Humotica/tibet-nis2

# tibet-nis2 — NIS2 指令合规工具 **NIS2（指令 2022/2555）的截止日期已过。** 欧盟的每个基本和重要实体都必须遵守。没有例外，没有延期，没有借口。 tibet-nis2 是一个独立的合规工具，涵盖了 **NIS2 第 21(2) 条的所有十个子条款** — 从风险评估到多因素认证 — 每个评估、决策和事件都有完整的 TIBET 审计跟踪。 ## 为什么存在这个工具 欧盟采用 NIS2 是因为网络事件不断升级： - **Odido 破坏（2024）** — 数百万客户记录被曝光。本应具备供应链安全和事件响应的电信提供商。NIS2 第 21(2)(d) 条正是为此而写。 - **Politie cookies 破坏** — 荷兰警察系统因一个微不足道的 Web 漏洞而受到损害。基本的网络安全（第 21(2)(g) 条）本可以防止这种情况发生。 - **欧盟医院中的勒索软件** — 由于缺少备份和业务连续性计划（第 21(2)(c) 条），患者数据被劫持。 NIS2 不是官僚主义。它是 2025 年运营关键基础设施的最低标准。 ## 它涵盖的内容 NIS2 第 21(2) 条的所有十个网络安全风险管理措施： | 子条款 | 要求 | tibet-nis2 | |-------------|-------------|------------| | (a) | 风险分析与信息系统安全策略 | 资产清单 + 风险评估 | | (b) | 事件处理 | 24h/72h/最终报告模板 | | (c) | 业务连续性与危机管理 | 连续性检查 | | (d) | 供应链安全 | 依赖性映射 + 验证 | | (e) | 网络或信息系统采购中的安全 | 采购检查 | | (f) | 评估风险管理有效性 | 评分 + 差距分析 | | (g) | 基本网络安全与网络安全培训 | 卫生清单 | | (h) | 密码学与加密策略 | 密码审计 | | (i) | 人力资源安全、访问控制、资产管理 | 访问 + 资产检查 | | (j) | 多因素认证 | MFA 验证 | 每个检查都会生成一个 **TIBET 令牌** — 一个不可变的来源记录，将评估与资产、审计员和 NIS2 条文联系起来。 ## 安装 ``` pip install tibet-nis2 ``` 或从源代码： ``` git clone https://github.com/jaspertvdm/tibet-nis2.git cd tibet-nis2 pip install -e . ``` ## 快速入门 ``` from tibet_nis2 import NIS2Auditor, Asset auditor = NIS2Auditor(organization="Acme BV", sector="essential") # 注册资产 auditor.add_asset(Asset( id="srv-prod-01", name="Production Database", category="ESSENTIAL", asset_type="database", owner="infra-team", criticality=5, )) auditor.add_asset(Asset( id="fw-edge-01", name="Edge Firewall", category="ESSENTIAL", asset_type="network", owner="security-team", criticality=5, dependencies=["srv-prod-01"], )) # 运行全面合规检查 report = auditor.check_compliance() print(f"Score: {report.overall_score}/100") print(f"Compliant: {report.compliant}") print(f"Gaps: {len(report.gaps)}") # 事件响应 incident = auditor.incident_report( asset_id="srv-prod-01", incident_type="data_breach", description="Unauthorized access to customer database detected", ) print(f"Early warning deadline: {incident.early_warning_deadline}") print(f"Full report deadline: {incident.full_report_deadline}") ``` ## CLI 命令 ``` # NIS2概述——它是什么，谁必须遵守，截止日期 tibet-nis2 info # 运行合规检查（演示模式，带示例资产） tibet-nis2 check # 显示资产清单 tibet-nis2 assets # 事件响应演示（模拟Odido式违规） tibet-nis2 incident # 全面演示：资产→风险→合规→事件→截止日期 tibet-nis2 demo # 显示所有第21(2)条子条款和覆盖状态 tibet-nis2 articles # JSON输出（所有命令） tibet-nis2 check --json tibet-nis2 assets --json ``` ## TIBET 审计跟踪 每个评估都会生成具有 TIBET 结构的来源令牌： - **ERIN** — 评估了什么，发现了什么 - **ERAAN** — 相关资产、依赖关系、JIS 身份 - **EROMHEEN** — 审计节点、时间戳、NIS2 条文参考 - **ERACHTER** — “为什么”：哪个 NIS2 条文满足此要求 ``` auditor = NIS2Auditor(organization="Acme BV") # ...添加资产，运行检查... chain = auditor.provenance.chain() # 每个令牌都有关联、哈希和可追溯 ``` ## TIBET 生态系统的一部分 tibet-nis2 是 TIBET 协议家族的一部分： - **tibet-core** — 来源令牌引擎 - **tibet-pol** — 策略执行（无证据则不采取行动） - **tibet-twin** — 数字孪生同步守护者 - **tibet-y2k38** — Y2038 时间溢出保护 - **tibet-edge** — 边缘设备来源 - **tibet-nis2** — NIS2 合规（此包） 作者：J. van de Meent & R. AI（Root AI） 许可：MIT — Humotica AI Lab 2025

标签：GPT, NIS2合规, ProjectDiscovery, Streamlit, TIBET审计, 业务连续性, 业务连续性计划, 人力资源安全, 供应链风险管理, 供应链验证, 加密审计, 加密技术, 加密政策, 勒索软件, 医疗保健安全, 占用监测, 危机管理, 合规工具, 基本网络安全, 备份恢复, 多因素认证, 威胁情报, 安全合规, 安全合规性工具, 安全合规性检查, 安全合规性解决方案, 安全合规性评估, 安全策略, 客户数据安全, 开发者工具, 提示词设计, 攻击防御, 数据保护, 欧盟法规, 漏洞修复, 漏洞管理, 电信安全, 网络代理, 网络安全, 网络安全培训, 网络安全意识, 警察系统安全, 访问控制, 资产管理, 逆向工具, 采购检查, 隐私保护