发布日期:2024-12-09 浏览次数:
欧盟网络和信息安全指令 (NIS) 是一项立法法案,旨在为整个欧盟的组织实现高水平的网络安全。NIS 最初于 2016 年通过,严重依赖于各个成员国的自由裁量权,缺乏问责制。
2023 年 1 月 16 日,为应对数字化程度不断提高和网络攻击激增所带来的日益严重的威胁,欧盟通过了 NIS2 指令,以加强安全要求和网络弹性。欧盟 27 个成员国必须在2024 年 10 月 17 日之前将 NIS2 指令转化为适用的国家法律。
IS2 扩展了原有的 NIS 指令,使其涵盖更多行业部门,并增加了风险管理措施和事件报告义务。它还提供了更强有力的执行。NIS2 在 4 个关键领域补充了 NIS:
扩大范围: NIS2 将其范围扩大到更多行业,从 7 个行业增加到 18 个行业。NIS2 还将行业划分为必要行业和重要行业,并规定了不同的监管要求。
更严格的安全要求:该指令实施了更严格的网络安全措施。这些要求涉及风险管理实践、技术和组织措施、事件响应和恢复计划、员工培训以及频繁的更新和修补。
强制事件报告,并设定具体时间范围: NIS2 要求组织报告重大网络安全事件,即可能对组织服务提供产生不利影响的事件。组织必须提供“预警”报告,采用标准化格式,报告时间缩短为 24 小时,然后在首次发现事件后 72 小时内发出事件通知,并在 30 天内提交最终报告。
通过处罚来执行:NIS2 指令对不合规行为施加了更严厉的处罚,包括增加经济处罚。
NIS2 将该指令的范围从 7 个行业扩大到 18 个。NIS 的先前版本将医疗保健、交通、数字基础设施、供水、银行、金融市场基础设施和能源确定为关键行业。NIS2 将数字服务提供商、废物管理、制药和实验室、空间和公共管理添加到“关键”行业类别中。NIS2 还增加了一个“重要”行业类别,包括公共通信提供商、化学品、食品生产商和分销商、关键设备制造商、社交网络和在线市场以及快递服务。
必要实体必须遵守监管要求,而重要实体则只接受事后监管。事后监管意味着当局只有在收到不合规证据时才会采取监管行动。
NIS2 第 21 条规定,“成员国应确保重要实体采取适当且适度的技术、运营和组织措施,以管理这些实体用于运营或提供服务的网络和信息系统安全所面临的风险,并防止或尽量减少事故对其服务接受者和其他服务的影响。” 第 21 条的目标是保护网络和信息系统以及这些系统的物理环境免受事故影响,并应至少包括以下内容:
风险分析和信息系统安全政策;
事故处理;
业务连续性,例如备份管理、灾难恢复和危机管理;
供应链安全,包括涉及每个实体与其直接供应商或服务提供商之间的关系的安全相关方面;
网络和信息系统获取、开发和维护的安全,包括漏洞处理和披露;
评估网络安全风险管理措施有效性的政策和程序;
基本的网络卫生实践和网络安全培训;
关于使用密码学和加密(如适用)的政策和程序;
人力资源安全、访问控制政策和资产管理;
在适当情况下,在实体内使用多因素身份验证或持续身份验证解决方案、安全的语音、视频和文本通信以及安全的紧急通信系统。
NIS2 第 23 条要求报告每起“对其服务的提供产生重大影响”的重大网络安全事件,无论攻击是否实际影响了实体的运营。事件报告方面最重要的变化是 NIS2 指令如何详细说明强制性多阶段事件报告流程以及必须包含的内容。
预警:
24 小时内。网络安全事件发生后 24 小时内,必须向主管部门或国家相关 CSIRT 提交初步报告。初步报告应在可能涉及跨境影响或恶意行为时提供预警。首次通知旨在限制网络威胁的潜在蔓延。
后续事件通知:
72 小时内。必须在 72 小时内传达更详细的通知报告。报告应包含对事件的评估,包括其严重性、影响和入侵指标。如果事件是犯罪行为,受影响的实体还应向执法部门报告该事件。
最终报告:一个月内。
最终报告必须在初次通知或第一份报告后的一个月内提交。最终报告必须包括:
事件的详细描述。
严重性和后果。
可能导致事件发生的威胁或原因的类型。
所有已应用和正在进行的缓解措施。
此外,根据 NIS2 指令,实体必须报告其发现的任何可能导致重大事件的重大网络威胁。如果威胁导致以下情况,则视为重大威胁:
有关实体遭受重大运营中断或财务损失。
它可能对自然人或法人造成重大物质或非物质损害。
不遵守 NIS2 指令的处罚比 NIS 更严厉。根据 NIS2 指令,对必要实体和重要实体的不合规处罚有所不同。
对于重要实体,行政罚款最高可达 10,000,000 欧元,或该重要实体所属公司上一财年全球年营业额总额的至少 2%,以较高者为准。
对于重要实体,行政罚款最高可达700万欧元,或至少该重要实体所属公司上一财年全球年营业额总额的1.4%,以较高者为准。
