2024-10-19 20:01来源:本站编辑
欧盟(eu)要求企业加强网络防御的新法规起步缓慢,因为许多成员国未能及时采用这些规则,未能赶上关键的执行期限,一项监测该指令进展的研究显示。
欧盟的NIS 2网络安全指令为企业的内部网络安全系统和实践设定了很高的基准。它在风险管理、透明度义务和业务连续性计划方面提出了更严格的要求,以防发生网络入侵。
周四,新指令正式在成员国强制执行。这意味着公司现在必须确保他们的运营符合规定。然而,大多数欧盟成员国尚未在各自的国家法律中实施NIS 2,这意味着执行可能参差不齐。
根据互联网研究机构DNS研究联合会的跟踪工具,葡萄牙和保加利亚这两个国家还没有开始NIS 2的转换过程,其中指令被纳入欧盟成员国的国家法律。CNBC周三联系葡萄牙和保加利亚政府时,没有立即发表评论。
Fladgate的合伙人兼技术律师蒂姆·赖特(Tim Wright)通过电子邮件告诉CNBC:“欧盟各国的实施状况差异很大。”
NIS 2,即网络和信息安全指令2,是欧盟的一项指令,旨在提高整个集团IT系统和网络的安全性。该法于2020年首次提出,是对此前一项简称为NIS的指令的更新。
NIS 2扩展了其前身的范围,以应对最近的网络安全挑战和威胁,因为犯罪分子已经找到了攻击公司并破坏其敏感数据的新方法。
该指令适用于在欧盟境内运营并向消费者提供基本服务的组织,包括银行、能源供应商、医疗机构、互联网提供商、运输公司和废物处理商。
根据新规定,企业将有“注意义务”报告并与其他公司分享有关网络漏洞和黑客攻击的信息——即使这意味着承认自己是网络漏洞的受害者。
如果一家企业成为网络入侵的受害者,他们将有24小时的时间向当局提交预警通知——这比欧盟单独的数据隐私法《通用数据保护条例》(General data Protection Regulation)规定的72小时通知当局数据泄露的时间更严格。
公司还必须逐一审查其技术供应商的网络威胁和漏洞。
Fladgate的Wright表示,NIS 2作为一项法规的有效性将在很大程度上取决于欧盟成员国的一致实施和执行。
他对CNBC表示:“不良行为者可能会瞄准在NIS2转换方面落后的国家,或者寻找供应链中的弱点,瞄准规模较小、安全性较差的供应商和供应商,以进入规模较大、保护较好的组织。”
在周四的最后期限之前,企业多年来一直在努力完善内部流程、控制和更广泛的网络安全文化。
企业科技公司思科(Cisco)的欧盟公共政策主管克里斯•高(Chris Gow)表示,“地方对法律的适应”也加剧了NIS 2实施的参差不齐。
这反过来又“造成了难以驾驭的差异,特别是对于资源有限的小型组织,”Gow在电子邮件评论中告诉CNBC。
他建议,与其被NIS 2的本地适应差异“淹没”,组织应该“确定安全控制和流程的共同核心,使他们能够很好地满足并展示大规模的合规性。”
对于交通、金融和水务公司等“重要”实体来说,不遵守《新NIS 2》可能会面临高达1000万欧元(1090万美元)或全球年收入2%的罚款,以较高者为准。
与此同时,“重要”企业——如食品公司、化工公司和废物管理服务公司——将面临高达700万欧元的罚款,相当于其全球年收入的1.4%。
如果企业不遵守NIS 2,以及更严格的监管,它们也可能面临被暂停服务的可能。
Proofpoint的欧洲、中东和非洲地区网络安全策略师卡尔•伦纳德(Carl Leonard)对CNBC表示:“NIS 2明确表示,巨额罚款、可能暂停服务和监控合规被用作杠杆,以鼓励负责关键服务的组织关注网络安全威胁及其应对措施。”
伦纳德补充说:“我们已就风险管理和缓解措施,包括事件处理、员工培训、领导层问责等,设定了基线。”