部落格

OT安全團隊必須了解的NIS2關鍵要點

NIS2已正式上路。深入了解OT安全團隊在面對NIS2時必須掌握的重點—包括合規要求、擴大適用範圍與重大罰則，以確保關鍵基礎設施的安全防護。

Female engineer in orange hazard suit wearing white hard hat holding a laptop computer on the plant floor analyzing manufacturing equipment on the plant floor for NIS2 OT security compliance

OT安全團隊必須了解的NIS2關鍵要點

日益數位化的世界雖然提供更多的機會，但也帶來了更多的風險。事實上，在高度互聯的供應鏈中，只要發生一次資安漏洞，就可能引發連鎖效應，波及整個地區或產業。如今，歐盟正在進一步提高標準。

新版的NIS2指令已正式生效。NIS2指令是在2016年的原始NIS指令基礎上進一步強化的版本，旨在全面提升歐盟的網路安全防護，並已對在歐盟境內營運或提供服務的OT與工業控制系統(ICS)環境產生直接影響。

本指南將說明NIS2的主要變更內容、其對OT／ICS系統的影響，以及您可採取的實務步驟，以確保合規同時將停機時間降至最低。

NIS2 對OT/ICS安全團隊的意義是什麼

NIS2的規範適用於被歐盟視為對公共健康、安全或社會穩定具有關鍵或重要性的服務。這些服務現已涵蓋在歐盟境內營運的工業、製造業、廢棄物管理及化工產業等組織。

NIS2對OT/ICS的主要運作影響

營運層面的影響包括：更高的問責要求、擴大適用範圍、強制最低安全標準、更嚴格的供應鏈審查、政府支援機制的強化，以及更高額的財務罰則。

提高責任

若多次未符合法規要求，組織將面臨重大罰款與處分，其中可能包括對高階主管與董事會成員的暫時停職處分。主動的OT安全措施將有助於組織掌握一切。

擴大產業適用範圍

中大型企業將由各地主管機關負責監督與執法，涵蓋十多個高度依賴OT/ICS系統的關鍵產業。

強制性最低要求

建立、定期檢視並積極執行網路安全措施，以完善事件通報、風險管理及應變/修復流程。歐盟成員國可以靈活地實施更嚴格的要求。

嚴格的供應鏈審查

NIS2要求對主要互聯協力廠商服務提供者(包括管理安全服務提供者(MSSP))的安全實踐進行嚴格的風險審查。這對OT/ICS供應鏈尤為重要。

尋求政府支持

在發生重大資安事件且人力資源不足的情況下，相關機構可向政府主管單位尋求支援與協助。

更多財務處罰

對於「重要機構」，罰款可高達全球營收的1.4%或700萬歐元(以較高者為準)；而對於「關鍵機構」，罰款則可達全球營收的2%或1,000萬歐元(同樣以較高者為準)。

適用對象

最新的NIS2更新對適用範圍的界定有了更高的靈活性。雖然此更新讓組織可在較嚴格與較寬鬆的要求之間調整，但同時也使判定自身是否屬於適用範圍變得更加複雜。

OT/ICS的關鍵範圍界定要素：

規模和行業：在歐盟境內提供或執行服務的中大型組織，若其業務屬於NIS2附錄I或附錄II所列產業範疇，皆納入適用對象。
關鍵性：
- 若該產業或服務對國家或地區具關鍵重要性，或對會員國內其他相互依賴的產業具有影響力。
- 若為會員國內唯一提供該服務的機構，且該服務對維持社會或經濟關鍵運作至關重要。
- 信任服務、公共通訊網路供應商以及DNS。
重大影響(任何規模)：服務中斷可能對公共安全/安保/健康產生重大影響，或構成重大系統性風險，特別是跨境影響。
研究活動：各會員國也可納入關鍵性研究活動。

Diagram depicting entities responsibilities according to updated NIS2 regulations in Europe

NIS2 將機構區分為關鍵機構與重要機構，其中關鍵機構需承擔更高的安全要求、更嚴格的監管，並面臨更重的罰則。

OT/ICS適用範圍快速檢視表(簡化版)：

Diagram depicting what entities are in scope of the updated NIS2 regulation in Europe

要判斷您屬於關鍵機構或重要機構，可評估：

貴產業/子產業是否列在附錄一或附錄二中？ (見下表)
貴公司的規模多大？ (請參閱詳細說明公司規模分類的圖片，通常根據員工人數和營業額/資產負債表總額)

