理事会通过了一项立法,在欧盟范围内建立高度共同的网络安全水平,以进一步提高公共和私营部门以及整个欧盟的应变能力和事件应对能力。
名为“NIS2”的新指令将取代当前关于网络和信息系统安全的指令(NIS指令)。
- 毫无疑问,网络安全在未来几年仍将是一个关键挑战。我们的经济和公民面临着巨大的风险。今天,我们又迈出了一步,以提高我们应对这一威胁的能力。
- 捷克数字化副总理兼区域发展部长Ivan Bartoš
加强风险和事件管理与合作
NIS2将为该指令涵盖的所有部门(如能源、交通、卫生和数字基础设施)的网络安全风险管理措施和报告义务设定基准。
修订后的指令旨在协调不同成员国的网络安全要求和网络安全措施的实施。为了实现这一目标,它为监管框架制定了最低限度的规则,并为每个成员国的相关当局之间的有效合作制定了机制。它更新了受网络安全义务约束的部门和活动清单,并规定了补救措施和制裁措施,以确保执行。
该指令将正式建立欧洲网络危机联络组织网络,即欧盟CyCLONe,该网络将支持大规模网络安全事件和危机的协调管理。
扩大规则的范围
根据旧的NIS指令,成员国负责确定哪些实体符合基本服务运营商的资格标准,而新的NIS2指令引入了规模上限规则,作为识别受监管实体的一般规则。这意味着,在该指令所涵盖的行业内运营或提供服务的所有中型和大型实体都将属于该指令的范围。
虽然修订后的指令保持了这一一般规则,但其文本中包括了额外的规定,以确保相称性、更高级别的风险管理和明确的关键性标准,以允许国家当局确定所涵盖的其他实体。
文本还澄清,该指令不适用于在国防或国家安全、公共安全和执法等领域开展活动的实体。司法机构、议会和中央银行也被排除在范围之外。
NIS2也将适用于中央和区域一级的公共行政部门。此外,成员国可以决定,这也适用于地方一级的此类实体。
新法律引入的其他变化
此外,新指令已与特定部门的立法相一致,特别是关于金融部门数字运营弹性的法规(DORA)和关于关键实体弹性的指令(CER),以提供法律明确性并确保NIS2与这些法案之间的一致性。
一个自愿的同行学习机制将增进相互信任,并从欧盟的良好做法和经验中学习,从而有助于实现高度共同的网络安全水平。
新立法还简化了报告义务,以避免造成过度报告,并给所涉实体造成过重负担。
接下来的步骤
该指令将于未来几天在《欧盟官方公报》上发布,并将于发布后的第二十天生效。
成员国将在指令生效后21个月内将这些条款纳入其国家法律。
- Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22)
- Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach
- Cybersecurity: how the EU tackles cyber threats (background information)
- A digital future for Europe (background information)
- How the EU responds to crises and builds resilience (background information)
- 登录 发表评论