近年来,在网络安全和隐私监管方面,世界各地的立法者都很活跃. 欧盟(EU)一直在加快立法步伐, 特别是由于疫情造成的数字化. 一份欧盟网络安全文件,NIS指令号. 2016/1148号关于欧盟网络和信息系统高共同安全水平的措施, 于2016年被采纳, 已经有计划更新它,用 NIS2指令.
NIS2指令建议了哪些变化?
NIS2指令旨在引入以下变更:
- 处罚 因未遵守报告和/或网络安全风险管理措施,最高罚款1000万欧元或该实体全球总营业额的2%
- 受报告和网络安全风险措施要求约束的实体范围更广, 如:
- 地区及氢能行业服务
- 实验室, 从事药品研究开发活动的单位, 基本药品和制剂生产商, 以及关键医疗设备的制造商
- 废水收集、处置或处理
- 数据中心、内容交付网络、信任服务提供商
- 公共电子通信网络的提供者
- 公共行政实体
- 天基服务提供商
- 社交网络平台
- 邮政及速递服务
- 废物管理
- 化学品的制造、生产和分销
- 食品生产、加工、配送
- 制造(医疗和体外设备), 计算机及电子、光学产品, 电气设备, 机械设备, 机动车辆, 拖车和半拖车, 其他运输)
- 提供更具体的所需安全元素列表, such as risk analysis and information system security policies; incident handling; business continuity and crisis management; supply chain security; security in network and information systems acquisition, 开发和维护, including vulnerability handling and disclosure; policies and procedures (testing and auditing) to assess the effectiveness of cybersecurity risk management; cryptography and encryption
- 在某些情况下,就事件通知服务接受者
- 对关键供应链安全的要求
- 监管漏洞披露流程
- 对欧盟国家当局采取更严格的监管措施
对非欧盟国家有影响吗?
NIS和NIS2指令对欧盟以外组织的应用取决于它们的分类. 对比如下:
| NIS指令 |
NIS2指令 |
||
|
基本服务营办商 即使一个实体不在欧盟, 如果在欧盟境内提供服务,则受NIS指令要求的约束. 如果服务提供商的总部设在欧盟,则必须遵守NIS指令.
|
针对这两类特定服务提供者的一般规定 DNS, 顶级域名注册机构, 云计算, 数据中心服务提供商和内容交付网络提供商必须遵守NIS2指令的要求, 如果他们在欧盟有自己的网络安全决策点. 如果欧盟不做出这样的决定, 一般认为,主要机构位于欧盟雇员人数最多的成员国. 目前尚不清楚是否可以引用将NIS2应用于基本服务提供商的相同逻辑, 正如NIS指令的情况一样.
|
立法者目前正在修改NIS2的文本, 预计哪一个将在2022年下半年之后敲定. 然后,各国将有一段时间(可能是几年)将其要求转化为国家立法, 但具体持续时间有待商定). 尽管NIS2指令仍然是一个提案, 已经有可能看到,更广泛的欧盟和非欧盟实体将不得不确保遵守更统一的网络安全要求.
