1. 法律法规概述
1.1 网络安全监管战略
德国的网络安全监管战略主要由《2021年德国网络安全战略》制定,该战略为2026年之前的德国网络安全政策设定了核心框架。该战略将网络安全定义为国家、私营部门和社会的共同责任,反映了德国高度数字化的经济及其面临的网络风险。该战略旨在应对持续高企的网络威胁,德国被视为网络攻击的主要目标之一。
该战略旨在实现三大总体目标:
- 加强数字主权;
- 提高关键基础设施的保护和韧性;以及
- 增强国家和经济体预防、检测和应对网络事件的能力。
因此,网络安全被视为一个韧性和安全问题,而不是一个纯粹的技术合规问题。
战略的核心组成部分
关键在于加强德国联邦信息安全局(BSI)作为德国中央网络安全机构的作用。BSI作为主要协调机构,负责制定安全标准、促进信息共享,并支持公共机构和私营企业提升网络韧性。
该战略高度重视关键基础设施的保护,尤其是在能源、医疗保健和交通运输等领域。增强这些领域的韧性被认为是保障公共服务和经济稳定的关键。与此同时,该战略倡导安全数字化,包括开发和使用安全的数字产品和服务,并辅以欧盟的各项举措,例如《网络韧性法案》(CRA)。
国家网络防御中心进一步发展成为一个合作与危机应对平台,使安全机构能够在重大网络事件发生时采取协调一致的行动。该战略还强调了企业和社会的作用,旨在推广最低安全标准、网络安全意识、教育以及更广泛的安全文化。
立法实施及范围
在此战略框架的基础上,德国近期颁布并提出了一系列立法提案,旨在使国家法律与欧盟层面的网络安全机制日益趋于一致,其中最显著的举措是实施了NIS2指令以及对德国信息技术安全法的相关修订。这种立法方式显著扩大了网络安全义务的范围,使其不再局限于传统的关键基础设施,而是涵盖了更广泛的行业和组织,这些行业的中断可能会对经济或社会造成影响。
各行各业的立法机构都将网络安全监管视为一项基于风险的治理任务。其重点在于组织责任、管理问责、供应链安全和运营韧性,而非强制性的技术要求。这体现了一项深思熟虑的政策选择,即建立一个可扩展的、跨行业的网络安全基线,以应对日益互联的经济环境中存在的系统性风险。
1.2 网络安全法律
2026年德国的网络安全框架是一个分层的国家和欧盟体系。以联邦信息安全局(BSI)为核心的国家法律确立了基本的组织职责,而欧盟的各项工具------特别是NIS2、数字运营弹性法案(DORA)、网络安全法案(CRA)和人工智能法案------则引入了协调一致、针对特定行业和产品的网络安全和风险管理义务。
国家核心框架
新 BSI 法案 (BSIG) -- NIS2 的实施
主题
德国中央网络安全框架以联邦信息安全局 (BSI) 的角色和以组织为中心的网络安全职责(包括风险管理、事件处理以及对相关实体的安全治理要求)为核心构建。新的《联邦信息安全局和机构信息安全法》(BSIG) 已于2025年12月2日生效。该法将欧盟NIS2指令纳入德国法律,并显著加强了德国的网络安全框架。BSIG大幅扩展了网络安全监管的范围,并对风险管理、事件报告和监督提出了更高的要求。
谁在范围内
BSIG 将网络安全义务扩展至更多行业的各类组织。约 3 万家新增实体被纳入监管范围,并被归类为"必要"和"重要"实体。这标志着网络安全监管的根本性转变,从狭义的关键基础设施层面转向更广泛的、覆盖整个经济的层面。
主要义务
受监管实体必须实施最低限度的网络安全措施,包括风险管理理念、备份和恢复机制、加密以及事件处理流程。新的三阶段事件报告机制取代了之前的通知系统,并要求更早、更系统地与监管机构进行沟通。
英国标准协会(BSI)的作用得到加强
BSIG 大幅扩展了德国联邦信息安全局 (BSI) 的监管和执法权力,包括更广泛的审计权以及在某些情况下要求制造商配合的权力。BSI 还运营着一个中央在线平台,用于与受影响实体进行信息交流,从而强化了其作为德国中央网络安全机构的作用。
公共部门协调
对于联邦政府而言,BSIG 通过联邦首席信息安全官 (CISO) 建立中央协调职能,加强公共机构内部的网络安全治理。
领土范围和背景
BSIG 主要适用于在德国运营的实体,但对在德国开展业务的国际集团也具有实际的跨境意义。它是 NIS2 的国家实施版本,NIS2 于 2025 年 11 月通过,并在经历了一段延迟的立法程序后于 2025 年 12 月生效,其目标是提升欧盟整体网络安全水平。
IT 安全法案 2.0 (IT-SiG 2.0)
《信息技术安全法2.0》通过扩大关键基础设施运营商和其他相关实体的安全义务,强化了德国的国家网络安全框架。它强化了联邦信息安全局(BSI)的作用,对某些组件和服务引入了更严格的安全要求,并增强了国家应对重大网络威胁的能力。尽管部分内容已被《国家信息安全法2.0》(NIS2)的实施所取代,但它仍然是德国信息技术安全法的重要组成部分。
关键和必要实体(KRITIS)监管框架(关键基础设施)
德国KRITIS框架定义并规范了关键基础设施的保护,这些基础设施、系统和服务一旦中断,将对公共安全、经济稳定或社会运转造成重大影响。KRITIS涵盖能源、医疗保健、交通运输、水务、食品供应、信息技术和电信等领域。
根据行业特定阈值和功能相关性,运营商被归类为所谓的"KRITIS实体"。一旦被纳入KRITIS范围,它们将承担更高的网络安全和韧性义务,包括实施适当的安全措施和事件报告。因此,KRITIS框架作为一种基于风险的识别机制,用于确定哪些运营商需要满足更高的保护要求。