附錄一產業範疇(關鍵機構 - 對OT/ICS有高風險)：

產業	子產業	類型
能源	電力	能源供應領域：包含特定的配電系統營運商、輸電系統營運商、特定的發電業者、特定的電力市場營運商及其他特定市場參與者
	區域供暖/供冷	區域供暖或供冷營運商
	石油	輸送管線營運商、石油生產、煉製與處理設施營運商、儲存設施，以及輸油與運輸系統營運商，以及特定的中央石油儲備機構
	天然氣	特定供應商、配氣系統營運商、輸氣系統營運商、儲氣系統營運商、液化天然氣系統營運商，以及特定天然氣事業單位
	氫	氫能生產、儲存與輸送系統的營運商
運輸	空氣	特定航空公司、機場管理機構以及航空交通管制服務提供者
	軌道	特定的基礎設施管理單位、特定的鐵路企業
	水	特定內陸、水域與沿海客運及貨運航運公司，以及相關港口管理機構以及船舶交通服務營運商
	道路	特定道路主管機關、受委託的交通管理與控制機構，以及特定智慧交通系統營運商
健康	製藥、製造、實驗室、服務	特定醫療器材製造商(於公共衛生緊急事件中被視為關鍵機構)、特定醫療保健提供者、歐盟參考實驗室(EU Reference Laboratories)、從事藥品研發活動的特定機構，以及基本藥品與藥品製劑製造商
水	飲用水	特定飲用水供應與配銷業者(以供應人類飲用水為主要業務者)，不包括以其他業務為主的公司
水	廢棄物	特定事業單位，若其主要業務包含都市、家庭或工業廢水的收集、處理與處置
太空	基礎設施、服務	特定地面基礎設施營運商，由會員國或私人機構擁有、管理與運作，並支援太空相關服務的提供者。
B2B ICT 服務		託管服務提供商(MSP)、託管安全服務提供商(MSSP)
數位基礎設施		(例如：特定公共電子通訊網路與服務提供者、資料中心服務業者)，以及特定藥品、化妝品、菸草與管制藥品相關機構
銀行、金融市場、公共管理		本文件未聚焦之範疇

附錄二產業範疇(重要機構 - 對OT/ICS有顯著風險)：

產業	子產業	類型
郵政與快遞服務		特定的郵政服務提供者
廢棄物管理		特定從事廢棄物管理的機構(但不包括以廢棄物管理為非主要經濟活動的事業單位)
食品生產、加工、配銷		從事任何食品和飲料批發配銷、工業生產和加工的事業單位。非食品業者(例如：飼料、生畜〈若非供人食用〉、或收穫前的植物等)
製造	化學品	特定從事物質與產品製造、生產及配銷的事業單位。
	醫療器材	製造醫療器材的事業單位
	電腦、電子和光學產品	從事以下產品製造的機構皆屬於適用範圍：電腦、電子與光學產品、電子零組件與電路板、已組裝的電子板、電腦與週邊設備、通訊設備、消費性電子產品、量測/測試/導航儀器與裝置、鐘錶、輻射設備、電醫與電療器材、光學與攝影設備，以及磁性與光學媒體製造商
	電氣設備	製造電氣設備的機構，包括：電動馬達、發電機、變壓器及配電與控制設備、電池與蓄電池、電線與接線裝置、光纖電纜、其他電子與電力導線與纜線、接線裝置、照明設備、家用電器(含非電力家電)及其他電氣設備的製造商
	未另行說明的機械設備製造商	從事各類機械製造的機構，包括通用機械、引擎與渦輪機(不含航空器引擎)、車輛與循環引擎、液壓設備、各類幫浦與壓縮機、閥門與控制裝置、軸承、齒輪與傳動元件、工業窯爐與燃燒器、起重與搬運設備、辦公機械(不含電腦及週邊設備)、動力手工具、非家用冷卻與通風設備，以及其他未歸類之通用機械。此外，亦包含農業與林業機械、金屬成形與工具機、冶金機械、礦業與營建用機械、食品、飲料與菸草加工機械、紡織、成衣與皮革生產設備、紙與紙板製造機械、塑橡膠機械及其他特種機械製造業。
	機動車輛、拖車和半拖車	製造機動車輛、拖車和半拖車、機動車輛車身、機動車輛零組件、機動車輛電氣和電子設備、機動車輛其他零組件的事業單位
	運輸設備	製造運輸設備、船舶和船隻、船舶和浮式結構、遊船和運動船、鐵路機車和火車車廂、飛機和太空船及相關機械、軍用戰車、運輸設備等、摩托車、自行車和醫療輔助車輛、其他運輸設備等事業單位。

