NIS2合规检查清单：为审计做好准备的10个关键步骤

NIS2不测试你的纸质文件。它测试你的就绪状态——而这在审计开始前很久就已启动。 当审计来临时，审计员不仅仅检查你的政策文件是否整洁——我们检查当无人监督时，你的系统如何运行。 这意味着需要在端点和服务器上记录并保留遥测数据，记录与真实工件（如取证镜像、SIEM事件日志和变更单）相关联的事件时间线。我们检查供应商控制措施是否经过测试、合同条款是否包含网络安全规定，以及董事会级别的会议纪要是否反映了实际的安全决策。 这就是为什么，如果你想证明自己是合规的，首先要建立这些控制措施，然后证明它们。 为了帮助你开始，我准备了一份清单，将分解10个关键步骤，说明你如何为那种程度的严格审查做好准备。那么，让我们踏上这条合规与操作真相相结合的道路吧。

为什么提前为NIS2审计做准备很重要？

如果你在审计前几周才开始准备NIS2合规工作，那么你已经落后了。 审计不仅仅是检查存在什么——它们要验证什么在一段时间内持续有效运行。 为此，审计员需要历史证据：日志保留、过去的事件报告、供应商评估、访问审查以及风险决策记录。这些不会在一夜之间出现；它们需要数月持续一致的运营。 提前准备给你时间让你的控制措施生成它们所需的证据，例如，一个新部署的SIEM系统如果没有可供审查的事件历史记录，就无法显示其价值。 同样适用于漏洞管理，一份扫描报告是不够的。审计员希望看到重复发生的检测和修复周期，以显示控制的模式。这也有助于发现隐性的差距。 当组织起步太晚时，他们常常发现其监控工具没有正确记录日志，或者其备份流程未经过验证。当这些问题被注意到时，往往在审计前已没有足够的时间来修复它们并留下操作历史记录。 提前开始可以让你的环境构建一个审计跟踪记录，这个记录反映的是连续性，而非临时的合规。这正是审计就绪状态与临时抱佛脚的区别所在。

10个步骤助你为NIS2审计做好准备

步骤 1 – 识别你的组织是否属于NIS2的范畴

在任何NIS2准备工作开始之前，首先要确定你的组织是否在其管辖范围内，因为整个合规之旅都取决于该分类。 NIS2中有两类主要受监管实体：

• 基本实体（附件I）
• 重要实体（附件II）

基本实体（附件I）

这些部门的组织被认为对公共安全、国家安全或经济至关重要。

1. 能源
   • 电力（发电、传输、配电）
   • 区域供热和供冷
   • 石油（生产、精炼和加工设施、储存和输送）
   • 天然气（生产、液化、储存、输送、分销、LNG设施）
2. 交通
   • 航空运输（航空公司、机场、空中交通管制）
   • 铁路运输（基础设施管理者、运营商）
   • 水路运输（港口、航运公司、交通管理）
   • 公路运输（交通管理、智能交通系统）
3. 银行业
   • 信贷机构
4. 金融市场基础设施
   • 中央对手方（CCP）
   • 中央证券存管机构（CSD）
5. 医疗健康
   • 医疗保健提供者（医院、诊所）
   • 健康领域的实验室和研究机构
   • 关键医疗设备的制造商
6. 饮用水
   • 饮用水的供应商和分销商
7. 废水
   • 废水处理和管理运营商
8. 数字基础设施
   • 互联网交换点（IXP）
   • DNS服务提供商
   • 顶级域名（TLD）注册管理机构
   • 云计算服务提供商
   • 数据中心服务
   • 内容分发网络（CDN）
   • 电子通信网络和服务提供商。
9. 公共管理
   • 中央和地区政府机构、部门和当局
10. 太空
    • 对其他部门服务至关重要的天基和地基基础设施运营商

重要实体（附件II）

这些实体不像附件I中的实体那样直接关键，但对经济稳定和社会功能仍然至关重要。

1. 邮政和快递服务
   • 处理邮件和包裹递送的运营商
2. 废物管理
   • 废物收集、处理和处置服务
3. 制造业
   • 药品、化学品、医疗设备、电气设备、机械、机动车辆和航空航天部件的生产
4. 食品生产、加工和分销
   • 对食品供应连续性至关重要的生产者、加工商和供应商
5. 数字提供商和平台
   • 在线市场
   • 在线搜索引擎
   • 社交网络平台
6. 研究机构
   • 在关键技术或工业领域进行研究的公共或私人机构。