即使NIS2和新的BSIG扩大了适用范围,KRITIS机制仍然具有实际意义。它继续作为衡量更高安全期望和监管力度的参考标准,尤其对于那些故障可能导致系统性中断的运营商而言更是如此。因此,KRITIS仍然是德国保护关键服务免受网络威胁的基石。
电信和电信媒体数据保护法(TTDSG)
《电信和数字服务安全条例》(TTDSG)是对《通用数据保护条例》(GDPR)在电子通信和数字服务领域的补充。它规范通信数据和最终用户信息的保密性和安全性,尤其适用于电信运营商和某些数字服务提供商。因此,TTDSG强化了服务可用性和数据保密性至关重要的行业的网络安全预期。
欧盟网络安全和数字韧性法规
加拿大税务局
《网络安全法规》(欧盟法规 2024/2847)是欧盟首部为所有在欧盟市场上销售的网络产品设定最低网络安全要求的法规。该法规针对包含数字元素的产品引入了横向网络安全要求,重点关注安全设计、漏洞处理和安全生命周期管理。无论制造商和其他经济运营商的注册地在何处,只要其产品符合相关法规的要求,该法规均适用于在欧盟市场销售相关产品的制造商和其他经济运营商。由于该法规采用基于产品的方法,因此具有强大的域外效力,尤其适用于在欧盟市场运营或向欧盟市场供货的软件供应商和工业制造商。该法规于 2024 年 12 月生效,主要要求自 2027 年底开始实施。
人工智能法案
《人工智能法》(欧盟法规 2024/1689)为人工智能系统建立了一个基于风险的监管框架,其中包括与系统安全、稳健性和风险管理相关的义务。虽然它并非严格意义上的网络安全法,但当人工智能系统面临被操纵、滥用或运行故障的风险时,它具有重要的网络安全意义。该法适用于在欧盟市场使用或部署人工智能系统的提供商和部署者,包括那些在欧盟以外设立的公司。实际上,它为人工智能系统增加了一层额外的安全和治理机制,与 NIS2、DORA 和 CRA 相辅相成。
GDPR
《通用数据保护条例》(欧盟法规 2016/679)通过对个人数据保护施加具有约束力的技术和组织安全要求,构成了网络安全法律的重要横向支柱。实际上,许多网络安全事件都涉及个人数据,因此会触发相应的 GDPR 安全义务和违规通知义务。由于其适用范围广泛且具有域外效力,GDPR 在塑造各行业的网络安全实践方面发挥着核心作用,尤其是在数据安全和网络风险交叉的领域。
多拉
DORA(欧盟法规 2022/2554)为金融领域的 ICT 风险管理建立了一套行业特定且高度规范的框架。它涵盖治理、事件报告、弹性测试以及 ICT 第三方风险管理。该法规适用于广泛的受监管金融实体,并通过合同和监管要求间接影响 ICT 服务提供商。DORA 体现了欧盟立法机构在系统性金融稳定受到威胁时,对网络安全施加更深入、更细致要求的做法。
在德国,所有监管体系下的网络安全义务基本上都基于风险,且与技术无关。因此,指南、标准和实践准则在塑造合规预期方面发挥着决定性的实际作用。它们在监管评估和审计、与客户和供应商签订的网络安全合同基准设定,以及事件后审查(评估安全措施是否充分合理)中尤为重要。因此,在实践中,即使法律没有正式规定,各组织也常常将公认的标准和权威指南视为具有约束力的准则。
1.3 网络安全监管机构
德国的网络安全监管格局以多层监管模式为特征,将中央技术权威机构与特定行业的监管机构和数据保护机构相结合,以确保在整个经济范围内进行有效的监督、执法和协调的事件响应。
英国标准协会
德国联邦信息安全局 (BSI) 是德国的中央网络安全机构。其职责包括监督和执行新的《联邦网络安全指令》(BSIG),包括实施 NIS2,以及保护关键基础设施和协调国家网络安全工作。
德国联邦信息安全局 (BSI) 拥有广泛的监管和调查权力,包括索取信息、开展审计、审查安全理念和事件响应措施,以及发布具有约束力的命令以纠正缺陷。根据《德国联邦信息安全法》(BSIG),BSI 还可以实施制裁,并在某些情况下要求制造商或服务提供商进行合作。BSI 负责运营德国国家计算机应急响应小组 (CERT-Bund),并作为受监管实体网络安全事件通报的主要接收方和协调方。
行业监管机构
在受监管行业,网络安全监管通常由特定行业的监管机构独立或与联邦信息安全局 (BSI) 协调进行。例如,在金融领域,联邦金融监管局 (BaFin) 等监管机构根据《数据保护条例》(DORA) 执行网络安全和信息通信技术风险管理义务,并辅以具有约束力的技术标准和监管指南。
这些机构通常有权索取信息、进行现场检查、要求采取补救措施并实施行政处罚。行业事件响应预期通常纳入监管框架,监管机构与BSI之间密切协调,尤其是在事件具有更广泛的网络安全意义的情况下。
数据保护机构
德国联邦和各州的数据保护机构在涉及个人数据的网络安全事件中发挥着重要作用。它们负责执行《通用数据保护条例》(GDPR)和各国数据保护法,包括安全义务和违规通知要求。它们的调查手段包括审计、信息请求和纠正措施,并可能处以巨额行政罚款。
在实践中,网络安全事件经常会引发网络安全和数据保护机构的平行程序,需要受影响的组织进行协调一致的事件管理。
国家网络防御和响应机制
德国设有国家网络防御中心(Cyber-AZ),该中心作为安全机构在重大网络事件中的合作与协调平台。虽然它本身并不扮演监管机构的角色,但它能够促进负责网络安全、情报和执法部门的机构之间进行信息共享和联合态势感知。
由德国联邦信息安全局 (BSI) 运营的 CERT-Bund 是德国国家网络安全事件响应中心,为公共机构和私营企业提供技术分析、预警和事件协调支持。此外,各行业或组织也设有专门的 CERT,在发生重大事件时通常会与 BSI 保持联络。
