[商业法 – 网络安全] 欧盟强制性网络安全指令 - NIS2 倒计时

NIS2 的背景是什么？(网络与信息安全 2）

随着网络安全事件的日益增多，欧盟（"EU"）开始考虑那些一旦成为攻击目标并遭到入侵，就会对社会关键基础设施造成危害的行业和供应商。能源、交通和金融等行业在 2016 年《国家信息安全指令》出台时就已被列入高瞻远瞩的关注范围。

NIS2 是对欧盟原有 NIS 网络安全指令的更新，并根据现代相关网络安全实践对 NIS 进行了更新。各机构必须在 2024 年 10 月 17 日前落实 NIS2 要求。其目的是通过以下方式进一步加强私营和公共部门关键部门的复原力和事件响应能力：

i.扩大《指令》所涵盖的部门范围

ii.引入具体的网络安全风险和事故管理要求

iii.对未能遵守指令要求的机构进行处罚

iv.对不履行网络安全义务的 C 级管理层引入问责制

v. 纳入更严格、更规范的网络安全事件报告要求

vi.试图进一步协调欧盟各成员国的网络安全要求和制裁制度。

不遵守 NIS2 会受到处罚吗？

NIS2 建立在原有 NIS 指令的基础之上。如果所有实体的雇员超过 250 人，年营业额超过 5000 万欧元和/或年度资产负债表超过 4300 万欧元，则将自动被视为 "根本"或 "重要 "实体。根本实体和重要实体面临相同的义务，但重要实体面临较轻的执行制度。未遵守该法规的罚款为

1. 对于根本实体，最高罚款额为 1000 万欧元或全球年收入总额的 2%；或
2. 对于重要实体，最高罚款额为 700 万欧元或全球年收入总额的 1.4%（以较高者为准）。

发生网络安全事件后，组织管理层和高管可能要承担个人责任。

哪些机构必须了解 NIS2？

传统行业包括能源基础设施、机场、铁路、医疗保健、供水和银行。此外，还包括数据中心、管理服务提供商、邮政服务、云服务提供商、公共电子通信网络、食品生产、废水处理、废物管理、化学制造、航天领域及其他领域。NIS2 还包括中央和地区一级的公共行政机构，但不包括议会和中央银行。

什么是 NIS2 下的机构责任？

NIS2 的主要职责将围绕以下方面展开：

i.网络安全事件响应和管理

ii.网络安全控制测试

iii.通过网络安全措施保护数据

iv.事件报告做法

v.漏洞管理和披露参数

所有行业的企业都将受到立法的影响。必须考虑与供应商有关的供应链安全，包括每个直接供应商或服务提供商特有的漏洞。具体来说，供应商和服务提供商使用的产品质量和网络安全实践将受到严格审查。

还将实施新的网络安全事件报告规则--被视为具有重大影响的事件定义为 "已经或能够对相关实体造成严重的服务运营中断或经济损失的事件......或能够对其他自然人或法人造成相当大的物质或非物质损害的事件"。此类事件必须通报给欧盟成员国将成立的国家计算机安全事件应对小组或国家信息系统监管机构。

规定了分阶段通报事件的方法：

i.预警，说明事件是否被怀疑具有跨境影响，或是否由非法或恶意行为造成，最迟应在获悉事件后 24 小时内发出通知，不得无故拖延

ii.必须立即提交第二份报告，无论如何应在 72 小时内提交，其中包括预警的最新情况，并详细说明对事件的初步评估。

NIS2 立法与英国机构有何关系？

欧盟和英国都在修订有关网络和信息安全的法律，以加强更多领域的网络安全。英国政府于 2022 年 11 月 30 日确认，他们打算更新网络与信息安全法规，通过以下方式提高英国的网络复原力：

i.将管理服务提供商 (MSP) 纳入法规范围，以确保数字供应链的安全

ii.改进对监管机构的网络事件报告

iii.建立成本回收系统，以执行现行的国家信息安全法规

iv.赋予政府在未来修订国家信息安全系统法规的权力，以确保其持续有效

v.使英国信息专员能够采取更加基于风险的方法来监管数字服务。

预计 NIS2 与英国最终根据 NIS2 制定的法律之间将产生协同效应。英国官员暗示，未来在监管关键基础设施网络安全的方式上将会有所区别。例如，考虑扩大事件报告责任，将不直接影响服务连续性，但仍对相关实体的安全和恢复能力构成重大风险的事件也包括在内。

对于不直接属于 NIS2 最终范围的英国实体而言，NIS2 对实体供应链的适用可能意味着一个机构会发现自己受到立法的间接影响，其影响程度几乎与直接影响范围相同。这将适用于在英国的机构，这些机构可能不在欧盟范围内提供服务，但却是在欧盟范围内提供服务的企业供应链的一部分。

企业可以采取哪些措施？

距离 2024 年 10 月 17 日的最后期限还有不到一年的时间，各机构应首先考虑采取以下步骤：

1.了解监管环境 - 考虑贵机构是否在 NIS2 的范围内。如果是，您是否会受到根本实体或重要实体监管措施的制约

2.评估贵机构遵守 NIS2 的能力 - 评估贵机构目前遵守 NIS2 措施的水平。确定合规基线，并指导如何弥补合规方面存在的差距。

3.测试事件响应流程和机构中人员的应变能力 – 机构中的所有成员，从首席执行官到第三方，都应了解自己的责任，以便从事件中安全快速地恢复。内部合作对于企业高效应对网络事件至关重要。强调 NIS2 规定的新事件报告流程的影响以及机构可能面临的处罚

4.制定网络威胁和漏洞管理计划--应由经过认证的网络安全专业人员对贵机构的关键系统定期进行漏洞扫描和人工渗透测试。应在整个机构内适当分享问题数量和严重性的透明度，以创建一种对机构网络安全的认识和问责文化。

5.创建全面的内部风险管理政策和程序 - 这将包括来自信息系统/信息技术、网络安全、隐私法律、企业法律、合规和财务等不同职能部门的意见和专业知识。

6.更新现有的网络保险政策--如果贵机构持有网络保险政策，请与保险提供商讨论 NIS2 即将对您的保险政策产生的影响。如果您没有全球网络保险，请考虑购买一份与 NIS 措施相适应的保险。

公司集团中有欧盟实体的跨国机构的注意事项

NIS2 第 26 条规定，属于该指令范围内的实体应被视为受其所在成员国的管辖。因此，跨国机构的欧盟实体很可能受到 NIS2 的管辖，并需要证明其符合该法规。

除了上述几点（"机构可采取哪些措施？母公司最好考虑巨额罚款带来的财务风险，并尽早采取措施，确保贵机构在全球范围内遵守 NIS2。

其他考虑因素包括，如果您在欧盟地区开展运营但没有欧盟的法律实体，则需要考虑任命一名欧盟代表。最后，考虑分析为确保符合 NIS2 而可能产生的任何额外 IT 和网络安全成本。

3CS 如何提供帮助

我们的公司法和商业法律师在网络安全和数据隐私事务方面拥有卓越的国内和国际专业知识，并提供广泛的网络安全法律服务。如需进一步了解与 NIS2 有关的事项及其可能对贵机构产生的影响，或就任何网络安全法律事务寻求帮助，请与您的 3CS 联系人联系。