NIS2 的背景是什麼? (網路與資訊安全 2)
隨著網路安全事件的日益增多,歐盟("EU")開始考慮那些一旦成為攻擊目標並遭到入侵,就會對社會關鍵基礎設施造成危害的產業和供應商。能源、交通和金融等產業在 2016 年《國家資訊安全指令》出台時就已被列入高瞻遠矚的關注範圍。
NIS2 是歐盟原有 NIS 網路安全指令的更新,並根據現代相關網路安全實踐對 NIS 進行了更新。各機構必須在 2024 年 10 月 17 日前落實 NIS2 要求。其目的是透過以下方式進一步加強私營和公共部門關鍵部門的復原力和事件回應能力:
i. 擴大《指令》所涵蓋的部門範圍
ii.引入具體的網路安全風險和事故管理要求
iii. 對未遵守指令要求的機構進行處罰
iv. 針對不履行網路安全義務的 C 級管理層引入問責制
v. 納入更嚴格、更規範的網路安全事件通報要求
vi. 試圖進一步協調歐盟各成員國的網路安全要求和製裁制度。
不遵守 NIS2 會受到處罰嗎?
NIS2 建立在原有 NIS 指令的基礎上。如果所有實體的員工超過 250 人,年營業額超過 5,000 萬歐元和/或年度資產負債表超過 4,300 萬歐元,則將自動被視為 "根本"或 "重要 "實體。根本實體和重要實體面臨相同的義務,但重要實體面臨較輕的執行製度。未遵守該法規的罰款為:
- 對於根本實體,最高罰款額為 1,000 萬歐元或全球年收入總額的 2%;或
- 對於重要實體,最高罰款額為 700 萬歐元或全球年收入總額的 1.4%(以較高者為準)。
發生網路安全事件後,組織管理階層和高階主管可能要承擔個人責任。
哪些機構必須了解 NIS2?
傳統產業包括能源基礎設施、機場、鐵路、醫療保健、供水和銀行。此外,還包括資料中心、管理服務供應商、郵政服務、雲端服務供應商、公共電子通訊網路、食品生產、廢水處理、廢棄物管理、化學製造、航太領域及其他領域。 NIS2 也包括中央和地區層級的公共行政機構,但不包括議會和中央銀行。
什麼是 NIS2 下的機構責任?
NIS2 的主要職責將圍繞在以下方面:
i.網路安全事件回應與管理
ii.網路安全控制測試
iii.透過網路安全措施保護數據
iv.事件通報做法
v.漏洞管理和揭露參數。
所有行業的企業都將受到立法的影響。必須考慮與供應商有關的供應鏈安全,包括每個直接供應商或服務提供者特有的漏洞。具體來說,供應商和服務提供者使用的產品品質和網路安全實踐將受到嚴格審查。
也將實施新的網路安全事件報告規則--被視為具有重大影響的事件定義為"已經或能夠對相關實體造成嚴重的服務運營中斷或經濟損失的事件......或能夠對其他自然人或法人造成相當大的物質或非物質損害的事件"。此類事件必須通報給歐盟成員國將成立的國家電腦安全事件應變小組或國家資訊系統監管機構。
規定了分階段通報事件的方法:
i.預警,說明事件是否被懷疑具有跨境影響,或是否由非法或惡意行為造成,最遲應在獲悉事件後 24 小時內發出通知,不得無故拖延
ii.必須立即提交第二份報告,無論如何應在 72 小時內提交,其中包括預警的最新情況,並詳細說明對事件的初步評估。
NIS2 立法與英國機構有何關係?
歐盟和英國都在修訂有關網路和資訊安全的法律,以加強更多領域的網路安全。英國政府於 2022 年 11 月 30 日確認,他們打算更新網路與資訊安全法規,透過以下方式提高英國的網路復原力:
i.將管理服務提供者 (MSP) 納入法規範圍,以確保數位供應鏈的安全
ii.改進對監管機構的網路事件報告
iii.建立成本回收系統,以執行現行的國家資訊安全法規
iv.賦予政府未來修訂國家資訊安全系統法規的權力,以確保其持續有效
v.使英國資訊專員能夠採取更基於風險的方法來監管數位服務。
預計 NIS2 與英國最終根據 NIS2 制定的法律之間將產生協同效應。英國官員暗示,未來在監管關鍵基礎設施網路安全的方式上將會有所區別。例如,考慮擴大事件報告責任,將不直接影響服務連續性,但仍對相關實體的安全和復原能力構成重大風險的事件也包括在內。
對於不直接屬於 NIS2 最終範圍的英國實體而言,NIS2 對實體供應鏈的適用可能意味著一個機構會發現自己受到立法的間接影響,其影響程度幾乎與直接影響範圍相同。這將適用於在英國的機構,這些機構可能不在歐盟範圍內提供服務,但卻是在歐盟範圍內提供服務的企業供應鏈的一部分。
企業可以採取哪些措施?
距離 2024 年 10 月 17 日的最後期限還有不到一年的時間,各機構應先考慮採取以下步驟:
1.了解監管環境 - 考慮貴機構是否在 NIS2 的範圍內。如果是,您是否會受到根本實體或重要實體監管措施的限制
2.評估貴機構遵守 NIS2 的能力 - 評估貴機構目前遵守 NIS2 措施的程度。確定合規基線,並指導如何彌補合規方面存在的差距。
3.測試事件回應流程和機構中人員的應變能力 – 機構中的所有成員,從執行長到第三方,都應了解自己的責任,以便從事件中安全快速地恢復。內部合作對於企業高效應對網路事件至關重要。強調 NIS2 規定的新事件報告流程的影響以及機構可能面臨的處罰
4.制定網路威脅和漏洞管理計畫--應由經過認證的網路安全專業人員對貴機構的關鍵系統定期進行漏洞掃描和人工滲透測試。應在整個機構內適當分享問題數量和嚴重性的透明度,以創造對機構網路安全的認識和問責文化。
5.創建全面的內部風險管理政策和程序 - 這將包括來自資訊系統/資訊技術、網路安全、隱私法律、企業法律、合規和財務等不同職能部門的意見和專業知識。
6.更新現有的網路保險政策--如果貴機構持有網路保險政策,請與保險提供者討論 NIS2 即將對您的保險政策產生的影響。如果您沒有全球網路保險,請考慮購買與 NIS 措施相符的保險。
公司集團中有歐盟實體的跨國機構的注意事項
NIS2 第 26 條規定,屬於該指令範圍內的實體應被視為受其所在成員國的管轄。因此,跨國機構的歐盟實體很可能受到 NIS2 的管轄,並需要證明其符合該法規。
除了上述幾點("機構可採取哪些措施?母公司最好考慮巨額罰款帶來的財務風險,並儘早採取措施,確保貴機構在全球範圍內遵守 NIS2。
其他考慮因素包括,如果您在歐盟地區開展運營但沒有歐盟的法律實體,則需要考慮任命歐盟代表。最後,考慮分析為確保符合 NIS2 而可能產生的任何額外 IT 和網路安全成本。
3CS 如何提供協助
我們的公司法和商業法律師在網路安全和資料隱私事務方面擁有卓越的國內和國際專業知識,並提供廣泛的網路安全法律服務。如需進一步了解與 NIS2 相關的事項及其可能對貴機構產生的影響,或就任何網路安全法律事務尋求協助,請與您的 3CS 聯絡人聯絡。
