前言：2026年1月，欧洲委员会公布了一揽子具有里程碑意义的立法方案，旨在重新校准欧盟的数字防御体系。这一被称为"双重出击"的方案——由修订版NIS 2指令与《网络安全法案 2》（Cybersecurity Act 2）组成——标志着欧盟在网络安全战略上的一次重大转向，目标是建立一个更加灵活、更加协调、也更具未来适应性的防御体系。截至2026年2月下旬，这些仍然是立法提案，尚待最终批准。

对于法律与合规负责人而言，必须清醒认识到：这并非一次简单的更新，而是对欧盟网络安全架构的根本性重构。其目标是在显著提升安全性的同时，大幅削减《德拉吉欧洲竞争力报告》中所指出的"繁文缛节"。

一、立法支柱

欧盟的网络安全战略建立在两项彼此独立、但又高度互联的立法工具之上：

《NIS 2指令》（Directive (EU) 2022/2555）：其核心目标是在18个关键领域内确保一个高水平、统一的网络安全标准。该指令聚焦于实体的合规义务，包括强制性的风险管理措施、事件通报机制，以及对高层管理人员的问责。

《网络安全法案》（CSA）及CSA 2：如果说NIS 2规定了实体"必须做什么"，那么CSA则提供了实现这些目标所需的"工具与机构"。它确立了ENISA（欧盟网络安全局）的长期授权地位，并创建了欧洲网络安全认证框架。

二者的联动关系：新的立法组合进一步强化了这两者之间的联系。在2026年修订案下，依据CSA框架获得的认证不再只是"荣誉徽章"，而是成为实体证明其已履行NIS 2法律义务的重要方式。这种所谓的"合规推定"机制，实际上将技术认证转化为法律上的安全港。

二、数字钱包：新的关键基础设施

2026 年立法方案中的一项重要新增内容，是将"钱包"服务提供者纳入关键实体（Essential Entities）的范畴。这些工具是修订后的eIDAS 2法规（欧洲数字身份框架）的基石。

欧洲数字身份钱包（EUDI Wallets）：这是面向公民与居民的个人移动应用，用于安全存储数字身份证件、学历证明、健康记录等，并可创建具有法律效力的电子签名。

欧洲企业钱包（European Business Wallets）：作为对EUDI钱包的补充而引入，该钱包专门面向法人实体（企业与组织）。它使企业能够在跨境B2B或B2G交易中安全地进行身份识别，交换官方许可文件，并管理税务或增值税凭证。

通过将这些钱包提供者归类为"关键实体"，欧盟确保了其数字经济的"钥匙"能够受到最高等级的安全保护。

三、欧洲认证框架：起源与演进

2019年的首部《网络安全法案》首次引入了一个欧盟范围内的、以自愿为基础的认证框架，用于信息与通信技术（ICT）产品、服务及流程。

新前沿："网络安全态势"认证

2026年框架中最具创新性的变化，在于认证对象从"具体事物"转向"组织本身"。

传统认证：用于验证某一特定产品的安全性，例如防火墙或云数据库。

整体网络安全态势：这种新型认证评估的是一个组织的整体成熟度，包括其管理流程、事件响应演练以及供应链监管能力。这使企业能够对其整体"韧性"进行认证，而不再需要管理成百上千个独立的产品证书。

是否仅适用于NIS 2管辖实体？

并非如此。该框架面向整个内部市场，是任何制造商或服务提供者都可以用来提升信任与透明度的通用工具。但2026年立法方案引入了一种明显的"监管牵引力"：

对于NIS 2管辖实体，使用已认证的产品或取得态势认证，是向监管机构证明合规性的最高效方式。

欧盟委员会现在可以通过实施性法案，要求特定关键行业（如能源电网或金融基础设施）强制采用认证机制。

四、溯源：可信ICT供应链框架

《网络安全法案2》引入了一套严格的框架，专门针对供应链中的非技术性风险，尤其是来自第三国高风险供应商的风险。

安全评估：与代码审计不同，这类评估关注的是"地缘政治溯源"。其评估内容包括：某一供应商是否可能受到第三国干预，该判断依据包括该国的情报法律、人权记录以及法治状况。

禁止权力：对于"关键ICT资产"，欧盟委员会现在可以禁止使用来自高风险供应商的组件。这些供应商也可能被排除在公共采购和欧盟资助之外。

五、比例原则："小型中型市值企业"缓冲机制

为保护欧盟经济的核心引擎，2026年修订案引入了一个新的监管层级：小型中型市值企业（Small Mid-Cap Enterprise, SMC）。

认定标准：

欧盟委员会建议（EU）2025/1099（2025年5月）：最初将SMC定义为雇员少于750人，且营业额不超过1.5亿欧元，或资产负债表总额不超过1.29亿欧元的企业。

欧洲议会修订后的门槛（2026年2月）：为提升欧洲竞争力，议会委员会支持采用更宽泛的定义：雇员少超过1,000人，营业额不超过2亿欧元，或总资产不超过1.72亿欧元。

监管减负措施：这些企业被归类为"重要实体（Important Entities）"，而非"关键实体"。它们仍需遵守安全标准，但适用"轻触式"监管模式——监管机构通常仅在事件发生后（事后监管）介入，而非持续进行主动审计（事前监管）。

六、面向未来：后量子密码与勒索软件情报

该立法方案还引入了一系列前瞻性要求，以应对下一代威胁：

后量子密码（PQC）：成员国必须制定国家层面的 PQC 迁移政策，关键应用场景的目标期限为2030年，其他场景为2035年，以防范未来量子计算带来的威胁。

勒索软件数据收集：将建立一个统一框架，用于收集勒索软件攻击路径及赎金支付数据。这些情报将与网络安全事件响应团队及ENISA共享，用以构建覆盖全欧盟的应对战略。

ENISA职权增强：ENISA被授权建议设立"联合审查小组"，用于监管跨境运营的高风险实体，确保监管范围与受监管企业的全球化程度相匹配。

七、潜在影响与结论

2026年修订方案宣告了"清单式合规"的终结。通过整合后量子密码要求、数字钱包以及组织层面的态势认证，欧盟正在构建一座既安全、又可通行的"数字堡垒"。

对于跨国企业而言，向最大化统一的转变——即成员国被禁止在委员会设定的标准之上叠加本国"特色规则"——真正塑造了一个数字单一市场。前进路径已十分清晰：审计供应链的"溯源"风险，研究"态势"认证以简化合规审计，并为在2030年前过渡到后量子安全做好准备。

（原标题：司凯合规 | 2026年欧盟网络安全的演进：新监管格局的全面指南）

来源：司凯律师事务所

声明：本文是司凯律师事务所专业团队严肃创作的作品，作品附属的权利和利益已由司凯专业团队的律师授权司凯律师事务所行使。未经本所书面同意，在任何情形下，作品所呈现出的有关的法律分析、观点和建议，均不可以理解为本所或本所律师向任何单位或个人提供的专业意见或建议。