NIS2 指令合規輔導

NIS2（EU 2022/2555）是歐盟第二代網路與資訊系統安全指令，於 2024 年 10 月要求各成員國完成轉化立法。相較於 NIS1，NIS2 大幅擴大適用範圍（從 7 個產業擴展至 18 個產業、涵蓋約 16 萬家歐盟實體）、提高最低資安要求、引入高管個人責任制度，並統一事件通報時限為 24 小時初報 / 72 小時正式通報。

NIS2 適用於在歐盟提供服務的組織，不限於歐盟設立的企業。依 Article 2 + Article 3（Directive (EU) 2022/2555）：【關鍵實體 Essential Entity】屬 Annex I 11 個高度關鍵產業，且員工 ≥250 人，同時年營收 >€50M 或資產負債表 >€43M；或無規模門檻的合格信任服務提供商、TLD 登記機構、DNS 服務提供商。受事前主動監管。【重要實體 Important Entity】屬 Annex I 或 Annex II 18 個產業，且員工 ≥50 人，同時年營收 >€10M 或資產負債表 >€10M。受事後被動監管。注意：規模門檻為員工數 AND 營收/資產兩條件同時成立，非 OR。即使未直接適用，若台灣企業是歐盟關鍵實體的供應商，仍會透過供應鏈安全條款（Article 21(2)(d)）受到間接管制。

NIS2 Article 21 要求的 10 項最低措施包括：（1）資安政策與風險分析；（2）事件處理；（3）業務持續與危機管理；（4）供應鏈安全；（5）網路系統採購開發安全；（6）弱點管理與揭露；（7）資安風險管理效能評估；（8）基本資安衛生（MFA、加密）；（9）資安培訓與意識；（10）人力資源安全與存取控制。

NIS2 要求對「重大事件」進行三階段通報：（1）24 小時早期預警；（2）72 小時正式通報：提交詳細技術報告；（3）1 個月最終報告。「重大事件」定義為對服務提供造成嚴重中斷，或對其他實體、公共利益造成重大損害。

NIS2 Article 20 要求高管層對資安風險管理措施的核准與監督負個人責任。若組織因高管「重大疏失」違反 NIS2 義務，主管機關可暫時禁止擔任管理職務、公開揭露違規事實，並對組織罰款最高 €10M 或年營收 2%。

ISO 27001 是資訊安全管理系統的國際標準，能大幅縮短 NIS2 合規準備時間。但 NIS2 額外要求特定的事件通報時限、向歐盟主管機關登記申報、供應鏈安全評估程序，以及高管個人責任機制，這些需在 ISO 27001 體系之上額外建立。積穗科研提供 ISO 27001 + NIS2 整合輔導。

從差距分析到制度建立完成，NIS2 輔導通常需要 4-6 個月，已有 ISO 27001 基礎者可縮短至 2-3 個月。費用依組織規模、現有制度成熟度及目標成員國而定，初次諮詢免費。