网络安全法规旨在确保关键行业认真对待真实存在的网络攻击威胁。随着NIS2 指令的出台,欧洲联盟(欧盟)在加强现有网络安全框架方面迈出了重要一步。该指令于 2022 年 12 月 14 日通过,旨在为整个欧盟建立高水平的共同网络安全,解决其前身指令 (EU) 2016/1148 (NIS) 的不足之处。成员国的任务是在 2024 年 10 月 17 日之前实施必要措施,并于次日开始执行。
背景介绍
NIS2 指令的出现是对之前的 NIS 指令中发现的不足之处的回应,该指令是欧盟加强其各成员国网络安全态势的开创性举措。该指令最初于 2016 年 7 月通过,并于 2016 年 8 月实施,旨在建立一个共同的网络和信息安全水平。它主要侧重于提高基本服务运营商和数字服务提供商的整体复原力,同时认识到数字时代关键基础设施的相互关联性。
在实施过程中,第一项《国家信息安全指令》标志着在承认网络事件造成的日益严重的威胁方面迈出了关键的一步,并寻求确保欧盟成员国对这些挑战采取协调统一的应对措施。通过授权识别基本服务运营商、促进风险管理实践和要求事件报告,《国家信息安全指令》为欧盟内部的网络安全协作方法奠定了基础。然而,网络威胁的性质不断变化,需要一个全面、适应性强的网络安全框架,这促使欧洲议会和理事会颁布了 NIS2 中更为全面的措施。
7 大变革和扩展
范围扩展
NIS2 指令扩大了其范围,纳入了对经济和社会至关重要的新部门。目前正在引入一个明确的规模上限,其中包括大中型公司,但成员国可灵活确定具有高安全风险的较小实体。
实体分类
与以前的做法不同,该指令取消了基本服务运营商和数字服务提供商之间的区别。现在,实体被分为基本和重要两类,受不同的监管制度制约。
安全和报告要求
为了加强网络安全措施,该指令对公司规定了风险管理方法。该指令提出了基本安全要素的最低清单,并对事件报告、报告内容和时限做出了明确规定。
监督措施和执行
对国家当局采取更严格的监督措施,加强执法要求,协调各会员国的制裁制度,旨在建立一个更加统一和有效的网络安全执法框架。
合作与信息共享
该指令加强了合作小组在制定战略政策决定方面的作用,促进了会员国当局之间更多的信息共享与合作。业务合作,尤其是网络危机管理方面的业务合作,是一个重点。
协调漏洞披露
NIS2 指令引入了一个协调漏洞披露的基本框架,让整个欧盟负责任的关键行为者参与进来。它建立了一个由欧盟网络安全局(ENISA)运营的欧盟登记处,以促进披露过程。
一个更加Secure 的联盟
NIS2 指令是欧盟致力于网络安全的一个重要里程碑。该指令解决了其前身的不足,并适应当前的需求,为企业和组织建立了一个全面的框架,以应对复杂多变的网络威胁。
想了解更多网络安全合规信息?在我们的博客中了解世界各地的主要法规。
下一步是什么?
随着合规截止日期的临近,企业和组织需要随时了解NIS2 指令的规定。积极采取概述的措施不仅能确保合规,还有助于在整个欧盟建立一个更有弹性、更安全的数字环境。
了解OPSWAT 解决方案(从IT 到 OT 以及两者之间的所有产品)如何帮助您的组织遵守 NIS2 和其他重要法规--请立即与专家联系。
