将 NIS2 作为工程规范来解读

《网络与信息安全指令》（NIS2）最常被讨论的方式是合规义务——一组需要勾选的方框、需要填写的风险评估模板、需要满足的事件报告时限。这种解读忽略了一个更有意思的问题：NIS2 对系统应如何被设计提出了什么隐含要求？

将 NIS2 作为工程规范来解读，它提出了若干值得明确阐述的隐含架构要求。

供应链溯源不可选择

第 21(2)(d) 条要求采取"供应链安全措施，包括与每个实体及其直接供应商或服务提供商之间关系相关的安全方面"。从工程角度：您需要一个文档化的、可审计的供应链溯源模型。不是供应商问卷——而是将组件身份与供应链节点身份连接起来的模型，尽可能带有密码学证明。

事件报告意味着监测能力

24 小时初始通知要求（第 23 条）不仅仅是流程要求——它是监测能力要求。您无法报告您检测不到的东西。将受 NIS2 约束的系统需要能够在数小时而非数天内发现异常的检测管道。

风险评估需要证据

第 21(1) 条要求"适当且成比例的技术、运营和组织措施来管理风险"。"成比例"一词暗示风险评估应基于证据而非清单。对风险的成比例回应要求对风险进行量化理解——这反过来需要我们在智安睿使用的那种分级证据框架。