即使您的組織未在附錄I或附錄II中以產業或規模明確列出，仍可能屬於NIS2 的適用範圍，若符合以下情況之一：

您是NIS2範疇內用戶端的主要服務提供者。雖然未直接受到強制義務約束，但仍需建立並執行基本的網路安全實務，例如漏洞通報機制與客戶溝通程序。託管安全服務提供者(MSSP)明確在列管範圍內。
各會員國可將國防、國家安全、公共安全或執法機關相關領域排除於本指令的適用範圍之外。

對OT/ICS安全營運的預期影響

隨著NIS2持續生效，OT與ICS安全管理者正面臨愈來愈大的合規與防護壓力。以下是這些不斷演變的規範對未來行動的意義。

提高安全成熟度預期：

政府主管機關將更深入了解各產業中有效的安全措施，進而提升整體產業的安全成熟度基準與共同防護標準。這代表您的OT安全計畫將面臨更高的要求。

高效風險管理要求

主動式風險管理已不再是選項。不但要能偵測風險，還需持續評估與回應風險，同時還要優化OT營運的成本與時間效率。

NIS2 不是終點

NIS2是歐盟網路安全策略目標的墊腳石。預計未來會有進一步的舉措、更高的要求和可能更高的罰款。

歐盟成員國最近公佈的措施顯示，NIS2合規性將需要大幅提高安全成熟度(接近CMM 3到4級)。這需要採取主動的風險掌握與管理方式，不僅著重於事件偵測，還包括強化的修復行動與可量化的安全管理效能。

OT/ICS 安全團隊的即時行動

現在正是從規劃走向實踐的時刻。以下説明推動合規性和建立韌性的關鍵後續步驟。

1. 審查您的合規工作

根據所有相關資產評估安全風險，審查您的安全風險管理和事件偵測與回應管理能力，並定義本地/區域(歐盟)/全球責任。工業網路資安平台等解決方案可幫助您評估和解決安全問題。

2. 縮小差距

根據安全防護範圍、作業效率與營運成本，評估並選擇符合OT環境標準的網路安全解決方案。在選定供應商之前，先申請示範並執行試點測試。市面上有針對不同成熟度階段的OT安全解決方案，建議選擇同時能滿足法規合規要求與內部安全需求的方案。請記住，隨著時間演進，您可能需要逐步升級至更高的安全成熟度等級。因此，應確保您的投資具有長期可持續性，並避免因未來要求提升而在兩年內被迫更換解決方案。解決方案整合得越完善，資安管理就越高效(節省時間、精力與成本)。

3. 準備實施安全控制措施

截至2025年，多個歐盟成員國已公布詳細的NIS2資安要求，並正於各關鍵產業積極推動實施。雖然該指令訂定了最低基準管控要求，但許多地方主管機關已針對各產業提出具體詮釋與加強指引，以提升資安成熟度的標準。

ENISA已發布最新資源，將NIS2的義務對應至全球資安框架，如ISO/IEC 27001、NIST CSF和IEC 62443，協助釐清在OT/ICS環境中實際落實的具體做法。

4. 讓資安長與董事會成員共同參與

NIS2 明確指出—個人責任將被納入追究範圍。歐盟正持續推出嚴格的網路安全規則。若貴組織尚未做好準備，監管機關將介入。現在超前部署、及早符合要求，才能避免日後面臨更大的問題。

請至我們的NIS2合規專頁，取得製造業領域中最新的NIS2洞見與資訊。

了解更多

NIS2 和相關法規：為OT/ICS團隊打造全方位視野

關鍵機構韌性(CER)指令：

與OT/ICS團隊的關聯性

CER指令與NIS2相輔相成，主要針對實體基礎設施的風險，例如電力中斷、蓄意破壞或極端天氣事件等。NIS2著重於數位威脅，而CER則確保實體系統與營運流程同樣具備韌性。

