什么是 NIS 2 指令?
NIS 2 指令作为第 (EU) 2022/2555 号指令发布在《欧盟官方公报》上,旨在实现整个欧盟高度统一的网络安全水平。它将从 2024 年 10 月 18 日起取代(欧盟)第 2016/1148 号指令(NIS 指令)。
成员国必须确保基本和重要实体(以下简称 EIEs)采取适当和相称的技术、运营和组织措施,以管理网络和信息系统安全所面临的风险,并防止或最大限度地减少事件对其服务对象和其他服务的影响。
生效日期
- 在 2024 年 10 月 17 日之前,各成员国必须通过并公布遵守 NIS 2 指令所需的措施。
它们应从 2024 年 10 月 18 日起实施这些措施。 - 在 2024 年 10 月 17 日之前,委员会应通过实施法案,规定有关以下方面的措施的技术和方法要求:
DNS 服务提供商、顶级域名注册商、云计算服务提供商、数据中心服务提供商、内容交付网络提供商、托管服务提供商、托管安全服务提供商、在线市场、在线搜索引擎和社交网络服务平台提供商以及信任服务提供商。 - 在 2025 年 4 月 17 日前,会员国应建立一份电子执行实体和提供域名注册服务的实体清单。
会员国应定期审查并酌情更新该清单,此后至少每两年更新一次。
重要义务:
- 电子信息实体的管理机构必须批准这些实体采取的网络安全风险管理措施,监督其执行情况,并 "可对侵权行为负责"。
- 电子工业实体的管理机构成员必须接受培训,并应鼓励电子工业实体定期为其员工提供类似培训,以便他们获得足够的知识和技能,使他们能够识别风险,评估网络安全风险管理措施及其对实体所提供服务的影响。
- 电子实体必须采取适当和相称的技术、业务和组织措施,管理对这些实体用于其业务或提供其服务的网络和信息系统的安全构成的风险,并防止或尽量减少事故对其服务接受者和其他服务的影响。
- 上述措施应确保网络和信息系统的安全级别与所构成的风险相适应。
要求措施
措施应以"全危险方法"为基础,旨在保护网络和信息系统以及这些系统的物理环境免受事故影响。
措施应 "至少 "包括以下内容:
(a) 风险分析和信息系统安全政策;
(b) 事故处理;
(c) 业务连续性,如备份管理和灾难恢复,以及危机管理;
(d) 供应链安全,包括每个实体与其直接供应商或服务提供商之间关系的安全相关方面;
(e) 网络和信息系统购置、开发和维护方面的安全,包括漏洞处理和披露;
(f) 评估网络安全风险管理措施有效性的政策和程序;
(g) 基本网络卫生做法和网络安全培训;
(h) 有关使用加密技术和在适当情况下使用加密技术的政策和程序;
(i) 人力资源安全、访问控制政策和资产管理;
(j) 在实体内酌情使用多因素认证或持续认证解决方案、安全语音、视频和 文本通信以及安全应急通信系统。
对非欧盟实体:
如果第 26.1.(b)段中提及的实体("域名系统服务提供商、顶级域名注册机构、提供域名注册服务的实体、云计算服务提供商、数据中心服务提供商、内容交付网络提供商、管理服务提供商、管理安全服务提供商,以及在线市场、在线搜索引擎或社交网络服务平台的提供商")未在欧盟设立,但在欧盟境内提供服务,则应在欧盟指定一名代表。
应对相关风险
为系统地应对相关法规带来的风险,各组织可考虑实施基于国际标准 ISO 27001 的信息安全管理系统 (ISMS)。
DQS 香港提供的服務
DQS通讯
了解最新资讯,订阅我们的通讯
作者
博客创作团队 DQS HK
DQS HK
Loading...