总体而言,德国的网络安全执法模式结合了联邦信息安全局(BSI)的中央技术协调、行业特定监管和数据保护监督。当局的方法侧重于基于风险的监管、组织能力和事件应对准备,并辅以强大的调查权和协调一致的响应机制。这种多层次结构体现了立法机构将网络安全视为跨行业和系统性责任,而非纯粹的技术合规问题。
2. 关键基础设施网络安全监管
2.1 关键基础设施网络安全监管范围
德国关键和重要实体网络安全(KRITIS)由一个分层框架管理,该框架结合了国家法律和欧盟要求。在国家层面,其核心支柱是自2025年12月起生效的新版《基本安全指令》(BSIG)和长期有效的关键基础设施网络安全(KRITIS)框架。这些制度目前与欧盟的《网络信息安全指令2》(NIS2)紧密衔接,后者显著扩大并重塑了受监管实体的范围。
整体方法不再局限于传统的关键基础设施,而是转向更广泛的韧性模式。网络安全义务不再局限于少数运营商,而是适用于更广泛的组织,这些组织的中断可能会造成重大的社会或经济影响。
指定标准和实体类别
德国对纳入监管范围的实体进行分类,其逻辑基本遵循NIS2。BSIG根据组织的行业、职能和相关性,而非仅仅根据所有权或公共地位,将其归类为"必要"或"重要"实体。指定标准通常包括:
- 行业相关性;
- 对社会或经济具有功能重要性;
- 规模或重要性阈值,例如员工人数或人员流动率。
这导致范围大幅扩大,许多中型企业现在首次受到正式网络安全义务的约束。
涵盖行业和服务
该框架涵盖了传统上与关键基础设施相关的广泛领域,包括:
- 活力;
- 卫生保健;
- 运输;
- 金融;
- 水和食物供应;以及
- 信息技术和电信。
此外,该范围现已明确扩展至数字化和技术驱动型服务,体现了其系统性重要性。这包括某些在提供关键服务方面发挥重要作用的数字基础设施提供商、数据中心、云服务和运营商。
托管服务提供商和其他信息通信技术服务提供商如果符合相关标准,则可能直接纳入监管范围;或者,他们也可能通过对其客户施加的合同和监管要求间接纳入监管范围。这体现了一项明确的政策选择,即在关键基础设施保护方面应对供应链和依赖性风险。
适用范围内的实体的网络安全义务
被认定为关键或重要实体的,须遵守基于风险的网络安全义务,而非固定的技术规范。这些义务通常包括:
- 实施适当的风险管理措施;
- 保持事件检测和响应能力;以及
- 遵守结构化事件报告要求,包括 BSIG 下的新三阶段报告制度。
重点在于组织能力、治理和准备情况,而不是对特定技术的遵守情况。
权威机构的作用和指导
德国联邦信息安全局 (BSI) 是负责监督 KRITIS 网络安全义务的主管机构。它发布指南、技术建议和行业特定信息,在解释法定职责方面发挥着重要的实际作用。
虽然此类指南并非总是具有正式的约束力,但在监管实践、审计和事件后评估中被广泛视为权威依据。BSI 近期发布的出版物尤其关注供应链安全、云依赖性和事件处理流程。
范围不确定性和实际澄清
尽管NIS2和修订后的BSIG引入了更为系统的框架,但适用范围的不确定性仍然是一个关键的实际问题。这尤其影响那些不属于传统关键基础设施范畴,但在数字或工业生态系统中发挥赋能作用的实体。
不确定性最常出现在数字服务和托管服务提供商领域。虽然数据中心和某些云服务或网络服务已被明确纳入监管范围,但混合型或专业型服务(例如平台即服务或软件即服务 (SaaS) 提供商)的分类通常需要进行功能评估,而非简单的行业分类。托管服务提供商也面临类似的问题,因为它们是否直接属于监管范围,或者主要受受监管客户施加的合同义务影响,并不总是很明确。
复杂的集团和跨境结构,尤其是在信息技术或安全职能集中于德国境外的情况下,以及将规模和重要性门槛应用于快速增长或基于平台的商业模式,都造成了进一步的模糊性。实际上,德国联邦信息安全局 (BSI) 的指南和常见问题解答在解决这些问题方面发挥着决定性作用,其监管解释倾向于对关键基础设施网络安全采取广泛而包容的方法。
2.2 关键基础设施网络安全要求
德国针对关键和重要实体的基本网络安全要求以风险为基础,并以原则为导向。法律框架并非强制规定具体的技术控制措施,而是要求组织根据自身的风险状况、重要性和依赖关系,实施适当的技术和组织措施。在实践中,监管重点在于治理、事件应对准备和可证明的运行能力。
监管机构和审计人员不太重视正式的政策,而更关注组织能否及时、系统地预防、检测、应对和恢复网络安全事件。因此,文档记录、测试和有效实施的证据至关重要。
核心期望包括管理层明确的治理和问责机制、可审计的政策和控制措施,以及使用公认的安全框架来展示最先进的实施方案。组织必须保持对关键资产及其依赖关系的可见性,持续进行风险评估,并根据实际威胁情景确定控制措施的优先级。
供应链安全是重点关注领域。关键供应商和外包服务(尤其是云服务)需要加强治理、合同安全义务和运营协调,包括事件响应机制的统一。
各实体还应实施有效的漏洞和补丁管理,并辅以监控和检测能力。在技术补救措施有限的情况下,需要采取补偿性控制措施。
最后,事件响应、业务连续性和恢复是核心支柱。监管机构期望制定切实可行且经过验证的响应计划、强大的备份和恢复能力,以及能够应对系统性和长期中断的弹性规划。总而言之,合规性的衡量标准是运营弹性,而非事件的缺失。
2.3 事件响应和通知义务
德国的事件响应和通知义务遵循分层并行报告模式。适用的要求取决于相关法律制度,最主要的是BSIG(NIS2实施细则)、特定行业制度(例如针对金融机构的DORA)以及涉及个人数据的GDPR。总体立法方针优先考虑早期态势感知,随后进行结构化更新和事件后透明度。
