最近发布的《2024 年数据威胁报告》显示,合规性与网络安全结果之间存在直接关联。84% 未通过合规性审计的组织报告称,其历史上曾发生过数据泄露事件。相比之下,通过合规性审计的组织中,只有 21% 有过数据泄露历史。通过审计与数据泄露减少之间的这种相关性多年来一直在增强,通过审计后报告数据泄露的组织数量是四年前的一半。
其中一个重要原因是法规更加完善、更加严格、更加详细,从而带来更加完善、更加严格、更加详细的审计,在漏洞被利用之前就将其发现。很快,一项期待已久的网络弹性法规将生效,有望再次提高合规标准。2024 年 10 月 17 日,欧盟成员国必须通过并公布遵守网络和信息安全指令 (NIS2)所需的措施。他们将在第二天开始执行这些措施。
最初的《网络和信息安全指令》(NIS)最初于 2016 年通过,严重依赖各成员国的自由裁量权,缺乏问责制。为了应对日益数字化和网络攻击激增所带来的日益严重的威胁,欧盟采用了 NIS2 来加强安全要求和网络弹性。
NIS2 扩展了原有的 NIS 指令,使其涵盖更多行业部门,并增加了风险管理措施和事件报告义务。它还规定了更强有力的执行。NIS2 在四个关键领域补充了初始指令:
NIS 的原始版本仅将医疗保健、交通运输、数字基础设施、供水、银行、金融市场基础设施和能源确定为关键行业。NIS2 将数字服务提供商、废物管理、制药和实验室、空间和公共管理添加到“关键”行业类别中。
NIS2 还增加了“重要”行业类别,包括公共通信提供商、化学品、食品生产商和分销商、关键设备制造商、社交网络和在线市场以及快递服务。下图显示了原始 NIS 行业、扩展的 NIS2 行业以及重要或必要行业的指定。
NIS2 的目标是保护网络和信息系统以及这些系统的物理环境免受事故影响。该指令第 21 条详细说明了组织必须遵守的安全要求,至少包括以下内容:
风险分析。
事件处理。
业务连续性/危机管理。
供应链安全。
网络与信息系统安全。
网络安全风险管理。
网络安全卫生实践和培训。
密码学和加密。
访问控制策略和资产管理。
多因素身份验证或持续身份验证解决方案。
NIS2 要求组织报告重大网络安全事件,即可能对组织服务提供产生不利影响的事件。组织必须使用标准化格式和缩短的报告时间(24 小时)提供“预警”报告,然后在首次发现事件后的 72 小时内提供事件通知,并在 30 天内提供最终报告。
NIS2 指令对不合规行为施加了更为严厉的处罚,包括增加经济处罚。
对于重要实体,行政罚款最高可达 10,000,000 欧元,或该重要实体所属公司全球年营业额的至少 2%,以较高者为准。
对于重要实体,行政罚款最高可达700万欧元,或至少相当于该重要实体所属公司全球年营业额的1.4%,以较高者为准。
通过收购Imperva和OneWelcome,Thales的产品组合得到了扩展,这为我们提供了一个平台,帮助我们的客户提高网络弹性、降低网络安全的复杂性,并简化对 NIS2 等法规的遵守。
揽阁信息作为Thales的合作伙伴,我们可以帮助关键实体和重要实体满足第 21 条规定的关键网络安全风险管理要求,并帮助组织制作完整、准确和及时的报告以满足第 23 条的要求。我们通过提供网络安全三个关键解决方案领域的解决方案来实现这一目标:应用安全、数据安全以及身份和访问管理。
应用程序安全:在云、本地或混合模型中大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。
数据安全:使用加密标记和密钥管理,发现和分类混合 IT 中的敏感数据,并在任何地方自动保护这些数据,无论是静态数据、动态数据还是使用中的数据。Thales的解决方案还可以识别、评估和确定潜在风险的优先级,以便准确评估风险,以及识别异常行为和监控活动以验证合规性,从而使组织能够确定将精力投入到哪些方面的优先级。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!