NIS2 + DORA：关键基础设施的身份验证实践 (ZH)

两项欧盟法规正在重塑重要和金融组织自我防御的方式。NIS2（第二版网络和信息安全指令）提高了能源、交通、健康、数字基础设施等关键和重要行业的网络安全基线。DORA（数字运营韧性法案）专门针对金融行业执行相同操作，重点关注信息和通信技术（ICT）风险以及金融实体所依赖的第三方。

它们从不同角度解决问题，但在相同的控制措施上达成一致：了解谁拥有访问权限，严格验证身份，并管理供应商引入的风险。身份验证是这三者的核心。本文解释了NIS2和DORA的要求，身份为何具有承重作用，以及Didit（作为验证引擎和经认证的供应商）如何帮助您满足这些要求。

主要收获

• NIS2在重要和关键行业强制执行风险管理措施、强大的访问控制和供应链安全。
• DORA管理金融服务中的ICT风险，包括ICT第三方提供商注册和严格的供应商风险管理。
• 这两个制度都严重依赖身份验证和访问控制——如果没有对“这个人是谁？”的可靠答案，就无法保护系统。
• Didit为员工、承包商和高价值客户的入职提供高保证的身份验证——文件验证、NFC、活体检测、生物识别面部匹配。
• 作为ICT第三方本身，Didit通过具体证明降低了您的供应商风险负担：SOC 2 Type 1（ATOM，截至2026年4月9日），ISO/IEC 27001:2022（必维国际检验集团，证书编号ES144068，有效期至2027年6月3日），以及iBeta Level 1 PAD。
• Webhook驱动的审计跟踪（status.updated, data.updated）为您提供了这两个制度所期望的证据。

规则要求

NIS2将原始指令的范围扩大到更多的行业，并收紧了义务。其核心要求包括：与风险相称的网络安全风险管理措施、事件处理和报告、业务连续性规划，以及——对身份至关重要的——访问控制策略、在适当时使用多因素或持续身份验证，以及考虑直接供应商和服务提供商安全性的供应链安全。管理机构负责，当控制措施不足时，监管机构可以采取行动。

DORA将重点放在金融实体及其应对ICT中断的韧性上。它在五个支柱中设定了要求：ICT风险管理、事件报告、数字运营韧性测试、信息共享和ICT第三方风险管理。最后一个支柱涉及每个供应商：金融实体必须维护所有ICT第三方安排的信息登记册，在关系建立前和建立期间评估供应商引入的风险，并确保合同和监督条款到位。强大的身份和访问控制是风险管理和韧性测试支柱的基础。

共同点是：如果您无法可靠地建立身份——访问系统的人员以及您链条中的供应商的身份——就无法展示运营韧性或网络安全。

重要性

关键基础设施正是攻击者集中的地方，因为其影响范围最大。NIS2和DORA之所以存在，是因为监管机构观察到单一供应商的事件会引发中断、数据泄露和系统性风险。惩罚措施也反映了这一点：巨额罚款、管理层问责和监管干预。

具体到身份，两种故障模式反复出现。首先，弱验证——允许欺诈或冒充的身份通过入职或账户恢复，这在之后会成为访问控制故障。其次，未管理的第三方风险——依赖一个其自身安全状况无法证明的供应商（如身份提供商）。这两个制度都迫使您弥补这些漏洞，并保留记录证明您已这样做。

Didit如何提供帮助

Didit在NIS2和DORA下解决了身份方程的两方面问题。

作为您的身份验证层：

• 为客户、员工和承包商提供高保证验证：涵盖14,000多种文档类型的文件验证（0.15美元）、NFC芯片读取（0.15美元）、被动（0.10美元）和主动（0.15美元）活体检测，以及人脸1:1匹配（0.05美元）。
• 抗攻击生物识别技术——通过iBeta Level 1（ISO/IEC 30107-3）演示攻击检测测试，在360次尝试中攻击成功率为0%——这是访问控制策略应基于的证据。
• 在受监管的关系需要时，进行反洗钱和制裁筛查（0.20美元，1,300多个列表）和持续监控（0.07美元/用户/年）。
• 通过无代码工作流构建器进行可组合编排，以便您根据风险应用适当的控制。

作为经认证的ICT第三方——减轻您的DORA注册和NIS2供应链义务：

• 由ATOM进行的SOC 2 Type 1证明，涵盖安全性、可用性和保密性，自2026年4月9日起生效（完整报告在NDA下受限使用）。
• 由必维国际检验集团认证的ISO/IEC 27001:2022证书，证书编号ES144068，有效期至2027年6月3日——可分发的认证信息安全管理系统证据。
• iBeta Level 1 PAD合规函——可分发，用于生物识别控制保证。

这些提供了您的采购和风险团队在评估Didit作为ICT第三方注册提供商时所需的工件。

深入探讨：DORA第三方注册中的身份

根据DORA，所有ICT第三方安排都应纳入信息注册册，您的监管机构可以要求查阅。对于每个提供商，您需要了解其支持的功能、该功能的关键性以及提供商引入的风险——并有证据支持。

当提供商是您的身份验证供应商时，您想要的证据正是Didit可以提供的：一份独立的SOC 2证明，描述其控制措施的设计；一份ISO/IEC 27001证书，证明管理的信息安全系统；以及一份生物识别iBeta结果，量化防欺骗性能。将这些与Didit的webhook驱动审计跟踪（status.updated和data.updated事件记录每次验证的生命周期）结合起来，您就拥有了供应商级别的保证，用于注册，以及交易级别的记录，用于韧性测试和事件调查。

这种组合将一个可能成为风险项的供应商，转变为一个缩短您尽职调查周期的供应商。

用例

• 银行、电子货币机构和支付机构评估其身份堆栈的DORA ICT第三方风险。
• 受DORA金融部门范围覆盖的加密资产服务提供商。
• 受NIS2强化访问控制和供应链安全约束的关键服务运营商（能源、交通、健康、数字基础设施）。
• 管理服务提供商，必须证明其为客户部署的身份工具的安全性。

常见问题

NIS2和DORA是否适用于相同的组织？

不完全是。NIS2涵盖许多行业的重要和关键实体；DORA涵盖金融实体及其ICT提供商。许多金融组织同时受两者约束，且控制措施高度重叠。

这些规则是否真的要求身份验证？

这些规则要求强大的访问控制、风险管理和第三方监督。可靠的身份验证是这三者的基础——没有它，您就无法强制执行访问控制或审查供应商的用户。

Didit为DORA的ICT第三方注册提供了什么？

Didit可以提供SOC 2 Type 1、ISO/IEC 27001:2022（证书ES144068）和iBeta Level 1 PAD证据，以及基于webhook的审计跟踪——您的风险团队评估和记录Didit作为提供商所需的工件。

Didit的SOC 2是Type 1还是Type 2？

它是Type 1证明（截至2026年4月9日的控制设计）。Type 2审查正在计划中。完整报告受限使用，并在NDA下共享。

我可以获取ISO 27001证书以便内部共享吗？

是的——ISO/IEC 27001:2022证书（必维国际检验集团，证书编号ES144068）可应要求分发。

准备好开始了吗？

请访问信任中心查看Didit的认证和安全状况，探索身份验证产品，并在定价页面查看透明定价。准备好后，免费开始——每月500次免费KYC检查，核心验证流程从0.33美元起。