歐洲聯盟網絡和信息安全局（ENISA）於 2025 年 6 月 27 日發布了《支持 NIS2 實施的行動指南》，該指南旨在協助關鍵數字基礎設施和 ICT 服務管理部門實施歐盟委員會 2024 年 10 月 17 日第 2024/2690 號實施條例中規定的網絡安全措施。該指南是 NIS2 指令（網絡和信息安全指令第 2 版）框架的一部分，旨在提升歐洲關鍵部門的網絡安全成熟度，並與歐洲委員會及 NIS 合作小組密切合作，同時吸納了私營部門的公開諮詢反饋。背景與目的NIS2 指令是歐盟為實現更高水平的網絡安全而制定的法律框架，適用於關鍵實體和重要實體。該指令通過第 2024/2690 號實施條例，明確了數字基礎設施和 ICT 服務管理部門的具體網絡安全要求。ENISA 發布的技術指導文件旨在提供實用建議，幫助企業將這些要求轉化為可操作的措施，並與國際標準（如 ISO 27001）和行業最佳實踐對接。該指南強調持續適應和風險管理的原則，以應對不斷變化的網絡威脅。主要內容指南涵蓋了實施條例附錄中列出的 13 個網絡安全要求領域，包括但不限于：

• 網絡和信息系統安全政策：制定全面的安全策略，涵蓋風險評估和緩解措施。

• 風險管理：識別、評估和管理網絡安全風險，包括供應鏈風險。

• 事件處理：建立事故響應計劃，確保及時檢測和應對網絡事件。

• 業務連續性與危機管理：制定應急計劃，確保關鍵服務在危機中的持續性。

• 供應鏈安全：評估第三方供應商的網絡安全狀態，確保整個供應鏈的韌性。

每個領域的指導都包括行動建議、實例證據以及與現有框架（如 NIST）的映射，幫助企業理解如何將 NIS2 要求融入現有流程。指南還強調了與國家主管當局的協作，建議企業首先諮詢當地監管機構以澄清具體義務。開發過程該指南的制定過程涉及多方合作，包括 NIS 合作小組和歐洲委員會，並通過公開諮詢收集私營部門的意見。ENISA 執行主任 Juhan Lepassaar 表示，該指南旨在通過實用技術指導支持企業提升網絡安全成熟度，特別是針對首次面臨正式網絡安全要求的實體。實施建議

• 合規性評估：企業應進行差距分析，使用 ENISA 提供的工具和框架。

• 技能發展：參考歐洲網絡安全技能框架，確保員工具備必要能力。

• 持續監控：實施動態風險監控工具，定期更新安全措施。

• 跨部門合作：參與 EU 級別的網絡演習，分享知識以提升整體韌性。

意義與影響該指南為企業提供了結構化路徑，以實現 NIS2 合規性，同時增強整體網絡安全姿態。對於首次受 NIS2 規範的實體，這是一項關鍵資源，有助於應對監管要求並保護關鍵基礎設施。ENISA 承諾根據立法和政策變化（如網絡安全法案和網絡韌性法案）持續更新該指南。該文件現已在 ENISA 網站上公開，可供相關實體下載並使用，以支持其網絡安全策略的制定和實施。