024年10月,但时至今日,未来的《网络安全协调与治理法》仍在议会审议中。这种情况造成了一种略显特殊的局面:该指令已在欧洲层面具有约束力,但最终的国家法律框架尚未获得批准,这使得许多实体既有道义上的责任,也有战略上的责任,需要做好准备并评估自身情况。 评估你的情况 以及缺乏完全适用的法律。

什么是 NIS2 指令?它为何会改变游戏规则?

指令 (EU) 2022/2555,又称 NIS2它取代了原有的网络信息系统指令(NIS指令),旨在为欧盟范围内的网络和信息系统建立高水平的共同网络安全标准。其目的是加强…… 抵御网络事件的能力 这可能会影响基本服务以及社会和经济的正常运转。

与它的前身不同, NIS2显著扩大了受影响的行业和实体数量。不仅包括传统的关键基础设施(能源、交通、水、银行或卫生),还包括公共管理、数字基础设施、邮政和快递服务、废物管理、先进制造业或食品生产和分销等领域。

该指令确立了 统一的最低网络安全要求框架 对于整个欧盟而言,该协议涵盖风险管理、治理、供应链保护、业务连续性和早期事件报告等措施。它还加强了监管和制裁机制,并明确提高了高级管理层的问责制。

另一个相关的新进展是明确的承诺 成员国之间的合作以及创建或加强 事件响应团队 (CSIRT) 各国机构均具备在欧洲层面协调应对严重危机的能力。欧盟网络安全局 (ENISA) 在这一体系中发挥着关键作用,支持各国制定网络安全战略并推广最佳实践。

金融业不在NIS2的适用范围内。 本质上,DORA法规作为特别法被优先适用。即便如此,DORA所秉持的数字化运营韧性逻辑与NIS2理念完全一致。

西班牙NIS2基因转座的现状

西班牙NIS2转座的现状

NIS2 指令 该规定于2023年1月16日生效。 并将2024年10月17日定为该条约转化实施的最后期限。一年后,西班牙仍未完成将其正式纳入国内法律体系,使其跻身于进展缓慢的国家之列。

由于这一延误, 欧盟委员会已启动侵权诉讼程序。 针对众多成员国。2025年5月7日,欧盟委员会向包括西班牙在内的19个国家发出了一份附有理由的意见书,要求它们在两个月内通知欧盟委员会其已全面落实该指令,并警告称,如果未采取必要措施,欧盟委员会可能会将此事提交欧盟法院。

在西班牙的案例中,主要转折点发生在 2025年1月14日,部长会议批准了《网络安全协调与治理法草案》。该标准将作为将 NIS2 转化为国内法律并重组国家网络安全治理模式的基本工具。

初步草案经批准后,提交给了 2025年1月16日至2月10日期间举行公开听证会和信息发布会允许公民、企业、协会和其他组织提交意见和改进建议。随后,部际技术工作组对文本进行了审查,并根据收到的反馈意见(包括来自信息安全管理体系论坛等专家团体的反馈意见)对草案进行了修订。

即便如此,尽管有政治推动, 该法案仍在议会审议过程中。有人提议在 11 月左右将其作为法案提交部长会议批准,并可能在次年 1 月底或 2 月初获得议会批准,但现实情况是,直到 2025 年底,西班牙仍然没有一部完全适用的国家法律来转化 NIS2。

网络安全协调与治理法草案

网络安全协调与治理法案

西班牙政府批准的初步草案 这是内政部、国防部和数字化转型与公共管理部联合发起的一项倡议。其功能有两方面:一方面,是转化 NIS2 指令;另一方面,是规范国家层面的网络安全协调与治理,加强对网络和信息系统的保护,防止网络威胁影响关键基础设施和基本服务。

未来的法律将适用于 在能源、交通、银行和金融市场基础设施、医疗卫生、水资源管理、数字基础设施、技术服务及其他关键领域运营的公共和私营实体它明确包括 域名注册例如 Dominios.es(由 Red.es 管理),由于其在数字生态系统稳定中的战略作用,现在承担了新的网络安全义务。

  Enpass、LastPass 和 KeePass:真正的区别以及该如何选择

总的来说,初步草案 它符合NIS2指令的主要义务。 它阐明了四个关键轴心:加强治理和高级管理责任、一般安全风险管理措施、指定信息安全官以及明确的事件报告义务。

此外,西班牙的法规还引入了一个重要的组织要素: 国家网络安全中心(CNC)的创建该机构将作为网络和信息系统保护的协调中心,协调不同控制机构(内政部、国防部和数字化转型部)之间的标准,促进事件响应小组(CSIRT)的发展,并推动国家网络安全生态系统更加统一的愿景。