该框架并非依赖单一通知,而是围绕分级报告而设计,使当局能够在事件发展过程中尽早做出反应,并逐步获得更详细的信息。
BSIG(NIS2 实现)
根据《安全事件指令》(BSIG),当发生影响关键或重要实体的重大网络安全事件时,即触发事件通报义务。重大性评估基于风险,并考虑诸多因素,例如对服务可用性、完整性或机密性的影响、受影响用户的数量、事件持续时间和地理范围。该指令的阈值设定得较为宽泛,要求组织即使在技术事实不完整的情况下也必须尽早进行分类。重点在于事件是否已经或可能对运营或社会造成实质性影响。根据《安全事件指令》第37条(结合《网络信息安全指令2》(NIS2)),重大安全事件必须向英国安全信息局(BSI)报告。报告期限包括:在获悉事件后24小时内提交预警(初始报告),在72小时内提交后续报告,以及在一个月内提交最终报告。
权威机构,特别是英国标准协会(BSI),明确承认预警/初步报告可能不完整或基于初步评估。现阶段的重点是促进协调、风险评估,并在必要时提供技术支持。
GDPR
根据《通用数据保护条例》(GDPR),当事件构成个人数据泄露且可能对个人权利和自由造成风险时,即产生通知义务。因此,判断标准并非运营影响,而是对个人的风险,例如身份盗窃、欺诈或机密信息泄露。通常需要在72小时内向国家数据保护机构发出通知,如果风险较高,则可能需要通知受影响的个人。监管机构期望及时收到泄露通知,并可能在调查过程中要求提供补充信息。虽然GDPR并未正式将事后报告称为"报告",但监管机构通常会要求提供更新信息和补救措施计划。
除了 BSIG 和 GDPR 之外,德国特定行业的法律也可能触发与网络安全事件相关的通知义务。
金融部门
根据《数据泄露报告条例》(DORA),金融机构必须按照欧盟统一框架对网络安全、信息通信技术或支付相关事件进行分类,该框架区分重大事件和非重大事件。分类标准包括受影响服务的关键性、财务和运营影响、数据丢失、声誉影响以及跨境相关性。报告必须提交给德国联邦金融监管局(BaFin),即金融行业的监管机构。与《银行间安全指令》(BSIG)相比,DORA采用了更细致、更具规范性的阈值,反映了金融行业的高度敏感性。只有被归类为"重大"的事件才会触发完整的通报义务。DORA规定了严格的时限:初始报告必须在事件分类后四小时内提交(最迟在发现事件后24小时内提交),中期报告每72小时提交一次,最终报告必须在30天内提交。监管机构主要利用这些报告来评估运营韧性和第三方风险管理,而不是惩罚提前报告的行为。
关键基础设施运营商(KRITIS)
根据德国信息技术安全框架,关键服务运营商需承担更高的事件报告义务。自 2025 年 4 月 1 日起,将实施更严格的通知要求,包括首次事件通知的 24 小时期限。鉴于关键服务的系统重要性,即使是短期影响有限的中断也可能触发报告义务。
电信运营商
根据《电信法》(TKG)第168条的规定,电信运营商必须报告影响网络或服务的安全漏洞。必须同时向德国联邦信息安全局(BSI)和联邦网络管理局( Bundesnetzagentur )提交通知。这些义务与《通用数据保护条例》(GDPR)的漏洞通知要求并行,但彼此独立。
因此,德国的网络安全事件往往会触发多项法律制度下的并行通报义务,而每项制度的分类标准和时限各不相同。因此,在受监管或关键行业运营的组织必须同时根据多个法定阈值评估事件,并确保协调一致的报告,以避免延误或不一致。
2.4 国家责任和义务
德国政府对国家网络安全韧性负有首要责任,网络安全韧性是指公共机构和关键服务部门预防、抵御和从网络事件中恢复的能力。这一责任建立在协调一致的联邦方针之上,网络安全被视为关乎内部安全、经济稳定和公共安全的重要问题。政府的作用在于制定战略方向、确保运行准备就绪以及协调应对大规模或系统性网络事件。
在运作层面,职责集中在联邦层面,而州级政府则在特定领域和执法领域发挥作用。总体目标是维持公共服务的连续性,并限制对社会和经济的连锁反应。
威胁情报和信息共享
国家的核心义务之一是收集、分析和传播网络威胁情报。这项职责主要由德国联邦情报局 (BSI) 承担,BSI 从事件报告、技术分析和国际合作伙伴处收集信息。BSI 向公共机构和私营运营商发布预警、情况报告和技术建议。
信息共享机制结构化,但主要以合作为主。国家鼓励尽早报告和自愿交换信息,以提高态势感知和集体防御能力。虽然在某些制度下,相关实体必须参与,但更广泛的情报共享框架旨在支持预防而非执法。
公私合作
公私合作是德国网络安全模式的核心要素。德国政府积极推动与产业界的合作,因为该国大部分关键数字基础设施都由私营企业运营。合作平台包括行业工作组、信息共享论坛以及由德国联邦信息安全局 (BSI) 协调的联合响应机制。
国家网络防御中心在重大事件中扮演着协调枢纽的角色,促进安全机构与受影响的私营运营商之间的信息交流。这体现了一种以伙伴关系和责任共担为基础,而非纯粹自上而下监管的政策方针。
国际和欧盟层面的参与
德国在欧盟和国际层面也承担着责任,通过与欧盟机构、其他成员国和国际伙伴的合作,为提升集体网络安全韧性做出贡献。这包括参与跨境事件协调、与欧盟网络安全倡议保持一致以及参与国际威胁情报网络。
3. 金融领域的运营韧性
3.1 金融部门运营韧性监管的范围
德国金融业的运营韧性主要由《数字运营韧性评估框架》(DORA)规范,该框架自2025年1月起实施。DORA建立了一个统一的欧盟范围内的信息通信技术(ICT)风险管理框架,涵盖事件报告、数字运营韧性测试以及ICT第三方风险管理。它以适用于整个欧盟的协调机制取代了各自分散的国家做法。