需知事項

截至2024年10月，各國主管機關已開始點名關鍵機構，並審查其風險管理流程。這代表貴組織的實體與資安韌性計畫都將接受審查—包括如何保護OT環境、維持運作連續性，以及協調緊急應變機制。預期將與監管機關展開更多合作，同時推動實體與資安風險策略的整合。

歐盟資安韌性法案(ECRA)：

與OT/ICS團隊的關聯性

ECRA已於2024年12月正式立法，並對所有具數位元件的產品加入強制性資安要求。包括OT系統、工業設備和嵌入式軟體。

需知事項

此法令將於2027年12月開始執行，但貴組織現在就應開始檢視數位供應鏈。ECRA要求產品在設計階段即納入安全機制，並建立漏洞管理機制，同時廠商需提供持續性的支援服務。這代表對設備製造商的審查將更加嚴格，並加強對關鍵ICS環境中運作元件的供應鏈監管。

ENISA NIS360 2024 報告：OT/ICS資料揭露了什麼

ENISA NIS360 2024報告評估了依據NIS2指令被列為高度關鍵的產業，其資安成熟度與關鍵性。此分析結合指令涵蓋產業的內部數據與歐盟統計局(Eurostat)的見解，旨在協助各成員國及國家主管機關發掘不足之處，並確立優先行動方向。

觀點1：網路安全成熟度等級參差不齊

報告指出，由於受《電網資安規範》(Network Code on Cybersecurity)等專門法規的規範，電力產業的資安成熟度名列前茅。其他關鍵基礎設施產業明顯落後。

天然氣、石油、區域供熱與供冷，以及氫能等次產業的資安成熟度明顯較低，各機構特別在舊有OT系統整合與事件後應變能力方面面臨挑戰。海運業同樣面臨舊有OT系統的挑戰，儘管其在全球貿易中扮演關鍵角色，但因系統老化而更容易受到網路攻擊的威脅。這種差異凸顯出，法規架構與產業專屬指引是推動OT環境資安成熟度的關鍵因素。

觀點2：兩大OT/ICS產業領域處於高風險區

以下高度關鍵的產業處於高風險區：海運和天然氣業。根據報告，以下是每個產業應關注的問題。

海運業

優先執行OT弱點評估
在新系統部署或升級時，落實「安全設計原則」
制定並測試跨境事件的事件回應計畫

天然氣

加強事件後回應計畫，並定期進行測試
與電力和製造業合作
專注於保護供應鏈

NIS2 合規要求：OT/ICS實施指南

有義務提供機構聯絡方式：

行動：確保在ENISA註冊準確且最新的聯絡資訊。
策略：在OT/ICS安全團隊指定一個溝通NIS2相關事宜的主要聯絡人。建立三個月內更新變更的流程。在歐盟提供服務的外國公司必須指定一名代表。

有義務通報潛在的嚴重事件：

NIS2 對於迅速且有效的事件通報極為重視，並設有嚴格的時限與未遵循時可能面臨的制裁。這對OT/ICS領域而言至關重要，因為一旦發生事件，可能引發連鎖性的實體與經濟影響。

OT/ICS領域中「重大事件」的判定標準包括：

嚴重影響營運服務。
造成重大經濟損失(例如，生產停機、設備損壞)。
對人員或實體本身產生重大的非實質或實質影響。

監督、執行、罰款和處罰：對OT/ICS的風險

NIS2建立了分級的監管與執法機制，其中「關鍵機構」將面臨比「重要機構」更嚴格的監督體系然而，兩類機構若未遵循規範，都可能面臨嚴重的處罰後果。

監督：貴組織的OT/ICS營運應有以下預期

所有機構的基本要求：
- 與機構的法定代表人進行協調式監管。
- 涵蓋對貴組織OT/ICS基礎設施與資安作業的現場與場外稽查。
- 主管機關可要求提供資安政策執行的相關資料與證據，以評估是否符合規範。
針對關鍵機構的額外要求：
- 定期及臨時稽核，包含蒐集貴組織OT資安現況的相關證據。
- 主管機關可對貴組織的工業系統進行隨機且未預先通知的檢查。