非欧盟组织 即使你的公司总部设在欧盟以外，如果符合以下情况，你仍可能受NIS2管辖：

• 你向总部位于欧盟的基本或重要实体提供数字或托管服务。
• 你托管或处理支持欧盟受监管运营的系统。
• 你是受监管实体供应链的一部分（例如，云托管、支付网关或托管安全服务）。

快速NIS2范畴自查

• 你是否在上述任何行业运营或提供支持？
• 你的组织是否向欧盟客户提供关键的IT、OT或数字服务？
• 你的运营中断是否会直接影响欧盟公民、基础设施或基本服务？

如果答案是肯定的，NIS2适用——无论是直接适用还是通过合同强制执行。尽早确定你的定位，可以让你在审计阶段开始之前规划合规策略、分配责任并开始收集证据。

步骤 2 – 理解NIS2的核心要求

组织有时在审计中失败，不是因为缺乏控制措施，而是因为他们不理解该指令真正的要求是什么。 该指令不仅仅是要求你“保护你的系统”。它定义了问责制、风险管理、报告和监督必须如何运作——以及它们每一项如何与可衡量的证据相关联。

1. 治理与问责

法律明确规定，董事会成员必须：

• 批准根据第21条实施的网络安全风险管理措施。
• 监督这些措施的实施并确保其有效性。
• 接受网络安全培训，以获得识别风险和评估网络安全实践所需的知识和技能。
• 鼓励并为员工提供定期培训，以确保其了解网络安全风险和职责。
• 承认问责制，因为管理机构可能因违反第21条而承担责任。

2. 网络安全风险管理与控制

每个实体必须实施与其风险暴露程度相称的基于风险的安全措施：

• 记录在案的安全和风险分析政策。
• 事件处理计划和业务连续性计划。
• 安全软件开发和变更控制。
• 访问控制、加密和漏洞管理。
• 定期渗透测试和安全审计。

3. 事件报告与通报

根据第23条，基本和重要实体必须在规定的时间范围内报告对其服务产生重大影响的事件：

• 24小时： 早期预警。
• 72小时： 包含影响和根本原因的详细报告。
• 1个月： 包含纠正措施的最终报告。

4. 供应链与服务提供商安全

根据第21(2)(d)条，你有责任确保你的供应商、承包商和服务提供商遵循足够的网络安全实践。 这意味着：

• 在引入供应商前评估其风险。
• 在合同中包含安全要求。
• 监控供应商绩效和事件通知。
• 确保第三方访问得到安全管理。

审计提示： 保留供应商风险登记册和已签署的安全条款作为合规证明。

步骤 3 – 进行NIS2差距评估

既然我们已经了解了NIS2的所有核心要求，是时候将这种理解转化为实际的东西了——在审计前确定你的组织处于什么位置以及缺少什么。 差距评估有助于识别缺失的控制措施、薄弱流程和未记录的做法——这些最终都会被审计员标记出来。

如何使其达到审计就绪状态：

• 将你现有的政策、程序和技术措施与第21条控制措施以及你的实体分类（基本或重要）进行映射。
• 识别治理、事件处理、业务连续性、供应链管理和报告义务方面的差距。
• 记录每个差距并附上风险评级，并确定补救时间表。
• 尽早让管理层参与——他们对这些差距的批准和优先排序将体现问责制。
• 利用评估结果来构建你的合规路线图——展示如何在审计前解决已识别的弱点。

一次恰当的差距评估可以将合规工作从猜测转变为行动计划。

步骤 4 – 定义治理与问责结构

NIS2直接规定管理层需对网络安全失败承担责任——因此必须明确界定并记录问责制。

关键行动：

• 组建一个包含董事会代表的网络治理委员会。
• 指派一名负责合规执行的指定安全官（DSO）或首席信息安全官（CISO）（你也可以选择虚拟CISO）。
• 将网络安全目标纳入企业风险管理和年度战略计划。
• 建立从技术团队到管理层的报告线。
• 记录会议纪要、决策和政策批准——这些是审计证据。

