【欧盟NIS2】如何准备NIS2指令？

了解网络和信息系统指令第二次迭代带来的关键更新，以及您的组织可以如何准备。

简言之

• NIS2旨在让欧盟加快步伐，在欧盟组织内建立更高水平的网络安全和弹性。
• 新指令将更多的部门纳入范围，并侧重于提供指导方针，以确保欧盟成员国的地方法律统一转换。
• 组织应该通过定义合规路线图和优化网络安全意识来开始准备。

2016年7月，制定了《网络和信息系统安全指令》（NIS）。该指令旨在通过监管措施提高整个欧盟的网络弹性。它侧重于加强国家一级的网络安全能力，加强会员国之间的合作，并将网络安全纳入组织的DNA。必须遵守NIS指令的组织范围包括两组：基本服务运营商和相关数字服务提供商。

目前，NIS指令已经生效数年，并引发了网络安全机构和监管方法心态的转变。然而，它面临着某些挑战，立法无法提供合适的答案，导致会员国一级的做法支离破碎。在过去几年中，由一系列广泛的情况引起的数字格局的快速扩张，如创新的快速序列、全球疫情、俄罗斯入侵的网络战部分等，确保了威胁格局的平等增长，导致针对组织和成员国的网络攻击数量增加。

NIS2在望

2023年1月，欧盟通过了新版《网络和信息安全指令》。这项“NIS2”旨在让欧盟加快步伐，在欧盟组织内建立更高水平的网络安全和弹性。

欧盟成员国必须在2024年10月17日前将NIS2纳入其国家立法。组织应该已经开始为他们的合规之旅做准备了。

在本文中，我们将探讨以下关键主题：

第一章：NIS2有什么新功能？

新指令将更多的部门纳入范围，并侧重于提供指导方针，以确保欧盟成员国之间的统一转换。

范围的扩展

NIS2为范围内的实体定义了两类：重要实体和必要实体。这两类实体都必须满足相同的要求。然而，区别在于监管措施和处罚。自NIS2引入之日起，基本实体将被要求满足监管要求，而重要实体将接受事后监管，这意味着如果当局收到违规证据，将采取行动。

NIS2简化了主管当局必须进行的范围界定工作。定义了一个行业列表，来自这些行业的任何大型（员工人数超过250人或收入超过5000万）或中型（员工人数高于5000万或收入超过1000万）企业的基本规则都将直接纳入范围。然而，小型或微型组织并不一定被排除在外；如果企业满足特定标准，表明其在社会、经济或特定部门或服务类型中发挥关键作用，则成员国可以延长这些要求。

基本和重要实体登记

到2025年4月17日，成员国必须确定NIS2指令范围内的重要实体。会员国可以使实体能够自行登记。因此，实体必须确定其服务是否属于NIS2的范围，确定其提供“范围内”服务的成员国名单，并在截止日期前在每个成员国进行登记。登记将要求各实体至少提供以下资料：

• 他们的姓名、地址和注册号
• 属于NIS2范围的部门或子部门
• 他们更新的联系方式
• 其经营所在的成员国
• 分配的IP地址列表

最终注册程序和所需信息清单将被定义为将指令转化为法律的一部分。

改进合作（CSIRT平台）

新指令的另一个重要内容是旨在改善欧盟成员国在网络事件和威胁方面的合作。欧盟网络安全局（ENISA）将被授权建立一个欧洲漏洞披露数据库，以促进成员国之间的知识共享。

事件报告

正如NIS1已经建立的那样，每个成员国都将有一个遵守指令的中心联络点，以及一个负责事件报告的协调CSIRT（计算机安全事件响应小组）或一个主管当局。例如，在比利时，这将是CCB（比利时网络安全中心）的职责。

NIS2设计了一个新的事件报告时间表。每一个具有重大影响的事件都应由重要实体及时通知。应在24小时内向主管当局或CSIRT传达预警，以及有关事件类型的一些初步假设。72小时后，必须传达一份完整的通知报告，其中包括对事件、严重性和影响的评估以及妥协指标。1个月后，必须传达最终报告。

