NIS 2 为了设立欧盟的网络安全标准,来自不同行业的企业均需将其安全战略记录在案。倒计时已开始,让我们齐心协力一起做好准备!
新版欧盟网络安全指令NIS 2已于2024年10月18日起强制实施。这项具有约束力的法规为整个欧盟的网络安全设立了标准,并强制要求不同行业的企业记录其安全战略。
相关方已敦促各企业采取行动。
什么是NIS 2?
欧盟推出NIS 2(网络与信息安全)指令,为其成员国制定了严格的网络安全法规。NIS 2是于2016年生效的NIS 指令的后继指令。因此,实施整体安全战略不再仅是防范网络攻击的必要条件,也是一项法律要求。
各成员国必须在2024年10月17日之前采取必要措施以遵守NIS 2指令,并自2024年10月18日起应用这些措施。
NIS 1与NIS 2有何区别?
NIS 2是2016年NIS指令的改进版,旨在确保欧盟网络和信息系统的高度安全,不过其仍然存在一些缺陷。
NIS 1和NIS 2的主要区别为:
-
新版本包括更多对社会和经济不可或缺的行业和企业,如能源、医疗保健、交通和数字基础设施。
-
NIS 2要求受影响的公司和组织运行有效的风险管理系统,并向所在国家主管当局报告严重或重大网络事件,以便国家主管当局采取必要行动。NIS 1仅提供了安全措施和事件报告的一般规范。
-
新版安全指令规定,如受影响的公司和组织未能实施必要的安全措施,或未能向相关国家当局报告严重或重大的网络安全事件,其所属成员国将受到更严格的制裁,制裁金额最高可达2000万欧元或全球收入的4%。NIS 1将制裁的定义留给成员国自行确定,由此导致了其在应用实施制裁方面的不一致性。
-
NIS 2强调了管理层在网络安全方面的个人责任,并首次规定,如首席执行官未能遵守法律规定,将以个人财产承担责任。
对谁有影响?
哪些公司必须执行NIS 2指令?
__基础实体:__活跃在关键基础设施领域的组织。例如,能源、运输、水管理、医疗保健或银行。
__重要实体:__该类别包括食品和化工行业的领先企业,以及负责制造电气设备、机械和车辆的企业。
此外,成员国本身可选择扩大受NIS 2影响的目标群体范围,将其他实体列入其国家清单,从而要求地方当局、教育实体等执行该指令。
有哪些处罚?
NIS 2指令执行严格,包括对未履行或未遵守报告义务的企业处以高额罚款。罚款的程度取决于各企业的分类。
如企业被归类为"重要”,则必须缴纳700万欧元的罚款,或最高上一财年全球年收入总额的1.4%。而如企业被归类为“基础企业”,则必须缴纳最高1000万欧元的罚款,或最高全球年收入总额的2%。
涉及到网络安全,尽职调查不容置喙,执行管理层有责任监督这些网络安全措施的实施和监控。
这对您而言究竟意味着什么?
NIS 2指令是一项于2023年1月16日生效的欧盟指令,旨在提高关键基础设施和数字服务供应商的网络安全与弹性。该指令要求受影响的企业和组织保持有效的风险管理系统,并向所在国家主管当局报告严重或重大网络事件,以便国家主管当局采取必要行动。旨在尽早发现安全漏洞,并采取预防措施,以最大限度地减少对用户、环境和公共秩序造成潜在危害。为确保所有相关方遵守同样的高标准,企业有责任确保整个供应链的安全,并将要求传达给业务合作伙伴和供应商。其他措施包括:
-
实施符合当前标准和最佳实践的适当和适度的安全措施,以确保其数据和服务的保密性、完整性、可用性和真实性。
-
制定并更新业务连续性计划,以便在网络安全事件发生后恢复正常操作条件。
-
为防止未经授权的访问,必须对网络和信息系统的访问实施多因素认证。
欧盟网络安全局(ENISA)将在监督和支持该立法的实施方面发挥至关重要的作用。
NIS 2进程
NIS 2指令于2023年1月16日生效,且必须在2024年10月17日之前纳入国家法律。欧盟委员会将于2027年10月17日起,每隔36个月审查指令的实施情况。
是时候采取行动并做好准备了
NIS 2已于2023年1月16日生效
菲尼克斯电气全方位整体安全概念
全方位安全防护,安全无忧
蓬勃发展的网络安全世界瞬息万变,NIS 2指令的出台更凸显了这一事实。在等待该指令被纳入国家法律并全面生效的同时,不可否认采取行动已迫在眉睫。
必须以欧洲和国际标准为基本方法,以满足NIS 2的严格要求。这些标准不仅定义了安全产品,还定义了实施弹性安全系统的原则。IEC 62443是一个绝佳示例,它是全球公认的自动化安全标准系列。__全方位安全防护理念__包括技术措施和组织措施,并有相应的IEC 62443认证作为支持。