DORA直接适用,无需各国进行国内转化。在德国,该法规由主管金融监管机构(特别是德国联邦金融监管局BaFin)与欧盟监管机构协调执行。
DORA涵盖范围广泛的受监管金融实体,包括:
- 信贷机构和支付机构;
- 投资公司和交易场所;
- 保险和再保险公司;以及
- 资产管理公司和其他受监管的金融市场参与者。
该框架适用于任何规模的机构,但比例原则允许根据实体的风险状况、复杂性和系统相关性来调整要求。
DORA具有强大的域外效力。尽管其正式目标受众是受欧盟监管的金融机构,但其要求也适用于为欧盟金融机构提供支持的非欧盟信息通信技术服务提供商。此类提供商必须接受合同规定的审计、访问和合作义务,如果被认定为关键服务提供商,则可能直接受到欧盟层面的监管。因此,为欧盟金融业提供服务的全球技术和云服务提供商必须使其安全、弹性和事件处理实践符合DORA的要求,才能继续保持其供应商地位。
实际上,DORA 与 NIS2/BSIG 等横向网络安全框架并行运作,但作为一项专门针对金融机构的法律而制定。因此,金融机构必须主要依据 DORA 管理运营弹性,同时在适用情况下确保与跨部门治理和报告义务保持一致。
3.2 信息通信技术服务提供商合同要求
在德国,对信息通信技术(ICT)和第三方服务提供商的强制性要求主要源于《数据保护条例》(DORA)和《信息安全条例》(BSIG,即NIS2实施细则)。信息通信技术服务提供商的定义广泛且功能明确,涵盖任何提供支持关键或受监管功能的数字化或数据相关服务的提供商,例如云服务、数据中心、软件、托管IT服务或网络基础设施。
监督的严重性和范围
关键性取决于该服务对金融机构运营连续性和安全性的重要性。根据《信息技术服务指令》(DORA),某些信息通信技术服务提供商也可能基于系统相关性、规模、可替代性和依赖性风险,在欧盟层面被指定为关键服务提供商。被指定的提供商受到直接监管,而其他提供商则通过对受监管实体施加的合同要求受到间接监管。
关键合同要求
受监管实体必须确保外包和信息通信技术服务合同包含特定的最低合同保障条款。这些条款通常涵盖:
- 明确定义的服务描述和安全要求;
- 事件通报和配合职责;
- 受监管实体和监管机构的审计、查阅和信息权;以及
- 终止权和退出权。
合同必须允许受监管实体证明其对外包职能的控制,并在整个外包生命周期中遵守监管要求。
查阅、检查和审计权
各监管制度的一项核心要求是,受监管实体必须保留有效的查阅、检查和审计权。这包括获取信息、开展审计或依赖联合审计的能力,以及在必要时使监管机构能够行使其自身的监督权。
实际上,这些权利必须在操作上可行。监管机构越来越关注审计权在云环境和大规模服务环境中是否具有实际意义,而不仅仅是合同性质的权利。
分包和链式外包
分包和链式外包是允许的,但须符合透明度和控制要求。受监管实体必须了解重要的分包安排,并保留评估相关风险的能力。在关键情况下,需要采用同意或通知机制。关键在于风险管理必须贯穿整个外包链。受监管实体不能通过依赖复杂的分包结构来逃避责任。
退出策略、数据可移植性和替代性
退出计划是第三方风险管理的核心要素。受监管实体必须确保合同中包含有序终止条款,包括数据可移植性、数据删除或返还,以及过渡期内的持续访问权限。各机构应提前评估替代方案,避免过度依赖单一供应商。对于关键服务,越来越需要经过验证的退出策略和切实可行的过渡计划。
数据位置和操作依赖关系
虽然数据本地化并非强制性要求,但受监管实体必须保持数据位置和处理的透明度。这包括了解数据和服务的托管位置,以及跨境依赖关系如何影响风险敞口。实际上,监管机构更关注数据位置和服务架构是否支持有效的事件响应、监管和业务连续性,而非严格的地理位置要求。然而,在欧盟境内设立或托管数据的服务提供商更容易管理,因为它们在统一的欧盟数据保护和网络安全框架下运营,这有利于监管、审计和执法。
集中风险管理
集中风险管理是监管的重点,尤其是在云服务和大型信息通信技术(ICT)供应商方面。受监管实体应识别、评估并降低因依赖少数供应商而产生的风险。缓解措施可能包括多元化、多供应商策略、加强监控和合同保障。监管机构越来越希望在战略层面而非仅仅作为技术采购问题来应对集中风险。
3.3 关键运营韧性义务
DORA要求金融机构的高级管理层承担信息通信技术(ICT)风险和韧性的责任,包括批准ICT风险策略、确保充足的资源,并将运营韧性融入更广泛的风险管理和内部控制系统。实际上,机构必须能够证明其在危机情况下拥有清晰的角色分工、升级路径和决策程序。
信息通信技术风险管理(核心控制预期)
DORA 要求建立一个全面的信息通信技术风险管理框架,涵盖识别、保护、检测、响应和恢复。实用的基本要素包括最新的资产和依赖关系视图、访问控制、日志记录和监控、安全配置以及规范的漏洞和补丁管理。该框架还必须解决云环境中的弹性问题,包括运行依赖关系和切实可行的业务连续性计划。
第三方风险是核心支柱。金融机构必须建立一套结构化的流程来评估和监控信息通信技术外包,包括集中风险以及对外包职能的控制能力。这包括合同保障措施和应对涉及关键供应商的突发事件的运营准备。
数字化运营弹性测试
金融机构必须定期对其信息通信技术(ICT)韧性和安全状况进行测试。测试应基于风险评估,并保持适当性,同时要足够稳健,以验证关键功能是否能够承受并从中断中恢复。对于更复杂或影响更大的机构,则适用更高的测试要求,监管机构也越来越关注测试是否能够带来可衡量的改进,而非仅仅将其视为一种形式主义的流程。