在公众咨询阶段, 信息安全管理体系论坛等组织做出了相关贡献。这些提案包括加强信息安全官的作用,将该职位从《私人安全法》中分离出来,并针对不合规实体(即公共行政机构,由于其性质特殊,无法受到经济处罚)建立专门的应对机制。提案中还包括允许发布公开警告,这符合《个人数据保护和数字权利保障组织法》(LOPDGDD)关于数据保护的规定。

受NIS2影响的行业和实体类型

NIS2 将受该指令约束的组织归类为 重要实体 o 重要实体该标准主要依据企业所属行业和规模(中型和大型企业,但关键性方面可能存在例外)。它通常适用于在欧盟境内开展业务的公共或私营实体,但成员国若认定规模较小的组织因其相关性而具有重要意义,则也可将其纳入其中。

高危行业包含在内 附件一 NIS2 中列出了其他关键行业,而其他关键行业则列于…… 附件二在西班牙,新增行业数量略低于其他国家,因为旧版国家基础设施标准(NIS)的转换已与涵盖12个行业的2011年第8号关键基础设施保护法相一致。即便如此,NIS2仍纳入了新的领域,例如…… 邮政和快递服务、废物管理或各种制造业类别并进一步细分其他概念,例如区分饮用水和废水。

涉及的行业和实体示例,他们脱颖而出:

  • 动力电力供应公司、输配电网络运营商、生产商、NEMO运营商、电力市场参与者、充电桩运营商;天然气、石油和氢气网络运营商和运营商。
  • 运输航空公司、机场运营商、空中交通管制部门、铁路基础设施管理部门、铁路公司、海运和内河运输实体、港口运营商、船舶交通服务部门、道路管理部门和智能交通系统运营商。
  • 银行和金融市场基础设施:信贷机构和交易中心的管理者、中央对手方,但 DORA 作为一种特定的行业标准,具有特殊意义。
  • 卫生部门:医疗保健提供者、欧盟参考实验室、药品研发实体、基础和特种药品生产商以及公共卫生紧急情况下基本医疗器械生产商。
  • 饮用水和废水饮用水供应商和分销商,以及负责收集、处置和处理城市、生活或工业废水的公司。
  • 数字基础设施互联网交换中心 (IXP) 提供商、DNS 服务、顶级域名注册管理机构、云计算服务提供商、数据中心、内容分发网络 (CDN)、可信服务提供商、公共电子通信网络提供商和公共电子通信服务。
  • 企业对企业信息通信技术服务管理:托管服务提供商和托管安全服务提供商,对整个技术供应链产生直接影响。
  • 公共行政:国家总务机关,以及在某些情况下,区域和地方机关,当其服务中断可能对重要的社会或经济活动产生重大影响时。
  • 邮政和快递服务:负责邮件收发、分拣、运输和配送的供应商。
  • 残留物:致力于收集、运输、回收和处置废物(包括垃圾填埋场)的公司。
  • 化学制品:制造、生产和销售化学物质和混合物,以及用这些物质和混合物生产制品的公司。
  • 食品生产、加工和分销:致力于批发分销和大规模工业化生产加工的食品公司。
  • 先进制造:保健产品和体外诊断试剂制造商,计算机、电子和光学产品、电气设备、机械和设备、机动车辆和其他运输设备的制造商。
  • 太空领域:为提供空间服务而运营地面基础设施的运营商,但不包括所有权或管理权属于欧盟或在其空间计划框架内属于第三方的运营商。

在所有这些领域, 大型实体通常被归类为必要实体。除非另有特别规定,中型企业通常都比较重要。小型和微型企业通常由于规模较小而被排除在外,但如果其重要性足以证明其重要性,则也可能被纳入考虑范围。

治理和高级管理职责

NIS2 和西班牙初步草案中最显著的变化之一是对以下方面的强调: 网络安全治理及管理机构的直接责任草案第 14 条巩固了这一理念:网络安全不再仅仅是一个技术问题,而是一个最高级别的战略问题。

高层管理人员必须 批准并监督网络安全风险管理措施的实施确保这些措施与组织的实际情况和已识别的风险相称。此外,它还规定,一旦发生违规行为,管理机构将承担最终责任,这与加强后的制裁机制相衔接。

  2024 年最佳防病毒软件:完整且更新的指南

另一个关键点是 管理层成员定期接受网络安全培训仅仅授权是不够的:领导者必须接受培训,才能了解风险、做出明智的决策,并支持在整个组织内推广强大的安全文化。反过来,他们也需要为其他员工推广定期培训计划。

