安全专家Andrew Lintell警告，欧盟NIS2指令的27种不同实施时间表及缺乏凝聚力正在带来“巨大风险”，可能引发合规碎片化风险。

前情回顾·欧盟网络安全政策动态

安全内参1月7日消息，2025年本该是欧洲数字安全进入新纪元的第一年。然而，去年10月各成员国落实《网络与信息安全指令2》（NIS2）的最后期限已经过去，原本承诺的更统一、更具弹性的安全措施却显得遥不可及。

《指令》的执行不仅未能带来凝聚力，反而因延误而被蒙上阴影。整个欧洲的成员国在合规方面的做法各不相同。本应打造统一安全态势的欧洲，如今却面临持续发酵的抵制情绪，这种局面正在考验监管机构、企业和投资者的耐心。

如果欧盟不采取果断行动解决这些问题，这种拼凑式的做法不仅会削弱欧洲的整体安全态势，还可能损害其作为全球商业领先地区的声誉。

2025年将成为NIS2的“清算之年”。欧盟必须确保所有成员国在合规上保持一致。现在是时候从成员国缺乏紧迫感中吸取教训，采用更务实、分阶段的合规方法，同时明确问责机制和透明度。将雄心转化为具体行动的时刻已经到来。

碎片化削弱了NIS2指令效果

NIS2指令的最初目标十分乐观，希望让所有欧盟成员国步调一致，建立一个统一的安全框架。然而，如今27个国家却几乎形成了27种不同的时间表。

例如，瑞典和丹麦将合规期限推迟了数月甚至数年，而其他国家仍处于不确定状态。结果是，许多组织不再感到提升安全标准的紧迫性。

这种缺乏凝聚力的局面带来了巨大的风险。网络安全威胁并不承认国界，而合规的碎片化会导致薄弱环节，从而削弱整个集体的安全。例如，供应链高度依赖欧洲范围内的顺畅运作和无摩擦贸易。如果一个国家的企业合规要求高，而其合作伙伴国家却落后，那么双方的安全差距将使整个链条处于脆弱状态。这不仅威胁到个别企业的利益，还会影响欧盟的整体声誉。

如果欧洲真心希望提升网络安全，就必须正视当前的碎片化现状。布鲁塞尔需要采取自上而下的强力推动，确保落后的国家迎头赶上，与其他成员国保持一致。目前这种碎片化的局面显然难以持续下去。

分阶段合规的必要性

NIS2指令执行中最大的教训之一是，“全有或全无”的方式显然不奏效。目前，组织要么完全合规，要么完全不合规，即使它们在某些要求上已有所进展。

我们需要采用分阶段的方法，将合规拆解为可管理的里程碑。这种方式不仅可以帮助成员国和企业在朝全面合规迈进的同时取得实质性进展，还能优先解决最关键的漏洞。例如，可以先对最紧急的问题进行即时修复，同时为更广泛的改革设定长期目标，这种方式显然比一开始就要求全面完美更为有效。

此外，分阶段路线图还可以帮助监管机构区分真正付诸努力的组织与拖延不前的组织。目前的二元评价体系（合规或不合规）无法体现这种细微差异。

缺失的问责机制

如果NIS2指令想要成功，问责机制必须成为核心。目前，由于缺乏可执行的惩罚措施，许多组织甚至整个国家都将合规放在次要位置。没有威慑力，法规就沦为“礼貌性建议”。

欧盟必须建立切实可行的问责机制，对企业和政府进行监督与处罚。这可以包括定期公开进展报告、实施经济处罚，甚至对未达标的机构进行点名批评。更重要的是，董事会和高管必须承担起直接责任。网络安全不能继续作为后台事务，而必须成为董事会层面的优先事项。

残酷的现实是，一次重大且广泛报道的漏洞事件可能会成为推动监管机构和企业采取行动的催化剂。这种情况虽然代价高昂，但往往是一记警钟，迫使各方采取更严肃的态度。虽然我们希望不必走到这一步，但历史经验表明，警醒通常是被动的结果。

此外，问责机制还需要透明度来重建利益相关者对NIS2的信心。目前，成员国的执行进展缺乏可见性，这让外界充满疑虑，并侵蚀了投资者和国际合作伙伴的信任。

建立一个面向公众的系统，用以追踪和报告每个国家的合规情况，将有助于解决这一问题。透明度不仅可以让利益相关者看到实际进展，还能对落后国家施加舆论压力，促使它们迎头赶上。

欧盟下一步应该怎么做？

展望未来，欧盟必须在制定新法规时汲取NIS2指令的经验教训。过多、过快的要求显然适得其反。未来的立法应更注重渐进式发展，充分认识到实现有意义的变革需要时间和资源。

一个关键问题是：合规是否等同于安全？不幸的是，答案是否定的。组织可能优先投资于实际提升安全的措施，但这些措施未必完全符合合规要求。这种脱节现象是欧盟亟待解决的问题之一，必须确保法规不仅推动合规，还真正增强安全性。

与其强制实行简单的“及格/不及格”评估，欧盟需要更大的灵活性，允许组织根据自身最佳安全利益采取行动，即使这些措施可能超出NIS2指令的框架。通过培养灵活性文化，将安全结果置于规定性合规清单之上，法规才能更好地实现创建更安全数字环境的目标。

最终，欧盟面临一个关键选择：是加倍努力推进NIS2指令的执行，还是冒着因不作为而让其雄心破灭的风险？网络威胁每天都在演变，欧洲的应对也必须迅速跟上步伐。

参考资料：thestack.technology