11月10日,欧洲议会批准了NIS2,结束了立法程序,这是一个重大里程碑。该法规现在将由部长会议批准,并在未来几周内发表在《欧盟官方期刊》上。在此之后,范围内的瑞典公司必须在2024年底前满足要求。
当前的形势迫使组织建立有效和高效地应对和管理网络危机的能力。2020年至2021期间,我们注意到,全球关键基础设施的网络攻击增加了45%,欧盟成员国的网络攻击也增加了220%。此外,大流行期间远程工作的转变带来了新的漏洞,导致2020年因网络钓鱼攻击而死亡的人数增加了47%。在当前的地缘政治形势下,网络攻击的威胁进一步增加,特别是对于可能成为混合战争目标的基本服务运营商而言。
欧盟委员会关于NIS2的提案旨在加强组织的安全态势,以应对新出现的网络威胁,这些变化可能会对工作方式产生重大影响。
根据贵公司的成熟度和当前市场状况,我们将以下活动视为保护关键基础设施和保持遵守NIS指令的重点领域:
- 培训和意识
- 精简事件报告
- 专注于改善整体安全态势
- 网络安全资金
这将增强贵公司的网络安全态势。我们认为,随着政府和监管机构的控制力度不断加大,公司有动力追求其安全目标。
对“基本服务运营商”的考虑
如果您是一家提供对维持关键社会和/或经济活动至关重要的服务的实体,例如能源公司,则您被归类为“基本服务运营商”。这会给您的技术和组织结构及能力带来压力。NIS2指令包括以下措施:
- -风险分析和信息系统安全政策。
- -事件处理(预防、检测和事件响应)。
- -业务连续性和危机管理。
- -供应链安全。
- -网络和信息系统的安全。
- -网络安全风险管理措施的政策和程序。
- -密码学和加密的使用。
此外,管理机构将在监督和执行这些措施方面发挥关键和积极的作用。如果一个重要的操作员不合规,会发生什么?
- 罚款高达1000万欧元或全球年营业额的2%
- 管理层责任
- 对经理的临时禁令
- 指定一名监测官员
下一步是什么?
为了有效管理不断发展的网络风险,您的董事会和高级管理层应定义(如果尚未存在)或加强您的网络安全战略,以适应、发展和提高组织的网络恢复能力。我们已经确定了必须满足NIS2指令关键要求的3个领域:
- 网络战略/治理
- 信息安全管理
- 意识和培训
- 网络风险管理和合规
- 检测和响应
- 事件处理
- 事件报告
- 业务连续性和危机管理
- 基础架构和应用程序安全
- 基础设施/网络安全
- 安全的开发实践
- 身份和访问控制
- 第三方风险管理
“在当前的地缘政治形势下,网络攻击的威胁进一步增加,特别是对基本服务运营商而言。”
-德勤董事Albin Finne
通过欧盟倡议“数字欧洲计划(DIGITAL EUROPE PROGRAMME,DIGITAL)”,一个组织可以获得以下资金:
- 欧盟网络安全战略中宣布了与“网络防护”相关的行动,其中包括安全运营中心(SOC),预算为1.77亿欧元。
- 8300万欧元的预算用于支持欧盟相关网络安全立法的实施。
- 900万美元的预算用于方案支助行动,包括评价和审查。
了解更多信息
为什么开发NIS2?
自新冠肺炎疫情爆发以来,网络安全形势迅速发展。欧盟委员会承认这一点,并建议废除欧盟网络和信息安全指令(NIS指令),以协调和加强欧盟所有成员国的网络安全。NIS指令的废除将于2024年生效,预计将对更广泛的参与者施加更严格的要求。这项立法的总体目的是在所有成员国实现高度共同的网络安全水平。NIS2有三个总体目标:
- 提高在欧盟所有相关部门开展业务的一整套企业的网络弹性水平,这些企业履行重要和关键职能。
- 通过进一步调整网络安全能力,减少该指令所涵盖行业内部市场弹性的不一致性。
- 通过以下方式提高联合态势感知水平和集体准备和应对能力:
- 1)采取措施提高主管当局之间的信任水平;
- 2) 通过分享更多信息;
- 以及2)在发生大规模事件或危机时制定规则和程序。
- 登录 发表评论