欧盟于 2016 年 7 月颁布了网络和信息系统 (NIS) 法规，旨在确保属于欧盟成员国关键和敏感基础设施的网络和信息系统的特定安全级别。六年后，随着委员会、欧洲议会和欧洲理事会在 2022 年 5 月和 6 月达成第一份协议，对该法规的修改势头越来越大。尚未通过的修订后的 NIS2 指令已经引发了许多询问关于其含义和适用范围。

为什么需要修订 NIS 指令？

2016 年，欧盟发布了 NIS 指令，以打击针对重要基础设施的普遍而复杂的网络攻击。通过 NIS 指令，欧盟旨在指导其成员制定国家和跨境网络安全规范和法规。计划虽好，执行却困难重重。该指令在很大程度上依赖于个别成员国的自由裁量权，并且缺乏所需的问责制。结果，公共和私营部门的安全变得支离破碎。

促使欧盟采取行动的是迅速扩大的威胁形势，这给企业带来越来越大的压力，要求它们发展有效准备和管理网络危机的能力。例如，尽管Thales 数据威胁报告 2022记录了针对关键基础设施的攻击数量和严重程度在全球范围内增加了 44%，但 Deloitte 表明，在 2020 年至 2021 年期间，欧盟成员国的增长达到了惊人的 220%。此外，过渡到远程工作带来了新的漏洞，79% 的关键基础设施企业报告了安全问题。恶意软件和勒索软件已成为增加安全攻击的主要来源，因为它们能够以相对较低的成本提供高额回报。当前的地缘政治气候增加了网络攻击的风险，特别是对于可能成为混合战争目标的关键服务的运营商而言。

2020 年，欧盟委员会修订了该指令，以“进一步加强联盟的整体网络安全”，以应对新出现的网络威胁。NIS 指令的废除将于 2024 年生效，预计将对更广泛的参与者提出更严格的要求。

NIS2 具有三个总体目标：

1. 提高在所有相关行业运营和开展重要活动的范围广泛的欧盟企业的网络弹性。

2. 通过统一网络安全能力，减少指令目前涵盖的行业内部市场弹性的不一致。

3. 通过加强信息共享和建立大规模事件或危机情况下的规范和程序，增强联合态势感知和集体计划和响应能力。

NIS2 指令有哪些变化？

与 NIS 相比，NIS2 包含三个变化：

1. 扩大适用性

根据现行指令，基本服务运营商（例如银行、医疗保健提供商以及饮用水和能源提供商）和数字服务提供商（包括云服务提供商和在线市场）已经被要求提高其数字安全并报告网络事件。

NIS2 通过增加电信、邮政服务、社交媒体平台和公共管理等新行业扩大了 NIS 的范围，其中包括州和省政府机构。NIS2 权限下的实体将分为两类：基本实体和重要实体，并根据相关部门的重要性进行区分。重要实体主要是大中型实体，假设的服务中断不会对它们造成严重的社会或经济影响。

NIS2 还将适用于可以访问重要基础设施的分包商和服务提供商，他们被排除在法规的原始版本之外，因为提供商基础设施中的漏洞可能会危及其运营的关键组织的安全。例如，在能源领域，安全预防措施将不再局限于电力生产商、运输商和分销商。基本基础设施的所有分包商都将受到影响。

2.强化安全要求

NIS2 包括所有公司必须解决或实施的七个要素列表，作为他们采取的安全措施的一部分：

• 风险分析和信息系统安全策略。

• 事件处理（预防、检测和响应事件）。

• 业务连续性和危机管理。

• 供应链安全。

• 网络和信息系统的安全。

• 网络安全风险管理措施的政策和程序。

• 密码学和加密的使用。

该提案提出了一个事件报告的两步流程。受影响的企业必须在发现事件后 24 小时内提交初步报告，然后在一个月内提交最终报告。

在这些措施的监督实施中，管理机构将发挥关键和积极作用。关于执法，NIS2 规定了一份最低限度的行政处罚清单，可对违反有关网络安全风险管理的规定或指令规定的报告义务的企业实施行政处罚。这些制裁包括：

• 罚款高达 1000 万欧元或全球年营业额的 2%

• 管理责任

• 对经理的临时禁令

• 指定一名监察员

3. 加强合作

NIS2 包括有关加强主管当局之间信任水平的措施、主管当局之间的信息共享以及危机应对协议的规定。

此外，还开发了欧盟网络危机联络组织网络 (EU-CyCLONe)，以促进整个欧盟网络危机的协调管理。此外，修订后的指令将建立欧盟危机管理框架，要求成员国制定计划并指定国家主管实体负责在欧盟层面应对网络事件和危机。

NIS2 技术和组织措施重点领域案例研究

NIS2 提案包括所有公司必须解决或实施的关键要素列表，作为他们采取的措施的一部分。

特别是第 18 条——网络安全风险管理措施，要求“实体应采取适当和相称的技术和组织措施”[第 18 条第(1)款]。并补充说，“措施至少应包括以下内容”：

• “供应链安全，包括 (...) 数据存储和处理服务或托管安全服务提供商”[第 18(2d) 条]

• “密码学和加密的使用”[第 18(2g) 条]

这意味着什么？

NIS2 让组织直接负责。当外包他们的信息通信技术 (ICT) 活动时，例如在云中处理和存储数据，组织必须应用额外的“技术和组织措施”才能真正承担他们的责任，从而弥补控制的损失（外包）。

为什么要使用密码学和加密？

实施密码学和加密是组织实施技术和组织措施的一种方式：没有附加信息（加密密钥）就无法再访问加密数据，从而使组织能够控制其基于云的资产。

加密和密钥管理系统 (KMS) 是“技术措施”，由组织而不是云提供商管理，因此被定义为“组织措施”。

凭借数十年帮助公司实体和公共企业遵守合规性要求的经验，Thales提供广泛的产品和服务组合，使您的组织能够加强其网络安全能力、解决供应链安全问题、简化报告义务并遵守更多NIS2 以及 GDPR 和 Schrems II 裁决等其他法规的严格监管措施和更严格的执行要求。此外，Thales与合作伙伴密切合作，提供全面的解决方案，以减轻您的合规负担。要了解更多信息，联系揽阁信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 保护您的组织免受网络犯罪即服务（CaaS）攻击