違規處罰措施：針對OT/ICS的改正與指令措施：

若監管過程中發現違規情事，將啟動執法程序。

對所有納入管轄範圍的機構，地方主管機關可採取以下措施：
- 發出警告。
- 發布具約束力的指令，要求在指定期限內完成事件改正(此項對OT事件應變尤為關鍵)
- 可命令停止違規行為，並公開相關調查結果，同時提供具體改進指引
- 要求在期限內落實資安稽核建議事項
- 實施行政罰款
針對關鍵機構的額外執法措施包括：
- 暫時禁止執行長或法定代表人行使管理職權(突顯高層對OT資安的責任追究)。
- 指派監督官員進駐貴組織，以監控合規執行情況。
- 發布具約束力的預防性指令，並設定嚴格的執行與回報期限。

影響執法行動與處罰的考量因素：

在決定執法措施與處罰時，主管機關將考量以下因素：

違規行為的嚴重程度(例如：多次違規、未通報或未改正重大OT事件、阻礙稽核、或提供虛假資訊)
違規行為持續的時間長短
過去違規行為
所造成的實質或非實質損害，以及受影響的使用者範圍(例如對關鍵服務或公共安全的影響)
故意或疏忽
為防止或減輕損害而採取的措施
與主管機關的配合程度

OT/ICS初始行動快速檢核清單：:

除前述行動項目外，以下提供一份OT資安團隊可用於啟動NIS2落實工作的快速檢核清單。

資產檢測與盤點：所有相關資產，包括OT中的基於作業系統和嵌入式系統，是否在適當的期限內進行詳細檢測？
政策與程序：貴組織的資安政策是否已完整文件化、有效傳達，並在OT環境中定期評估其成效？
事件通報流程：在貴組織的OT營運中，是否已建立明確且全員理解的流程，用以通報可能構成NIS2所定義的重大事件？
漏洞和威脅管理：所有納入範疇的OT資產是否已完成識別、持續監控，並積極管理其弱點與威脅？
回應能力：貴組織是否具備辨識、監控、警示及有效應對OT威脅的能力？
工單與文件管理：在貴組織的OT/ICS資安作業流程中，是否已導入工單系統，以管理並記錄事件偵測、分級處理與應變流程？
關鍵流程安全：關鍵的OT流程及其相關資產是否已明確識別、完整文件化，並受到適當的資安防護措施保護？
供應鏈風險管理：貴組織是否已識別OT/ICS元件與服務的供應鏈風險，並主動採取相應的風險緩解措施？
可靠證據：在稽核與評估過程中，貴組織的OT資安管理系統所提供的工業資產相關證據是否有力？

工業網路資安標準：為實現NIS2合規而打造的OT/ICS資安架構

工業網路資安不僅有助於偵測風險，還使團隊能夠在複雜的OT環境中積極管理和補救風險。這項營運智慧是達成並維持NIS2合規的關鍵。

工業網路資安平台的獨特之處在於，它不僅能蒐集詳盡的資產層級資安資訊，還能同時支援修復行動。這代表您不僅能識別風險，還能據以採取精準行動，填補防護缺口並強化防禦能力。

對於許多OT團隊來說，資源是有限的。工業網路資安平台透過整合OT環境中的風險資料，進行分析，並提供優先次序明確的改善建議，從而簡化整體作業流程。小型專業團隊即可統籌制定策略性應對方案，同時由在地營運團隊掌握執行主導權。此種平衡可確保組織在不造成人力或預算負擔的情況下，持續提升資安成熟度。

觀看我們的系列影片，了解如何在確保合規的同時，強化營運以應對新興威脅。

Video

New Regulatory Landscape for Cybersecurity in Industry

The landscape of standards and laws affecting manufacturers is undergoing significant transformation, spurred on by the pressing concerns of security and the integration of Artificial Intelligence. Understanding and complying with these evolving regulations is crucial for ensuring robust security protocols within industrial settings, and avoiding costly sanctions.

Video

Navigating the Impact of the European Directive NIS2 on Manufacturers

The European Directive NIS2 marks a significant change in the regulatory framework, especially for manufacturers operating in the European Union. This directive aims to enhance cybersecurity measures across critical sectors, including manufacturing. As a result, it is set to transform the industry's approach to security and make it more robust.

Video

Effective Cybersecurity and NIS2 Compliance First Requires Organizational Trust

Trust is critical in fortifying cybersecurity measures and ensuring adherence to NIS2 regulations. However, many companies still underestimate their cybersecurity posture. To enhance cybersecurity measures, it is essential to bridge the gap between IT and OT systems and build trust. Without trust, even the best efforts to implement remote monitoring, early warning systems, and other security measures will ultimately fail.

已發佈 2025年8月20日

為您推薦