测试义务也会影响与第三方的关系。为关键职能提供支持的供应商应配合测试工作,并提供机构质量保证和验证流程所需的信息。
事件管理和报告
DORA要求金融机构维护结构化的事件检测、分类和响应程序,包括内部升级、遏制和恢复机制。重大信息通信技术(ICT)相关事件触发报告义务,评估标准包括对关键服务的影响、受影响的客户或交易数量、持续时间、地域范围以及重大的财务或数据相关影响。
重大事件需分阶段向主管机构(德国联邦金融监管局,BaFin)报告,包括初始通知、中期更新和事件解决后的最终报告。根据《国防运营协议》(DORA),信息通信技术(ICT)第三方供应商通常无需直接报告,但必须通过合同合作、快速信息共享和事件响应支持,确保及时报告。
与其他框架的互动(实际协调)
在实践中,运营弹性计划旨在满足DORA作为行业"深层监管"的要求,同时确保在个人数据受到影响的情况下,与GDPR的安全和违规处理保持一致。因此,运营的核心挑战在于协调:统一内部流程,在不同的报告渠道中保持事件叙述的一致性,并确保第三方合同和程序支持多监管合规。
3.4 运营韧性执行
DORA 建立了一个欧盟监管框架,其中首席监管员(隶属于欧洲监管机构联合委员会)负责对指定的关键信息通信技术第三方供应商进行监管。欧洲监管机构于 2025 年 11 月 18 日公布了首批指定的关键信息通信技术第三方供应商名单,这标志着直接监管的正式启动。
监管措施和调查工具
对于此类关键信息通信技术提供商,首席监管机构拥有一套工具包,旨在克服传统的监管障碍(例如缺乏准入、跨境服务提供、集中度高等问题)。具体而言,DORA 考虑了以下方面:
- 信息和文件请求(包括分包事宜)和后续报告要求;
- 一般性调查和现场/非现场检查,辅以正式决定和程序保障;
- 调查/检查后提出的建议将与受影响的金融机构的主管当局分享------关键信息通信技术提供商必须在规定的时间内作出回应("遵循或解释")。
欧洲航天局发布的《DORA 监管活动指南》(2025 年 7 月 15 日)也提供了一个实用的"我们将如何做这件事"的层面,该指南(虽然不具有法律约束力)表明了监管期望和流程机制。
制裁权力和典型处罚范围(关键信息通信技术提供商)
欧盟层面最显著的制裁手段是定期支付罚款,以强制合作和整改。DORA允许首席监管机构对不合规行为处以每日罚款------最高可达服务提供商全球日均营业额的1%,最长可达六个月(直至合规为止)。
目前尚未对指定的关键信息通信技术提供商实施公开的、针对特定提供商的制裁(该机制仍处于早期阶段),但惩罚支付机制明确设计用于在访问/合作受阻时快速升级。
这在实践中意味着什么
即使关键的 ICT 提供商总部位于德国境外(或欧盟境外),监管制度也旨在确保在提供商对欧盟金融服务具有系统性作用的情况下仍然有效(包括通过该条例序言中讨论的"业务存在"预期)。
3.5 国际数据传输
德国没有像欧盟那样,实施严格的"数据必须留在国内"的、以网络安全为导向的通用数据本地化规则。相反,跨境数据处理主要受欧盟数据保护法(GDPR)的约束,在金融领域则受德国数据监管局(DORA)的ICT第三方风险框架的约束。实际上,这意味着企业可以使用全球供应商,但即使服务和数据来自欧盟以外地区,也必须能够证明其具备控制力、可审计性和可恢复性。
DORA并未禁止向第三国外包,而是将地域性和跨境依赖性视为核心韧性因素。信息登记制度是一项切实可行的手段:金融机构必须全面记录信息通信技术(ICT)外包情况,包括为关键或重要职能提供ICT服务的相关分包商。这有助于监管机构识别地域依赖性和集中模式,并迫使企业了解其关键ICT服务的实际交付地点。
欧盟和行业外包指南(通常被用作实践中的基准)反复强调,当服务提供商或数据处理环节位于欧盟境外时,以下五个方面会变得更加复杂:数据和系统安全、数据位置和处理位置、访问和审计权限、链式外包以及退出策略/应急计划。从韧性角度来看,"第三国"问题通常不在于服务器位于何处,而在于外国法律限制(例如,信息披露或审计限制)是否会削弱监管、事件响应或恢复计划。
因此,市场的一个普遍现象是,欧盟托管/欧盟设立的服务提供商在运营上更容易管理,因为统一的欧盟法律基准通常会减少监管访问、审计执行和执法方面的摩擦(尤其是在与符合 GDPR 的合同安排相结合时)。
如果运营弹性外包涉及个人数据且数据离开欧洲经济区 (EEA),则 GDPR 传输规则与 DORA/外包治理并行适用。主要的法律机制包括:
- 充分性决定(如目的地司法管辖区有此类决定);
- 标准合同条款(SCC),通常与补充措施相结合;
- 集团内部转让的约束性公司规则(BCR);以及
- 针对特殊情况的狭义例外(例如,GDPR 第 49 条)(不是可扩展的外包解决方案)。
Schrems II 之后的监管期望主要集中在对第三国风险进行有记录的、针对具体案例的评估,并在需要时采取补充措施(例如,使用密钥控制的加密、组织和合同保障措施),以确保"实质上等效"的保护。
3.6 威胁主导的渗透测试
德国主要的"强制性"威胁驱动型渗透测试 (TLPT) 机制是 DORA(欧盟范围内)。DORA 将 TLPT 确立为特定金融机构的高级测试要求,并通过欧盟层面采纳的专门监管技术标准 (RTS) 实施,该标准与 TIBER-EU 方法论相一致。
与此同时,德国拥有成熟的基于威胁情报的红队演练框架TIBER-DE,由德国联邦银行作为国家能力中心运营。TIBER-DE是TIBER-EU的德国国家级实现,已被用作德国金融行业的高质量测试标准。
