NIS 2现已成为欧盟法律:您做好合规准备了吗?
几乎每一个关键行业都越来越依赖数字基础设施:医疗保健、制造、运输、输配电等。由于IT-OT融合造成的攻击面增大,其中许多行业正日益成为网络攻击的目标。
因此,立法中通常会更多地考虑网络安全法规。日益加剧的网络犯罪威胁要求必须更新和重新设计法律框架,以满足当前的安全要求。例如,为了在欧盟(EU)内部实现全面的网络弹性,欧洲正在制定众多指令,以通过法规来缓解这种情况。
欧盟第一版网络和信息安全指令(NIS1)于2016年生效,2023年颁布的NIS2扩展了第一版NIS指令对网络和信息安全的最低要求。2024年10月17日,NIS2达到了全面执行期限,这意味着它现在必须转变为欧盟成员国的国家法律。
NIS 2指令包含关键行业中的组织需要考虑,以便能够在不断变化的威胁环境中生存的关键风险缓解措施。它旨在加强欧盟公司的网络弹性,并创建标准化级别的网络安全。
NIS2的范围
NIS 2的范围明显大于NIS 1:与之前的NIS指令相比,总共18个行业中必须实施这些措施的公司大约增加了10倍。
较小的公司(员工人数少于50名)现在也受到了NIS 2的约束。这些要求显然适用于来自欧洲成员国的公司,但它们也适用于与欧盟企业合作的供应商公司。它为具有国际意义的网络和信息安全设定了新标准。
未能实施这些风险管理措施的欧盟公司将面临GDPR级别的罚款:
- 对于“基础”公司:罚款最高为1000万欧元或全球营业额的2%(必须支付两者当中较高的金额)
- 对于“重要”公司: 最高罚款700万欧元或全球营业额的1.7%(必须支付两者当中较高的金额)
实施NIS 2的最大挑战
除其他义务外,NIS 2第21条中针对关键行业公司的风险管理措施是新版NIS指令的核心内容。
主要挑战是:NIS 2产生的义务不够具体,无法直接从中得出实施战略、架构或选择合适的技术。无论是NIS 2指令还是欧盟成员国的法律实施都不足以定义合适的网络安全解决方案。
NIS 2指令第21条的风险管理措施
- 以下是在NIS 2指令中列出的风险管理措施列表:
- 针对风险分析和信息系统安全的政策
- 事件处理
- 业务连续性,如备份管理和灾难恢复,以及危机管理
- 供应链安全,包括每个实体与其直接供应商或服务提供商之间关系的安全相关方面
- 网络和信息系统获取、开发和维护的安全性,包括漏洞处理和披露
- 评估网络安全风险管理措施有效性的政策和程序
- 基本网络卫生实践和网络安全培训
- 有关使用密码和(如适用)加密的政策和程序
- 人力资源安全、访问控制策略和资产管理
- 酌情在实体内使用多因素身份验证或连续身份验证解决方案,安全的语音、视频和文本通信以及安全的应急通信系统。
公司必须与其制造商和供应商合作以实施这些要求。
Belden如何帮助遵守NIS 2指令
Belden可以帮助您找到达到NIS 2标准的方法并遵守要求。我们与各家公司合作,为其环境开发定制的解决方案。例如,Belden的网络评估服务就是您实现合规之旅的第一步。
在我们的白皮书中,您将全面了解欧洲网络安全标准和NIS 2的所有义务,并解释Belden及其解决方案如何帮助您满足要求。
此外,我们的专家将在网络讲座中说明您需要了解的有关NIS 2指令的所有信息。
准备好迈出增强网络基础设施的第一步了吗?
相关链接: