Skip to Content

EU-NIS2:网络安全刻不容缓,企业何去何从?

EU-NIS2 和 EU-RCE 指令将在今年转化为德国法令并具备法律效力。尽管议会流程将延迟到2024年10月后,但企业应该提前做好准备。

EU-NIS2 和 EU-RCE 是什么

EU-NIS2(2022/2555欧盟网络和信息系统安全指令)和 EU-RCE(2022/2557欧洲联盟弹性协调办公室)旨在加强重要和关键基础设施的网络安全和持续性。

本文提及的是欧盟指令。欧盟各成员国分别针对 EU-NIS2 的实施还会有一些其他延展。例如,在德国,是联邦信息安全办公室( BSI )制定的 "NIS2UmsuCG" 。

哪些企业会受到 EU-NIS2 和 EU-RCE 的影响?

众多欧盟企业将直接受到 EU-NIS2 影响,因为该指令适用范围相对较大,且门槛低于之前的监管制度。包括:

  • 云计算服务提供商( CSP ):提供按需管理,远程访问,甚至跨多个地点访问弹性共享计算资源池的数字化服务。
  • 管理服务提供商( MSP ):为客户提供支持或主动安装、管理、运行、维护 ICT 产品、网络、基础设施、应用程序、网络和信息系统。

检查您的企业是否在此范围内,并在相关实施法案通过国家议会前是否满足要求。根据欧盟 NIS2 指令第21条第2款 d) 项的规定,措施至少应涵盖供应链安全,包括各实体与其直接供应商或服务提供商之间的相关安全事宜。因此,供应商也会间接受到影响,因为其中一些 B2B 客户属于此范围,并且需要进行网络安全合作。

企业针对欧盟 NIS2 指令采取哪些措施?

欧盟 NIS2 指令(2022/2555)规定了基本实体和重要实体的最低网络安全要求。关键基础设施的运营商也被视为基本实体,但有额外要求。

  • 第1级:重要实体属于欧盟 NIS2 指令的管辖范围,在德国则属于 NIS2UmsuCG 的管辖范围。
  • 第2级:基本实体受欧盟 NIS2 指令管辖,在德国则受 NIS2UmsuCG 的管辖。
  • 第3级:关键基础设施的运营商是基本实体,受以下指令管辖:
  1. EU-NIS2 ,在德国属于 NIS2UmsuCG
  2. EU-RCE ,在德国属于新 KRITIS

因此,EU-NIS2(2022/2555)第20条(管理)、第21条(措施)和第23条(向 BSI 报告的最后期限)特别值得关注。

在欧盟条例 EU-RCE  (2022/2557) 中,第12条(风险评估)第13条(措施)尤其值得关注。这些条款详细描述了关键基础设施运营商的业务连续性管理( BCM )要求,这些要求源自 EU-NIS2 第21.1条和21.2 c 条。

供应商架构必须进行筛选和评估。独立问卷对客户或其供应商来说都不足以说明问题。更简单的方法是查询常见的 IT 安全相关认证和证明。

EU-NIS2 报告截止日期

发生损害后的报告期限:

根据第23条,数字服务提供商必须向 EU-NIS2 主管机构报告任何对在欧盟提供的数字服务有重大影响的安全事件。在德国,EU-NIS2 主管机构是联邦信息安全办公室( BSI )。

通知期限如下:

  • 24小时内提交初步通知:必须在意识到事件发生后24小时内提交初步通知。
  • 72小时内提交详细报告:随后必须在 72小时内提交全面报告,包括对事件的初步评估。
  • 一个月内提交最终报告:必须在事件报告后一个月内提交最终报告,说明事件、威胁性质和跨境影响。边界影响必须在事件报告后一个月内提交。

个人数据报告截止日期

如果怀疑个人数据被泄露或盗取,也必须在发现情况后72小时内通知负责数据保护的监管机构。各联邦州的数据保护机构通常是第一联系人。72小时内向 EU-NIS2 负责机构(即德国的 BSI )发出详细通知。

必须及时决定是否向其他欧盟国家的数据保护机构发送通知。如果您在其他欧盟成员国设有分支机构,发送通知也不是轻而易举的事情,因为这些机构可能有自己的报告门户,且内容和格式各不相同。

进一步了解 EU-NIS2 报告截止时间,还要保证以下几点:

  • 向欧盟以外国家的其他监管机构(例如美国的 FBI )履行报告义务
  • 根据 EU-GDPR(欧盟通用数据保护条例) 通知客户
  • 存在通知客户联系人的合同义务

这意味着,应该预先明确向负责机构报告的渠道、内容模板和职责分工。如果在危机情况下毫无准备地遇到这种情况,可能会浪费很多时间。

总结

EU-NIS2 旨在加强网络安全,要求相关企业实施适当的安全措施。企业应检查自己是否受相关欧盟成员国法律影响,并采取必要的合规措施。

更多信息

博客
SEEBURGER 携手 AWS:云上共赢的“黄金搭档”
云服务
SEEBURGER 携手 AWS:云上共赢的“黄金搭档”
博客
云安全让黑客望而却步
云服务
云安全让黑客望而却步
博客
iPaaS:多用途、灵活可定制的云集成
All Industries, BIS平台, 云服务
iPaaS:多用途、灵活可定制的云集成