贵公司是否有50多名员工或年营业额1000万欧元?如果是这样,你可能是受NIS2影响的数千家公司之一。
简言之
- NIS2将影响许多在关键行业运营的欧盟公司。如果您的组织在NIS2的范围内,以下是您应该知道的关键事项:你必须执行10项网络安全风险管理措施,最高
- 管理层对你的网络安全负责。
- 将实施更严厉的处罚制度,采取更严格的监督制度,并制定更严格的报告要求。
NIS2(网络和信息安全)指令是欧盟的网络安全最新政策,旨在改善成员国的集体网络安全。它废除并取代了其前身NIS指令,包括更严格的安全要求、更严格的报告义务和对更广泛组织的更严格的执法要求。本质上,NIS2旨在保护欧盟内的关键组织和基础设施免受网络威胁,目的是在整个欧盟实现高水平的共同安全。为了实现其目标,NIS2指令侧重于在关键部门运作的组织,因为它们对社会的正常运作至关重要,正因为如此,它们往往是网络攻击的主要目标。
据估计,NIS2指令将影响欧盟各地超过100000个组织,此外还将影响第一个NIS指令范围内的组织,因为它将其范围从七个部门扩大到十八个:
如果您的组织包含在NIS2的范围内,您需要了解五件事,并必须采取行动来遵守新要求。
您必须执行10项网络安全风险管理措施。
您需要采取适当和相称的技术、运营和组织措施来管理对您的网络和信息系统安全构成的风险,以防止或最大限度地减少事件对您的服务接受者的影响。这些措施包括:
- 风险分析和信息系统安全策略
- 基本网络卫生实践和网络安全培训
- 业务连续性(如备份管理和灾难恢复)和危机管理
- 使用多因素身份验证或连续身份验证解决方案
- 关于使用密码学和加密的政策和程序评估网络安全风险管理措施有效性的政策和流程
- 事件处理(预防、检测和响应)
- 人力资源安全、出入控制政策和资产管理
- 网络和信息系统获取、开发和维护中的安全
- 供应链安全措施
最高管理层对您的网络安全负责。
贵组织的管理机构必须批准上述网络安全风险管理措施,并将被要求接受网络安全培训。如果不履行其网络安全风险管理职责,可能会被暂时禁止行使管理职能。
更严厉的惩罚制度。
不遵守NIS2要求将导致重大处罚。这可能包括最高10000欧元或最高年总营业额2%的罚款,以及暂停您提供的服务的授权。
更严格的监督制度。
NIS2加强了监督制度,以确保遵守指令中包含的所有安全风险管理要求。这意味着您的组织可能会受到现场检查和非现场监督,包括随机检查、定期和有针对性的审计、安全扫描或访问数据的请求等。当局对您的监督程度会有所不同,这取决于您的组织是被归类为重要实体还是重要实体,并对后者进行更强有力的监督。
更严格的报告要求。
如果发生网络事件,您必须在24小时内将事件通知相关部门,并在72小时内创建报告。该报告必须包括事件的详细描述、可能引发事件的威胁类型或根本原因,以及您为减少损失而采取的缓解措施。
至关重要的是,您的组织熟悉您必须遵守的网络安全要求,否则将受到严厉制裁。然而,同样值得考虑的是,该指令中包含的网络安全措施旨在帮助您保护数据、系统和流程。因此,合规不仅可以防止制裁,还可以引导您实现网络安全成熟度,保护您的组织免受网络攻击,这些攻击可能会对您的公司和所有服务接受者产生毁灭性影响。
在安永,我们建议各组织首先了解它们是否属于NIS2指令的范围,如果是,以何种身份。如果你确实属于立法中包含的行业之一,那么你可以采取几个步骤来为即将到来的要求做准备,你必须满足这些要求。例如,
- (1)对您的整个体系结构和系统环境进行盘点或审计,以便成功地为您的风险管理流程建立一个适当的起点;
- (2)实施风险管理框架,确保持续识别、评估、评估和处理针对您的数据的威胁,
- (3)启动危机管理活动,以限制危机的影响和持续时间,
- (4)定义和建立业务连续性和灾难恢复程序,以确保您的关键流程在中断期间继续以可接受的水平运行,
- (5)确保最高管理层参与组织的网络安全战略,
- (6)通过将供应商和服务提供商纳入风险评估来识别供应链风险,
- 或(7)定义结构化的事件管理流程,以便在网络安全事件发生时成功记录、调查和分类。
所有这些活动不仅将引导您遵守NIS2,还将加强您的网络安全态势,并增强您应对不断增长的网络安全威胁的能力。
总结
NIS2指令是一项新的欧盟网络安全政策,取代了之前的NIS指令,旨在改善成员国的集体网络安全。它的范围更广,涵盖18个部门,并要求各组织成熟其网络安全能力。然而,在安永,我们提倡这样一种理念,即遵守NIS2指令不仅可以防止制裁,还可以加强组织的网络安全态势,并建立抵御网络安全威胁的能力。因此,我们建议,NIS2指令范围内的组织现在应该已经开始采取第一步来满足NIS2的要求。
- 登录 发表评论