需要执行TLPT的实体
TLPT并非适用于所有DORA实体。主管机构(在德国通常是德国联邦金融监管局(BaFin),对于某些机构,欧洲央行在其职权范围内也负责)会确定哪些金融机构必须进行TLPT。
TIBER-DE 可用作监管/监督工具,以测试金融领域的网络韧性;参与和时间安排通常根据 TIBER 方法与相关当局协调。
TLPT循环
在 TLPT 为强制性规定的情况下,监管机构(德国联邦金融监管局)遵循至少"每三年一次"的 TLPT 周期,但需视监管预期和实体特定风险而定。
测试人员要求
一项专门针对 DORA TLPT 的 RTS 规定了以下要求:
- 使用内部测试人员(以及使用内部测试人员的条件/标准);
- TLPT各阶段的范围和方法;以及
- 围绕执行、结束和补救的治理。
TIBER-EU 测试通常由专业的外部威胁情报提供商和红队测试人员执行,对测试人员的能力和在真实系统上进行受控测试有着明确的要求。德国联邦银行提供支持性文件和采购指南,以帮助各机构根据 TIBER 模式选择合适的供应商。
承认其他司法管辖区的等效测试
TIBER-EU 的一项关键设计特点是促进欧洲各司法管辖区之间测试结果的相互认可,前提是该测试符合框架的强制性要求。这对于寻求避免重复测试并希望在多个监管机构面前统一韧性证据的跨境集团而言尤为重要。
4. 网络韧性
4.1 网络韧性立法
德国的网络韧性要求并非由单一的独立法规构成,而是由欧盟法规和国家实施法组成的多层框架进行规范。监管重点已从单纯的组织网络安全责任转向更广泛的韧性概念,涵盖产品、服务和供应链。
在跨行业层面,网络韧性主要由德国通过新的BSIG实施NIS2指令所推动。该机制针对被归类为关键或重要实体的组织,强调治理、风险管理、事件处理和业务连续性。它并未对单个产品直接施加安全设计要求,但间接提高了关键运营中使用的系统和服务的安全预期。
CRA 旨在提升产品本身的网络韧性,它为投放欧盟市场的含数字元素产品引入了具有约束力的横向安全设计要求和默认安全要求。CRA 明确涵盖联网设备、嵌入式软件和独立软件产品,无论制造商位于何处。其主要义务将于 2027 年起生效,并具有强大的域外效力。
纯粹的数字服务,包括软件即服务 (SaaS),通常不被视为《网络安全法》(CRA) 下的产品,因为其中并不包含任何投放市场的软件。相反,它们主要通过组织机构监管,例如 NIS2/新版 BSIG,或特定行业的监管框架,例如金融领域的 DORA。总体而言,德国的网络安全韧性监管涵盖整个生命周期,产品设计、服务交付和组织治理分别通过互补但又各自独立的法律制度进行监管。
4.2 法律规定的主要义务
在德国,产品层面的网络安全韧性义务主要由欧盟网络安全法规 (CRA) 制定,该法规直接适用,并通过欧盟市场监管系统强制执行。与组织机构的网络安全机制不同,CRA 为投放欧盟市场的包含数字元素的产品设定了安全设计要求和生命周期责任。其重点在于预防漏洞、长期管理风险以及确保产品上市后的责任落实。
漏洞处理、修补和更新
制造商必须实施结构化的漏洞处理流程,涵盖漏洞检测、评估、修复和沟通。必须在规定的支持期内提供安全更新,该支持期通常应与产品的预期生命周期相符。更新的提供方式必须便于用户有效安装,确保漏洞能够在实践中得到缓解,而不仅仅是停留在理论层面。
上市后监测和纠正措施
网络安全韧性义务在产品投放市场后依然存在。制造商必须积极监控产品是否存在漏洞和安全事件,并在发现不合规情况时采取纠正措施。根据问题的严重程度,纠正措施可能包括发布安全更新,或者如果风险无法得到充分缓解,则可能需要撤回或召回产品。
合格评定、标志和认证
在产品投放市场前,制造商必须进行合格评定,准备技术文件并出具欧盟合格声明。合格产品必须带有CE标志。对于某些高风险产品类别,合格评定可能涉及更严格的程序,包括第三方评估,这会影响产品开发周期和市场准入。
执法与处罚
执法工作由市场监管机构负责------在德国,主要是联邦信息服务局(BSI)。监管机构可以要求提供信息、责令整改、限制市场供应或要求召回产品。行政罚款最高可达1500万欧元或全球年营业额的2.5%,具体金额取决于违规行为的类型和严重程度。总体而言,《网络安全法》将经济制裁与强有力的纠正措施相结合,以确保在实践中有效提升网络安全韧性。
5. 信息通信技术产品、服务和流程的安全认证
5.1 关键网络安全认证法规
德国的网络安全认证体系主要由德国联邦信息安全局 (BSI) 管理。BSI 根据《信息技术安全法 2.0》和《欧盟网络安全法》担任德国国家网络安全认证机构 (NCCA) 的职务。在此职责范围内,BSI 负责制定国家认证方案、实施欧盟范围内的认证框架以及监管认可的机构和方案。
德国的做法是将国家层面建立的框架与新兴的欧盟范围内的认证体系相结合,使组织能够在产品、服务和组织层面证明其网络安全保障。
核心国家框架
德国网络安全实践的核心支柱之一是BSI IT-Grundschutz,它是一套用于实施和运行信息安全管理体系(ISMS)的综合方法论。IT-Grundschutz被广泛认为比纯粹基于风险的标准更具规范性和详细性,并经常应用于公共部门和受监管行业。
与此密切相关的是基于IT基础保护的ISO/IEC 27001认证,该认证允许组织在应用BSI方法论的同时,证明其符合国际ISO 27001标准。虽然法律上规定此项认证为自愿性质,但它实际上常常提醒采购、外包决策和监管预期。
