德勤董事兼网络安全专家Albin Finne强调了修订后的NIS指令所涵盖的实体的最重要考虑因素,例如能源、运输或医疗保健行业的公司。
2022年11月10日,欧洲议会通过了NIS2,结束了立法程序,这是一个重要的里程碑。该条例经部长理事会批准,并于2022年12月27日在《欧盟官方公报》上发表,随后于2023年1月16日生效。范围内的瑞典实体必须在2024年10月18日之前满足要求。
当前的威胁和监管环境迫使组织建立有效应对和管理网络危机的能力。近年来,我们注意到,针对关键基础设施的网络攻击在全球范围内有所增加。此外,疫情期间向远程工作的转变打开了新的漏洞,导致遭受网络钓鱼攻击的人数增加。在当前的地缘政治形势下,网络攻击的威胁进一步增加,尤其是对于提供基本或重要服务的实体,这些实体可能成为混合战争的目标。
NIS2的目标是加强组织的安全态势,以应对新出现的网络威胁,这些变化可能会对工作方式产生重大影响。
根据您组织的成熟度和市场的当前状态,我们将以下活动视为保护关键基础设施和遵守NIS2的重点领域:
- 评估您的组织是否在NIS2的范围内
- 通过执行差距评估来评估当前对NIS2要求的遵守程度
- 网络安全的安全资金
- 执行与网络和信息系统相关的风险评估
- 对管理层和员工进行培训和提高认识
- 简化事件报告并加强事件管理程序
- 评估供应链的安全性,并制定适当的第三方风险管理程序
- 制定或增强您的业务连续性和灾难恢复计划
这将增强组织的网络安全态势。我们相信,随着政府和监管机构的控制力度加大,公司有动力追求其安全目标。
所涵盖实体的注意事项
如果你是一个提供对维持关键社会和/或经济活动至关重要或重要的服务的组织,例如能源公司,根据NIS2,你可能被归类为“重要实体”或“重要主体”。NIS2涵盖以下扇区(浅绿色和深蓝色扇区已包含在NIS1中):
NIS2会给您的技术和组织结构及能力带来压力。NIS2指令包括以下措施:
- (a) 风险分析与信息系统安全策略
- (b) 事故处理
- (c) 业务连续性,如备份管理和灾难恢复,以及危机管理
- (d) 供应链安全,包括每个实体与其直接供应商或服务提供商之间关系的安全相关方面
- (e) 网络和信息系统获取、开发和维护中的安全,包括漏洞处理和披露
- (f) 评估网络安全风险管理措施有效性的政策和程序
- (g) 基本网络卫生实践和网络安全培训
- (h) 关于使用密码学以及在适当情况下加密的政策和程序
- (i) 人力资源安全、访问控制政策和资产管理
- (j) 在适当的情况下,在实体内使用多因素身份验证或连续身份验证解决方案、安全的语音、视频和文本通信以及安全的紧急通信系统。
此外,管理机构将在监督和执行这些措施方面发挥关键和积极的作用。如果一个重要或重要的实体不合规,会发生什么?
- 对重要实体处以最高1000万欧元或全球年总营业额2%的罚款
- 对重要实体处以高达700万欧元的罚款,占全球年总营业额的1.4%
- 违反指令的管理责任
- 针对高级管理层的临时禁令
- 服务暂停
接下来的步骤是什么?
为了有效管理不断演变的网络风险,董事会和高级管理层应定义(如果尚未存在)或加强网络安全战略,以适应、发展和提高组织的网络抵御能力。我们已经确定了必须满足NIS2指令关键要求的3个领域:
- 网络战略/治理
- 信息安全管理
- 意识和培训
- 网络风险管理和合规
- 检测和响应
- 事件处理
- 事件报告
- 业务连续性和危机管理
- 基础架构和应用程序安全
- 基础设施/网络安全
- 安全的开发实践
- 身份和访问控制
- 第三方风险管理
为什么要开发NIS2?
自新冠肺炎大流行开始以来,网络安全形势迅速演变。欧盟委员会已经承认这一点,并提议废除欧盟网络和信息安全指令(NIS指令),以调整和加强欧盟所有成员国的网络安全。NIS指令的废除将于2024年生效,预计将对更广泛的参与者提出更严格的要求。该立法的总体目的是在所有成员国实现高度共同的网络安全。NIS2有三个总体目标:
- 提高在欧盟所有相关部门运营的一整套企业的网络弹性水平,这些企业履行着重要和关键的职能。
- 通过进一步调整网络安全能力,减少指令所涵盖行业内部市场弹性的不一致。
- 通过以下方式提高联合态势感知水平和集体准备和应对能力:a)采取措施,通过分享更多信息来提高主管当局之间的信任水平;以及b)在发生大规模事件或危机时制定规则和程序。
与NIS1相比,以下是NIS2的一些最重要的更改/添加:
NIS2涵盖以下行业
- 登录 发表评论