在这方面，该指令鼓励成员国简化事件报告流程，为事件实施单一入口点，以减轻行政负担，包括跨成员国事件的行政负担。

CSIRT或主管当局（如适用）必须使用匿名信息，每三个月向ENISA报告一次事件。根据所有这些信息，ENISA将每六个月报告一次欧盟事件。该报告将有助于组织和成员国从其他事件中吸取教训，是新NIS2指令的一个关键变化。

关注关键供应链

最近世界各地发生的事件证明了关键供应链中连续性的重要性，这就是为什么NIS2将其作为关键焦点之一。个别企业将负责解决其供应链以及供应商关系中的网络安全风险。

这一要求可能会间接影响许多不在新NIS2指令范围内的供应商，但他们可能会向范围内的NIS2实体提供服务或产品。因此，他们的客户可能会将最低限度的网络安全成熟度强加给供应商。供应商将不受国家当局关于NIS2的监督，而是受其客户的监督。因此，即使您的组织不在范围内，它也可能根据服务和行业产生影响。

管理层的问责制

NIS1的另一个重要补充是新指令赋予范围内组织管理的责任。管理层有义务对其网络安全成熟度承担责任。这将包括进行风险评估和批准将要实施的风险处理计划等任务。为了执行这些行动，管理层必须接受网络安全培训。该指令甚至建议不仅培训管理层，还培训员工，以获得更深入的网络安全知识。

管辖权复杂性

根据NIS2指令，基本和重要实体被视为受其提供服务的成员国管辖。

如果该实体在一个以上的会员国提供服务，则应属于这些会员国各自的管辖范围。对于提供服务或依赖欧盟以外业务的实体，它们应确保其欧盟服务的连续性，以防其非欧盟业务中断。

处罚

• NIS1对OES和DSP的不合规行为进行了处罚，而NIS2对不合规行为实施了更严格的处罚，包括高达实体年营业额10%的罚款。
• 对于重要实体：最高10000000欧元的行政罚款，或至少占该重要实体所属公司上一财政年度全球年营业额的2%，以金额较高者为准。
• 对于重要实体：高达7000000欧元的行政罚款，或至少占重要实体所属公司上一财年全球年营业额的1.4%，以金额较高者为准。

第2章：如何为NIS2做好准备？

根据我们从NIS中学到的经验教训，发现您的组织应考虑的关键方面，以使其符合NIS2的要求。

预测并开始准备

及时的准备是组织实现合规过程中的一个关键因素。获得最高管理层的支持、利益相关者的支持以及所需的预算和资源需要时间。预见到延误，并在严格的最后期限内进行严格的计划。此外，实施一些新要求可以被视为速战速决，并提前制定，例如事件升级和向相关当局报告流程。

确定组织的关键流程

合规之旅的起点是确定组织的关键服务、流程和资产，这些服务、过程和资产提供NIS2中定义的基本服务。实现上述目标的一种方法是组织范围内的业务影响评估，以突出组织的关键流程及其对网络和信息系统的依赖。范围界定工作的一个关键要素是定义业务影响标准，该标准将在范围内呈现流程、站点或资产。

实施风险和信息安全管理系统

NIS2指令范围内的公司必须管理其信息安全风险。为了实现这一要求，必须实施风险和信息安全管理系统。此类信息安全管理系统旨在识别、处理和监控公司的信息安全风险，并确保职责明确，关键流程可操作，例如：

• 风险管理和信息系统安全政策
• 事件处理和管理
• 业务连续性和危机管理（备份、灾难恢复）
• 供应链安全
• 网络和信息系统获取、开发和维护方面的安全，包括漏洞处理和披露
• 评估网络安全风险管理措施有效性的政策和程序
• 密码学和加密，多因素身份验证
• 人员、意识和培训

启动您的IT供应链安全管理流程

看看您的IT供应商，尤其是那些对您的运营连续性至关重要的供应商。通过了解您的IT供应链的弱点和供应商安全方面的差距，您可以开始漫长的过程来修复您的合同、运营或技术漏洞。

建立以网络为导向的文化

提到最多但在许多组织中很难实施的要素之一是，员工拥有以网络为导向的文化和成熟的信息安全意识水平。员工应该意识到他们在信息安全生态系统方面的角色和责任。IT员工应具备应用所需控制措施所需的知识。最后但同样重要的是，管理层应该将网络安全视为组织在这个数字时代生存的关键因素。