在汽车行业,网络安全保障通常通过TISAX(可信信息安全评估交换)来证明。虽然TISAX并非强制性认证,但对于处理汽车供应链中敏感信息的供应商而言,它实际上是强制性的,并在市场准入方面发挥着关键作用。
欧盟网络安全认证框架
在欧盟层面,《欧盟网络安全法》建立了一套统一的信息通信技术产品、服务和流程认证框架。该框架下的认证方案基于既定的保证级别(基本、实质性和高级),旨在确保成员国之间的可比性。
德国的一项关键计划是 EUCC(基于欧洲通用标准的网络安全认证),它建立在成熟的通用标准方法论之上,并自 2025 年 2 月起开始实施。EUCC 有望逐步取代或协调各国通用标准计划,特别是对于具有跨境相关性的产品。
此外,欧盟云服务网络安全认证体系EUCS目前正由欧盟网络安全局(ENISA)开发。虽然该体系尚未正式实施,但一旦采用,预计将对云服务提供商和受监管客户产生高度重要性。
特定行业安全要求
除了认证体系之外,德国还实施特定行业的网络安全义务,尤其针对关键基础设施运营商(KRITIS)。根据德国对欧盟网络安全法的实施情况,这些实体须遵守更高的安全和合规要求,并由德国联邦信息安全局(BSI)进行监管。虽然KRITIS规则并未强制要求特定的认证,但通常会使用诸如IT基础安全认证(IT-Grundschutz)或ISO 27001等公认的框架来证明其合规性。
在德国,网络安全认证在法律上通常是自愿的,但在实践中却是强制性的。公共部门客户、受监管实体和大型工业客户经常要求企业获得认证和认可的评估体系,以此作为采购、外包或参与供应链的条件。随着欧盟体系的日益完善,跨境运营的组织越来越需要使其国家认证战略与欧盟范围内的要求保持一致。
6. 其他法规中的网络安全
6.1 网络安全和数据保护
在德国,个人数据处理的网络安全要求主要受《通用数据保护条例》(GDPR) 的约束,并由《联邦数据保护法》(BDSG) 补充。各组织必须基于风险评估方法,实施适当的技术和组织措施,以保障数据的保密性、完整性、可用性和系统弹性。
该法律避免制定强制性的技术标准。相反,安全措施必须反映数据的性质、处理目的、对个人的潜在风险以及现有技术水平。在实践中,这通常包括访问控制、加密、日志记录和事件响应能力。
数据保护法并未设立独立的网络安全机制,而是将网络安全融入到所有个人数据处理环节的合规流程中。涉及个人数据的网络安全事件通常会触发《通用数据保护条例》(GDPR) 和特定行业网络安全框架下的并行义务,因此需要协调一致的治理和升级流程。
个人数据泄露包括违反保密性、完整性或可用性的行为。如果泄露事件可能对个人造成风险,则必须在知悉泄露事件后 72 小时内通知监管机构。如果存在高风险,除有效加密等少数例外情况外,也必须毫不拖延地通知受影响的个人。
通知必须描述违规行为的性质和范围、可能造成的后果以及已采取或计划采取的缓解措施。如有必要,信息可以分阶段提供。德国当局积极执行这些义务,并要求相关方展现出切实的准备,包括有据可查的风险评估和经过测试的事件响应程序。
6.2 网络安全与人工智能
在德国,人工智能系统的网络安全义务主要源于欧盟《人工智能法》,该法引入了基于风险分类的横向要求。尽管《人工智能法》严格意义上并非网络安全法,但它在其风险管理和治理框架中融入了安全设计和弹性预期------尤其针对高风险人工智能系统。
对于高风险人工智能,供应商必须确保系统在整个生命周期内具备适当的稳健性和网络安全水平,包括防范篡改、数据投毒和类似攻击。安全性被视为一项固有的质量要求,而不仅仅是一项操作措施。
《人工智能法案》还涉及供应链和组件安全。供应商仍需对训练数据、预训练模型和第三方组件带来的风险负责,并必须维护与系统风险状况相称的适当文档、可追溯性和控制措施。
高风险人工智能系统须遵守上市后监测和事件报告义务。严重事件或故障必须立即报告给主管当局。这些义务是对网络安全和数据保护法项下现有通知义务的补充,这意味着单一事件可能触发多种报告机制。
人工智能相关的网络安全要求与 GDPR、NIS2/新版 BSIG 以及(如适用)CRA 下的一般义务密切相关。在处理个人数据的情况下,GDPR 的安全和违规通知规则完全适用。实际上,各组织应将人工智能治理整合到其现有的网络安全和数据保护框架中,以确保跨体系的风险管理和事件响应的一致性。
6.3 医疗保健领域的网络安全
在德国,由于健康数据的敏感性和医疗服务的关键性,医疗机构承担着更高的网络安全义务。这些义务源于数据保护法、特定行业的医疗法规以及通用网络安全立法。许多医院和大型医疗机构被列为关键基础设施(KRITIS)运营商,必须在德国联邦安全局(BSI)的监督下,实施基于风险的技术和组织措施,包括事件响应计划和定期安全评估。
医疗器械的网络安全要求主要受欧盟产品法规的约束。根据《医疗器械法规》(欧盟法规 2017/745 -- MDR),制造商必须在产品生命周期内应对网络安全风险。如果医疗器械被认定为含有数字元件的产品,则可能适用额外的欧盟横向网络安全要求,这些要求会强化安全设计、漏洞管理和更新能力。
德国的电子健康记录系统和数字健康基础设施须遵守特定的法定安全要求,包括访问控制、身份验证和加密。合规性通常与认证或审批流程相关,并且是参与国家医疗信息技术系统和报销计划的先决条件。
医疗机构在数据保护和网络安全法律方面面临着重叠的事件报告义务。较短的报告时限反映了其对患者安全和服务连续性的潜在影响。网络安全认证在医疗采购中也发挥着关键作用,获得认可的标准通常是市场准入和公共部门合同的必要条件。