NIS2 第 20 条强化了这一观点,明确要求管理机构意识到自身的义务,批准相关措施,确保措施的实施,并在极端情况下能够做出回应,即使会带来个人后果(例如在某些情况下可能进行职能分离)。

在这方面, 管理层与首席信息安全官(CISO 或同等职位)之间的关系 关键在于:需要建立基于客观风险和合规标准的流畅、持续的对话。

NIS2 要求的风险管理措施

西班牙草案第15条规定: 网络安全风险管理措施必须以国家、欧洲和国际技术标准为基础。至少应整合 NIS2 第 21 条规定的要求,以及实施条例 (EU) 2024/2690 中制定的要求。

其中 重要实体必须采取的措施,他们脱颖而出:

  • 安全策略和风险分析 信息系统,并定期进行审查。
  • 事件管理包括明确的检测、响应和恢复程序。
  • 业务连续性、备份、灾难恢复和危机管理确保运营韧性。
  • 供应链安全 以及与供应商和直接服务提供商的关系,这涉及施加合同要求以及审批和审计控制。
  • 漏洞管理 在网络和信息系统的获取、开发和维护方面,包括补丁和更新。
  • 评估网络安全措施有效性的政策通过审计、指标和定期审查。
  • 基本的网络安全卫生习惯和培训 员工,根据不同情况进行调整。
  • 密码学和加密策略 保证信息的保密性和完整性。
  • 人力资源安全访问控制和资产管理策略。
  • 多因素或持续身份验证保护语音通信和紧急通信。

在西班牙,其中许多措施已经到位。 国家安全局 (ENS)这对公共管理部门及其供应商尤为重要。事实上,国家数字管理署和国家密码中心已向欧盟展示了ENS与NIS2的高度一致性,强调了ENS作为欧洲基准的潜力及其对国家数字生态系统韧性的贡献。

然而,NIS2 它提高了更广泛公司(包括受规模或关键性影响的中小企业)的准入门槛。对于成熟的组织而言,这些要求中的许多都符合现有的实践;对于成千上万没有网络安全传统的公司而言,这些要求代表着成熟度、资源和内部组织方面的一次重大飞跃。

首席信息安全官(CISO)及其职能

草案第16条规定: 所有重要实体都必须任命一名信息安全官。该模型借鉴了西班牙之前在原始 NIS 方面的经验,成为协调与系统和数据保护相关的一切事务的神经中枢。

其主要功能之一 分别是:

  • 制定并实施组织的网络安全战略与风险、业务和监管义务相一致。
  • 评估、缓解并持续审查风险保持对实体风险敞口的最新了解。
  • 管理必要的证据、政策和记录,以证明合规性 履行NIS2和国家法规规定的义务。
  • 倡导网络安全文化 与高层管理人员协调,对全体员工进行培训并提高其意识。
  • 确保遵守事件报告义务协调向主管当局提交报告。

西班牙是最早一批……的国家之一 明确介绍首席信息安全官 (CISO) 的角色。 在对原NIS进行转换的过程中,经验表明,相当一部分关键运营商从未正式指定首席信息安全官(CISO)这一角色,即便如此,他们也未受到处罚。NIS2结合未来的西班牙法律和更严格的制裁机制,旨在纠正这一漏洞,并赋予CISO更强大、更受认可的地位。

展望未来, 义务实体数量大幅增加目前关键运营机构的数量约为 400 家,预计未来将增至 5.000 至 50.000 家。这意味着对网络安全专业人员(包括内部人员和外包人员)的需求将大幅增长,尤其是对于此前从未设立过此类岗位的中小企业而言。

事件报告和漏洞管理义务

NIS2 指令将以下方面置于至高重要地位: 及早通报具有重大影响的安全事件西班牙法律草案第 18 条发展了这项义务,使其与指令规定的时间和内容相一致。

当一个实体遭受 可能造成严重混乱的事件 如果其在提供服务过程中对自身或第三方造成重大损害,则必须遵守以下报告制度:

  • 初始通知:在发现事件后最多 24 小时内,提供可获得的基本信息。
  • 中期报告:在发现后最多 72 小时内,对影响和严重程度进行初步评估。
  • 最终通报自首次通知之日起最多一个月内,应详细描述事件、其影响、严重程度以及所采取的措施。
  QNodeOS:第一个量子网络操作系统