步骤 5 – 构建符合NIS2要求的风险管理框架

第21条要求根据风险暴露程度，实施技术、运营和组织措施。

重点关注领域：

• 每年（或在重大变更后）进行企业风险评估。
• 识别影响基本运营的关键服务和资产。
• 实施诸如访问管理、加密、备份、网络监控和补丁管理等控制措施。
• 定义风险接受政策——风险何时是可容忍的，何时必须进行缓解？
• 将每个风险与缓解证据（例如，测试结果、批准记录、日志）关联起来。

步骤 6 – 加强事件检测与响应

NIS2审计不仅检查政策，还要检查你检测和响应事件的速度及有效性。

关键行动：

• 制定事件分类标准（轻微、重大、严重）。
• 确保24/7监控或外包安全运营中心（SOC）覆盖。
• 建立检测、升级和遏制流程。
• 与国家计算机安全事件响应小组（CSIRT）报告渠道整合。
• 进行桌面演练，并在事后评估更新行动手册。

步骤 7 – 保护供应链

我知道我已在步骤2中提到过供应链安全，但让我们详细回顾一下，因为第21(2)(d)条和第22条使得第三方风险管理成为你网络安全框架的强制性组成部分。

关键行动：

• 创建经批准的供应商列表并分配风险等级。
• 在供应商合同中包含网络安全条款（服务级别协议SLA、报告职责、审计权利）。
• 在引入供应商前进行安全尽职调查。
• 持续监控供应商并要求其进行违规通知。
• 为审计员记录第三方审查的证据。

步骤 8 – 实施业务连续性与危机管理计划

审计员将检查你在中断期间维持运营的能力。

关键行动：

• 维护一个经过测试的业务连续性计划（BCP）和灾难恢复计划（DRP）。
• 每年进行服务中断和网络攻击模拟演练。
• 为关键系统定义恢复时间目标（RTO）和恢复点目标（RPO）。
• 对员工进行危机角色和升级流程培训。
• 安全存储备份——加密并异地存放。

步骤 9 – 定期进行安全测试与内部审计

NIS2合规不是一次性的（事实上，没有任何合规是一次性的），而是要通过定期测试和审计来保持持续保证。

关键行动：

• 安排年度渗透测试和漏洞评估（如果可能，最好是通过CREST认证的）。
• 每季度审计安全政策、日志和培训合规性。
• 在纠正措施登记册中跟踪审计发现。
• 通过重新测试验证风险缓解的有效性。
• 保留审计证据供监管审查。

步骤 10 – 准备文档与审计证据

文档是你的审计基础——没有它，即使再强的控制措施也不算数。

需保留的关键证据：

• 治理文件（政策批准记录、董事会培训日志）。
• 风险评估和缓解计划。
• 事件报告和沟通日志。
• 供应商尽职调查记录。
• 安全测试结果和补救证据。
• 内部审计报告和改进措施。

需要帮助吗？

如果你已经读到这里，但仍然不知道从哪里开始，别担心，我们知道NIS2合规不是一朝一夕就能完成的事情。它需要时间、协调，以及对你组织真正重要的事情有清晰的认识——而不仅仅是指令在纸面上写的内容。 这正是我们的用武之地。在VISTA InfoSec，我们一直帮助各行各业的组织做好真正的审计准备——不仅仅是为了合规而合规。我们专注于构建真实的、可运行的、经得起审查的系统，因为这才是审计员真正寻找的东西。 此外，作为一家CREST认证的网络安全公司，我们还具备满足NIS2期望所需的技术实力——从漏洞评估和渗透测试（VAPT）到红队测试和其他技术评估，这些都能证明你的系统实际上是安全的，而不仅仅是在文件上记录为安全。 如果你人手不足或领导时间有限，我们的虚拟CISO专家可以介入，帮助你规划、确定优先级并保持进度——从治理到风险管理再到实施正确的技术控制，而无需承担全职的开销。 请立即填写“立即咨询”表格或直接通过我们注册的联系电话与我们联系，安排一次快速的免费咨询。