什么是 NIS 2 指令?
NIS 2 指令作为第 (EU) 2022/2555 号指令发布在《欧盟官方公报》上,旨在实现整个欧盟高度统一的网络安全水平。它将从 2024 年 10 月 18 日起取代(欧盟)第 2016/1148 号指令(NIS 指令)。
成员国必须确保基本和重要实体(以下简称 EIEs)采取适当和相称的技术、运营和组织措施,以管理网络和信息系统安全所面临的风险,并防止或最大限度地减少事件对其服务对象和其他服务的影响。
NIS 2 指令作为第 (EU) 2022/2555 号指令发布在《欧盟官方公报》上,旨在实现整个欧盟高度统一的网络安全水平。它将从 2024 年 10 月 18 日起取代(欧盟)第 2016/1148 号指令(NIS 指令)。
成员国必须确保基本和重要实体(以下简称 EIEs)采取适当和相称的技术、运营和组织措施,以管理网络和信息系统安全所面临的风险,并防止或最大限度地减少事件对其服务对象和其他服务的影响。
措施应以"全危险方法"为基础,旨在保护网络和信息系统以及这些系统的物理环境免受事故影响。
措施应 "至少 "包括以下内容:
(a) 风险分析和信息系统安全政策;
(b) 事故处理;
(c) 业务连续性,如备份管理和灾难恢复,以及危机管理;
(d) 供应链安全,包括每个实体与其直接供应商或服务提供商之间关系的安全相关方面;
(e) 网络和信息系统购置、开发和维护方面的安全,包括漏洞处理和披露;
(f) 评估网络安全风险管理措施有效性的政策和程序;
(g) 基本网络卫生做法和网络安全培训;
(h) 有关使用加密技术和在适当情况下使用加密技术的政策和程序;
(i) 人力资源安全、访问控制政策和资产管理;
(j) 在实体内酌情使用多因素认证或持续认证解决方案、安全语音、视频和 文本通信以及安全应急通信系统。
如果第 26.1.(b)段中提及的实体("域名系统服务提供商、顶级域名注册机构、提供域名注册服务的实体、云计算服务提供商、数据中心服务提供商、内容交付网络提供商、管理服务提供商、管理安全服务提供商,以及在线市场、在线搜索引擎或社交网络服务平台的提供商")未在欧盟设立,但在欧盟境内提供服务,则应在欧盟指定一名代表。
为系统地应对相关法规带来的风险,各组织可考虑实施基于国际标准 ISO 27001 的信息安全管理系统 (ISMS)。
DQS HK