此外,NIS2 加强漏洞管理和沟通这不仅仅是报道已经发生的事件,而且也是关于 分享有关漏洞的相关信息 这可能会产生系统性影响,有助于协调国家和欧洲层面的应对措施。

在西班牙,应急响应生态系统依赖于 三个主要参考CSIRTCCN-CERT(面向公共管理部门、战略企业和机密系统)、INCIBE-CERT(面向私营部门和公民)以及MCCE(面向国防部门)都是该网络的一部分。此外,还有csirt.es网络,该网络汇集了数十个专业团队,并与FIRST等国际网络以及国家安全运营中心网络(National SOC Network)相连。

重要实体必须 请向相关的CSIRT(犯罪现场调查小组)报告您的事件。根据行业法规和未来国家网络安全中心的指导方针,该中心将作为协调机构和联络机构,与欧盟网络安全局 (ENISA) 和其他成员国进行沟通。

制裁机制和欧洲压力

NIS2 指令确立了一项 明显比前国家制裁制度更为严厉的制裁制度对于重要实体,最严重的违规行为可处以最高 10 万欧元或集团全球营业额 2% 的罚款;而对于重要实体,罚款可高达 7 万欧元或全球营业额 1,4%。

在这些时刻, 目前西班牙尚未出现任何基于NIS2的制裁措施。部分原因是相关转化法尚未生效,监管机构也尚未正式指定。在其他成员国,转化工作也只是近期才开始,因此现在观察广泛的执法行动还为时尚早。

即便如此,专家们一致认为: 当法国或德国等国开始实施制裁时西班牙若想在欧洲层面保持协调性和信誉,就绝不能落后。欧盟委员会通过侵权程序和提出有理有据的意见来施压,其目的正是为了实现这一目标。

除了罚款金额之外,NIS2 还首次以如此明确的方式引入了…… 网络安全高级管理职责管理层与首席信息安全官 (CISO) 之间的脱节已不再可行:管理机构必须参与其中,了解情况,并做出适当的决策。

根据ISMS论坛等机构的专家的说法,最大的挑战在于…… 中小企业网络将在不完全知情的情况下受到NIS2的约束。许多企业缺乏足够的网络安全资源、流程或文化,并将受到法律和供应链中大客户的双重“推动”,这些大客户将不得不要求企业提供合同保证以遵守该指令。

支持各项倡议、研究以及高等师范学院的作用。

与立法进程同步进行 西班牙正在推进技术和知识创新举措 为了促进企业结构适应 NIS2,例如,ISMS 论坛正在马德里康普顿斯大学网络安全和数据保护特设教席的支持下,开展一项关于 NIS2 对西班牙企业影响的研究。

本项目旨在实现双重目标: 建立一份受NIS2影响的公司非官方普查报告 并评估其网络安全成熟度。第一阶段将利用综合数据库(商业登记、DIRCE/INE、行业数据库等)编制普查数据,预计结果将于2025年11月左右公布。第二阶段将向具有代表性的企业样本(目标1.000份回复)发送简短问卷,以评估其准备程度,预计结果将于2026年5月公布。

分析将包括 按行业、规模、地理分布和实体类型(必要或重要)进行细分将结论汇总成一份执行报告,不包含个别数据,这份报告既适用于公司,也适用于监管机构。

与此同时,信息安全管理体系论坛等组织和各种公共机构也参与其中。 在全国范围内开展宣传活动尤其关注中小企业。目标是“宣传”,清楚地解释NIS2的含义,为什么拥有首席信息安全官(CISO)(内部或外部)至关重要,如何制定基本的网络安全策略,以及如何为未来的法律及其配套法规做好准备。

严格来说,从监管角度而言, 国家安全计划在欧洲被誉为西班牙的一大优势。国家数字管理署和国家密码中心(CCN)已与NIS2合作组分享了国家安全框架(ENS)的实施经验、合规概况及其与欧盟2019/881号条例(网络安全法)欧洲认证体系的整合情况。此次介绍获得了积极反响,进一步巩固了西班牙作为积极致力于构建强大、协调和统一的网络安全体系的国家形象。

在这方面, 西班牙在适应 NIS2 的过程中,面临着时间紧迫、ENS 等仪器的技术可靠性以及纳入数千个新实体的巨大挑战等多重压力。 迈向先进的网络安全文化。那些走在前列、进行形势分析并开始使其实践与该指令保持一致的组织,将更有能力最大限度地降低风险,避免未来的处罚,并展现出对网络威胁积极主动和成熟的应对姿态。

网络安全风险管理
相关文章:
网络安全风险管理:如何保证数据安全