NIS 2 為確立歐盟資安標準,各產業企業皆須落實其安全策略。倒數計時已啟動,現在正是攜手準備的關鍵時刻!
自 2024 年 10 月 18 日起,歐盟新版網路安全指令 NIS 2 正式強制實施。這項具有法律約束力的規範為歐盟全境設立網路安全標準,強制要求各產業企業必須落實並驗證其資安防護策略。
企業應立即採取行動。
何謂 NIS 2 指令?
歐盟透過 NIS 2(網路與資訊安全)指令為成員國制定嚴格的資安規範。NIS 2 是 2016 年正式生效的 NIS 指令的更新版。實施全面性資安策略不僅是防範網路攻擊的必要措施,現更成為法定義務。
各成員國須於 2024 年 10 月 17 日前完成 NIS 2 指令的合規措施立法,並自 2024 年 10 月 18 日起正式適用。
NIS 1 與 NIS 2 有何區別?
NIS 2 是 2016 年正式生效的 NIS 指令的更新版,後者旨在確保歐盟網路和資訊系統的高度安全,但存在一些缺陷。
NIS 1 與 NIS 2 之間最主要的區別在於:
-
新版本涵蓋了更多對社會和經濟至關重要的行業和企業,如能源、醫療保健、交通和數位基礎設施。
-
NIS 2 要求相關企業和組織實施有效的風險管理,並向國家主管部門報告嚴重或重大的網路事故,然後由主管部門採取必要措施。NIS 1 只給出了安全措施和事件報告的一般準則。
-
新的安全指令規定,如果相關企業和組織未採取必要的安全措施,或未向國家主管部門報告嚴重或重大的網路事故,對應的成員國將受到更嚴厲的處罰,處罰金額最高可達 2000 萬歐元或全球銷售總額的 4 %。NIS 1 將處罰的決定權留給了各成員國,這就導致了實施力度的不一致。
-
NIS 2 強調了管理層在網路安全方面的個人責任,並且規定如果總經理未遵照法律要求,他們首次需要以個人資產承擔責任。
誰受此影響?
哪些企業必須遵循 NIS 2 指令?
__關鍵基礎設施機構:__這些組織從事關鍵基礎設施領域的業務, 例如能源、運輸、水管理、醫療保健或銀行業。
__重要機構:__此類別包括食品和化學工業的領先企業,以及負責生產電氣設備、機械和車輛的企業。
此外,歐盟成員國可自行決定擴大 NIS 2 指令的適用範圍, 將地方政府機關、教育機構等更多單位納入國家級關鍵基礎設施清單,要求其遵循相關規範。
處罰規定是怎樣的?
相關組織應嚴格遵照 NIS 2 指令,如未遵守或未履行報告義務,將會受到重罰。處罰金額取決於各企業的類別。
如果是「重要」級企業,處罰金額為 700 萬歐元或上一財政年度全球年度銷售總額的 1.4 %。如果是「基礎性」企業,處罰金額則最高可達 1000 萬歐元,或全球年度銷售總額的 2%。
網路安全領域的盡職義務不容妥協,企業最高管理層有責任牽頭安排這些網路安全措施的實施和監督工作。
這一情況將對您產生哪些具體影響?
NIS 2 指令是一項於 2023 年 1 月 16 日正式生效的歐盟指令,旨在提高關鍵基礎設施和數位服務供應商的網路安全性和彈性。該指令要求相關企業和組織實施有效的風險管理,並向國家主管部門報告嚴重或重大的網路事故,然後由主管部門採取必要措施。目的是及早發現安全漏洞,並採取預防措施,從而盡可能減少對使用者、環境和公共秩序可能造成的損害。為確保所有相關方都遵照同樣的高標準,各企業還應負責確保整個供應鏈的安全,並將相關要求傳達給業務夥伴和供應商。進一步的措施例如包括:
-
根據目前標準和最佳實務實施適當的安全措施,以確保資料和服務的機密性、完整性、可用性和真實性。
-
制定和更新業務連續性計劃,以便在發生網路事故後恢復正常運轉。
-
在使用者存取網路和資訊系統時設定多重驗證,以防止未經授權的存取。
歐盟網路安全局 (ENISA) 將在監督和支援這些法案的實施方面發揮主導作用。
NIS 2 時間表
NIS 2 指令已於 2023 年 1 月 16 日生效,各成員國最遲須於 2024 年 10 月 17 日前完成國內法轉化。該指令實施情況將自 2027 年 10 月 17 日起,由歐盟委員會每 36 個月定期審查一次。
現在就是採取行動並做好準備的時刻。
NIS 2 已於 2023 年 1 月 16 日正式生效
我們的 360° 全方位保全方案
360° 全方位保全 – 安全無虞
NIS 2 指令的出台,強調了這樣的事實:在網路安全的動態世界中,變化才是永恆的。毋庸置疑,在等待該指令轉化為本國法律並全面生效的同時,我們需要立即採取行動。
為了滿足 NIS 2 的嚴格要求,我們必須以歐洲和國際標準為基礎。這些標準不僅對安全產品進行了定義,還規定了實施有效安全系統的原則。其中一個突出的範例是 IEC 62443,它是全球公認的自動化安全系列標準。我們的 __360° 全方位保全方案__包括技術和組織措施,並且均具備相應的 IEC 62443 認證。