指令标志着欧洲网络安全的一个转折点。面对日益增长的威胁,中国正在加强保护网络和信息系统的措施。了解该法规如何影响您的业务以及确保合规的步骤。
指令是迄今为止监管欧洲网络安全的 NIS 指令的一项重大发展,是一个巨大的进步。事实上,NIS 仅涉及法国的 300 家实体,而NIS 2 则将其范围扩大到涉及的公司数量增加了 20 或 30 倍。为什么会有这样的改变?简而言之,这是一个在欧洲内部建立同质安全水平的问题,其中包括各种规模的政府和公司,以及从被动的方法转向主动的战略。简而言之,NIS 2 强化了NIS的成就,以提高安全性。
指令于 2023 年 1 月 16 日生效,但将 NIS 2 指令转化为法国国家法律仍存在许多不确定性。尽管如此,对违约实体实施金融制裁仍需要确定性,这凸显了组织为这一新监管框架做好准备的紧迫性。我们盘点一下。
网络安全插图显示带有代表数据保护的挂锁的技术符号。
NIS 2 指令的背景和需求
自2016年以来,第一版网络和信 如何建立电话号码清单 息系统安全(NIS)指令加强了基本服务运营商和数字服务提供商的安全。然而,技术和威胁的快速发展凸显了其局限性。为了应对这些挑战,欧盟于2022年12月通过了第二版NIS指令——网络和信息系统安全指令 ,即NIS 2。
这规定每个欧盟成员国有 21 个月的时间将各种监管要求转化为国家法律。因此,NIS 2 最迟将于 2024 年 10 月 17 日在法国生效。一些要求将直接适用,而另一些要求则需遵守合规期限。
此次更新旨在改善成员国之间在该主题上的合作,增强关键基础设施的弹性并保护基本服务和数字服务。
法国在哪里?
在欧洲框架内,法国的成熟度为3级。因此,在这个问题上明确提出了立法。
欧洲地图显示票据换位的不同成熟度级别,每个国家分为 4 个成熟度级别。
ANSSI 倾向于采用参与式方法,让该行业的主要参与者参与其中,包括行业专业联合会,例如 UFE(法国电力联盟)、网络安全协会(CLUSIF、CESIN)和合格服务提供商(PASSI、PRIS、PDIS 等)。 )。
当局计划将NIS 与 REC(关键实体弹性)的转换相结合,以明确这两项法律所涉及组织的监管框架。
在 NIS 1 指令中,成员国负责在其国家范围内单独指定受该指令约束的运营商。 NIS 2 取消了这种指定机制,以提高同一活动部门中所有参与者的弹性。
根据 NIS 2 指令,实体根据两个标准被认定为必要或重要 :
实体规模(员工人数、营业额、年度资产负债表);
的跨境服务、特别是对成员国的关键服务等)。
对企业的影响
正如我们刚才所看到的,NIS 2 指令改变了游戏规则,现在适用于比过去更多的公司。但它们到底属于哪些部门呢?最重要的是,他们的新义务包括哪些内容?让我们一起来看看吧。
谁受到 NIS 2 指令的影响?
NIS 2 指令区分了两类实体,根据其关键级别、所提供服务的部门或类型以及规模进行监管:基本实体 (EE)和重要实体 (EI)。
插图显示“涉及 18 个部门的 10,000 多个实体”,图标为地方当局、公共管理部门、大中型公司。
这两类涵盖了广泛的领域。例如,基本实体包括:
显示“基本业务部门和子部门”的 如何对电子邮件营销中的多个假设进行 A/B 测试 插图,其中包含能源、交通、健康、空间、饮用水、废水、公共管理、数字基础设施、银行、金融市场基础设施和 ICT 服务管理等图标。 NIS 2 指令添加的扇区标有绿色加号。
至于重要的实体,它们也没有被遗漏:
显示“重要活动的部门和子部门”的插图,其中包含邮政服务、废物管理、在线市场、研究、化学、食品和汽车制造的图标。 NIS 2 指令添加的扇区标有绿色加号。
请注意,对于后者,NIS 2 指令添加了一定数量的其他部门。
新的义务
NIS 2 指令引入了更具体和详细 CG 线索 的安全要求,包括技术和组织措施,以及更严格的治理和风险管理义务。
在合规和监管方面,实体必须遵守所有法律义务。在重大变化中,我们注意到,除其他外,有义务向主管当局(CSIRT,国家当局)快速报告被归类为“重要”的安全事件。
