【欧盟网络安全】NIS2：它将如何影响您的组织？

在过去几年中发生了令人震惊的勒索软件和网络钓鱼威胁之后，欧盟的NIS指令（网络和信息安全指令）已更新为NIS 2，以帮助增强网络韧性，并使公司摆脱持续的网络攻击循环。

根据国家数据保护调查的研究，2020年，超过一半的爱尔兰公司遭受数据泄露。这反映在爱尔兰数据保护委员会（DPC）于2021收到6802份数据泄露通知，使爱尔兰在欧洲人均通知水平第二高的国家中处于不值得羡慕的地位。

通过遵循NIS 2指南，一家具有网络弹性的公司是可以实现的。以下是NIS2的一些细节，以及如何使用它来保持公司的网络安全和合规性。

NIS 2指令中有哪些新内容？

法律和指令经常更新，以反映环境的变化、公民和消费者的期望等。

最初的欧盟网络和信息系统指令（EU）2016/1148（NIS指令）于2016年提出，并于2018年实施，因此是一项相对较新的法规。然而，指令中固有的NIS第23条规定了确保定期审查指令的要求。欧盟还制定了2020-2025年新的欧盟网络安全战略，要求对国家信息系统进行审查。这些审查预期，加上不断升级的网络攻击、数字化转型、疫情中断和远程工作，导致了更新的指令NIS2。

NIS 2指令影响谁？

NIS 2修改并扩展了属于该指令保护伞的组织。在最初的NIS指令中，所涵盖的实体被定义为“基本服务运营商”（OESE）和“数字服务提供商”（DSP）。覆盖范围现在被概括为“重要”(essential)或“重要”(important)实体，其定义取决于组织在经济和社会方面的重要性。NIS 2涵盖了八个关键行业部门，包括邮政和快递服务、数据中心、食品和废物管理。

完整列表可在NIS2附录I和II（PDF下载链接）中找到。

GDPR是否与NIS 2指令相同？

这两项法规解决了不同的问题：GDPR侧重于欧盟公民数据隐私以及组织如何处理和处理个人数据，而NIS2侧重于使用风险管理方法减轻网络风险。然而，这两者是联系在一起的，因为安全漏洞会导致隐私泄露。通过遵守NIS 2指令，公司还将涵盖GDPR的一些数据保护要求，例如数据加密措施。

 

NIS 2中有哪些变化？

范围内的公司规模

现在，规模上限增加了覆盖范围，覆盖所有行业的中大型公司。小型和微型组织通常是免税的，但可能会被纳入该指令，因为其中包含了被视为高风险的小型公司的灵活性。

安全义务

基于风险的安全方法是NIS 2指令新安全义务的基础。该方法符合GDPR等其他法规。事件响应、危机和风险管理技术在遵守NIS 2方面发挥着关键作用，应成为实施指令中概述的安全措施的基础。安全措施包括：

• 风险分析和信息系统安全政策
• 业务连续性和危机管理
• 漏洞处理和披露
• 网络安全测试和审计
• 有效使用加密
• 多因素身份验证
• 安全的语音、视频和文本通信，
• 安全应急通信系统

根据该指令分配给公司的“重要”或“重要”实体分类，影响NIS 2下网络安全风险管理和报告义务的要求水平。

供应链第三方风险管理

供应链是网络攻击的焦点。BlueVoyant 2021的一项调查就证明了这一点，该调查就供应链网络安全问题采访了1200名首席信息官、首席信息官和首席采购官。结果显示，97%的公司受到了供应链供应商网络安全漏洞的“负面影响”。NIS 2要求对供应链进行严格的风险管理，从而将网络安全风险考虑在内。

报告

报告措施得到了简化，但扩大了范围，包括可能导致重大事件的任何重大威胁的通知。必须向主管当局（由每个成员国指派）或CSIRT（计算机安全事件响应小组）报告。可能对服务产生不利影响的事件必须报告给该服务的客户。报告必须“毫不拖延”地完成。通常，这意味着在事故发生后24小时内向当局发出初步通知，但在某些情况下可延长至72小时。

责任

公司管理层将负责遵守网络安全风险管理措施。风险不再是IT职能部门的唯一责任，而是整个组织和董事会的责任。

NIS2指令对爱尔兰企业的更广泛影响

爱尔兰公司必须在NIS 2指令中确定其所属的分类，即，它们是一个重要的还是重要的实体？在某些情况下，一家公司可能会发现自己处于一种混合状态，既提供必要的运营，也提供重要的运营。

域外影响影响到在欧盟内运营的任何实体，因此在爱尔兰拥有工厂的制造商将属于NIS 2的管辖范围，即使他们在其他地方运营工厂。NIS 2使用与GDPR类似的语言，提供属于该指令域外范围的服务。NIS 2指令的扩展安全义务将影响爱尔兰的所有受保护实体，这意味着这些公司必须做好合规准备。任何被要求遵守NIS 2的爱尔兰公司都应通过基于风险的分析和实施来发展其网络适应性，为基础工作做好准备。

你能做些什么使网络适应NIS 2指令？

NIS 2指令中包含了一种稳健的风险分析和准备精神。基于风险和整体的网络安全威胁缓解方法是NIS 2的基石，因此，必须制定一个可靠的网络健康战略以实现合规。但这在实践中意味着什么？

现代网络安全方法需要一套战略和务实的措施。这始于一种建立在三方基础上的风气：人、过程和技术。这三方反映了网络犯罪和其他网络威胁（包括意外数据泄露）成为安全事件的方式。服务数字化、远程工作以及其他因素（如利用不良安全行为）使威胁形势变得复杂。360度的网络安全视角考虑到了这一复杂的环境。

坚实的网络战略包括：

• 人员：包括安全意识培训和安全认证，以帮助提高员工的技能。
• 流程：包括IT审计、治理系统和数据管理系统
• 技术：最适合的技术是根据人员和流程的总体安全策略确定的；措施通常包括健壮的身份验证措施、加密和端点安全性。

在网络安全风险缓解中，整体大于部分之和；专家安全服务利用人员、流程和技术的精神，为您的组织建立网络健康基线。不断评估该基线，以确保其满足不断变化的技术和网络安全形势的需求。

你该准备了！

NIS 2是欧盟协调欧洲各国网络安全努力的积极举措。但该指令的要求很严格。网络健身计划将人员、流程和技术聚集在一起，确保公司不仅做好持续网络攻击的准备，而且能够满足NIS 2指令的要求。

如果您的组织是一个受保护的实体，并且未能建立和维护网络健康，结果将是罚款和处罚。新谢克尔2将罚款定为1000万欧元或全球总营业额的2%，以较大者为准。这些罚款适用于不遵守风险管理措施或报告义务的情况。

不合规公司的最坏情况可能会导致违约通知成本+GDPR罚款+NIS 2罚款+不良宣传+服务可用性损失：结果可能是灾难性的。

监管机构已将成员国将NIS 2纳入国家法律的期限延长至两年。这意味着新谢克尔2很可能在2023年年中之前某个时候生效。为NIS 2做好网络准备需要时间，因此现在是建立您公司的网络适应能力，为这一重要指令做好准备的时候了。

一个强大的网络安全策略是您准备好执行新的NIS2指令的关键。Enterprise Defence是在制定有效的网络战略方面屡获殊荣的专家，这些战略将有助于转变您的网络信心。立即联系，了解我们如何帮助您的组织。