Thales和旗下公司 Imperva 提供广泛的互补应用程序安全、数据安全以及身份和访问管理产品组合,以提供有助于满足 NIS2 要求的全面解决方案。我们可以通过满足第 21 条下的基本网络安全风险管理要求,帮助基本实体和重要实体遵守 NIS2,并帮助组织生成完整、准确和及时的报告以满足第 23 条的要求。
应用程序安全
在云端、本地或混合模式下大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。
数据安全
使用加密、令牌化和密钥管理,发现和分类混合 IT 中的敏感数据,并在任何地方自动保护这些数据,无论是静态、动态还是使用中。Thales解决方案还可以识别、评估和确定潜在风险的优先级,以进行准确的风险评估,以及识别异常行为,并监控活动以验证合规性,从而使组织能够确定将精力投入到哪些方面的优先顺序。
身份和访问管理
为客户、员工和合作伙伴提供无缝、安全且值得信赖的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境限制其访问权限,并采用精细的访问策略和多重身份验证,帮助确保在正确的时间向正确的用户授予对正确资源的访问权限。
Thales如何提供帮助:
发现并分类所有公共、私有和影子 API 的潜在风险。
识别本地和云中存在风险的结构化和非结构化敏感数据。
识别当前的合规状态,记录差距并提供完全合规的途径。
解决方案:
应用程序安全
API 安全
数据安全
数据风险分析
漏洞管理
Thales如何提供帮助:
通过自动打开和更新 ServiceNow 票证来加快事件处理速度。
解决方案:
数据安全
票证系统集成
Thales如何提供帮助:
在短短三秒钟内缓解 DDoS 攻击。
实施预防措施以预测和避免危机情况。
解决方案:
应用程序安全
DDoS 保护
数据安全
人工智能
Thales如何提供帮助:
通过维护对保护云中托管数据的加密密钥的本地控制来降低第三方风险。
确保云提供商管理员和您的组织之间的角色完全分离,限制对敏感数据的访问。
监控和警报异常以检测和防止不必要的活动破坏供应链活动。
启用与供应商、合作伙伴或任何第三方用户的关系管理;明确授权访问权限。
通过使用基于关系的细粒度授权来最小化权限。
解决方案:
Thales如何提供帮助:
使用 Web 应用程序防火墙检测和预防网络威胁,确保无缝运行和安心。
保护关键网络资产免受 DDoS 攻击和坏机器人的侵害,同时继续允许合法流量。
无论如何,以数据为中心的安全性意味着简单的传感器可以在最广泛的数据环境中提供安全性和合规性。
解决方案:
应用程序安全
Web 应用程序防火墙
DDoS 保护
机器人保护
数据安全
监控代理和无代理
数据风险分析
Thales如何提供帮助:
获得完整的敏感数据活动可见性,跟踪谁有访问权限,审计他们正在做什么并记录下来。
解决方案:
数据安全
数据治理
报告和门户
Thales如何提供帮助:
在本地、跨云以及大数据或容器环境中加密静态数据。
将数据库中的敏感信息匿名化。
简化云和本地环境中的密钥管理。
保护 FIPS 140-2 Level 3环境中的加密密钥。
使用高速加密保护移动数据。
解决方案:
数据安全
透明加密
Tokenization(令牌化/标记化/数据脱敏)
密钥管理
HSM(硬件安全模块/加密机)
高速加密
Thales如何提供帮助:
根据角色和上下文使用策略限制内部和外部用户对系统和数据的访问。
根据风险评分应用上下文安全措施。
使用具有条件访问的智能单点登录防止密码疲劳。
为您的客户创建无摩擦、安全且隐私保护的访问。
解决方案:
身份和访问管理
员工访问管理
自适应访问
客户身份和访问管理 (CIAM)
数据安全
透明加密
Thales如何提供帮助:
通过最广泛的硬件和软件方法以及外形尺寸实现多因素身份验证 (MFA)。
根据数据/应用程序的敏感度构建和部署自适应身份验证策略。
使用 PKI 和 FIDO 硬件身份验证器防范网络钓鱼和中间人攻击。
解决方案:
身份和访问管理
多因素身份验证
基于风险的身份验证
PKI 和 FIDO 身份验证器
Thales如何提供帮助:
一年的保留记录可立即访问以进行详细搜索和调查。审计数据会自动存档,但仍可在几秒钟内访问以进行查询和报告。
解决方案:
数据安全
报告和门户
作为Thales的合作伙伴,揽阁信息与您一同解决合规性要求的各类问题,欢迎联系揽阁信息获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
