EU-NIS2:网络安全刻不容缓,企业何去何从?
EU-NIS2 和 EU-RCE 指令将在今年转化为德国法令并具备法律效力。尽管议会流程将延迟到2024年10月后,但企业应该提前做好准备。
EU-NIS2 和 EU-RCE 是什么
EU-NIS2(2022/2555欧盟网络和信息系统安全指令)和 EU-RCE(2022/2557欧洲联盟弹性协调办公室)旨在加强重要和关键基础设施的网络安全和持续性。
本文提及的是欧盟指令。欧盟各成员国分别针对 EU-NIS2 的实施还会有一些其他延展。例如,在德国,是联邦信息安全办公室( BSI )制定的 "NIS2UmsuCG" 。
哪些企业会受到 EU-NIS2 和 EU-RCE 的影响?
众多欧盟企业将直接受到 EU-NIS2 影响,因为该指令适用范围相对较大,且门槛低于之前的监管制度。包括:
- 云计算服务提供商( CSP ):提供按需管理,远程访问,甚至跨多个地点访问弹性共享计算资源池的数字化服务。
- 管理服务提供商( MSP ):为客户提供支持或主动安装、管理、运行、维护 ICT 产品、网络、基础设施、应用程序、网络和信息系统。
检查您的企业是否在此范围内,并在相关实施法案通过国家议会前是否满足要求。根据欧盟 NIS2 指令第21条第2款 d) 项的规定,措施至少应涵盖供应链安全,包括各实体与其直接供应商或服务提供商之间的相关安全事宜。因此,供应商也会间接受到影响,因为其中一些 B2B 客户属于此范围,并且需要进行网络安全合作。
企业针对欧盟 NIS2 指令采取哪些措施?
欧盟 NIS2 指令(2022/2555)规定了基本实体和重要实体的最低网络安全要求。关键基础设施的运营商也被视为基本实体,但有额外要求。
- 第1级:重要实体属于欧盟 NIS2 指令的管辖范围,在德国则属于 NIS2UmsuCG 的管辖范围。
- 第2级:基本实体受欧盟 NIS2 指令管辖,在德国则受 NIS2UmsuCG 的管辖。
- 第3级:关键基础设施的运营商是基本实体,受以下指令管辖:
- EU-NIS2 ,在德国属于 NIS2UmsuCG
- EU-RCE ,在德国属于新 KRITIS
因此,EU-NIS2(2022/2555)第20条(管理)、第21条(措施)和第23条(向 BSI 报告的最后期限)特别值得关注。
在欧盟条例 EU-RCE (2022/2557) 中,第12条(风险评估)和第13条(措施)尤其值得关注。这些条款详细描述了关键基础设施运营商的业务连续性管理( BCM )要求,这些要求源自 EU-NIS2 第21.1条和21.2 c 条。
供应商架构必须进行筛选和评估。独立问卷对客户或其供应商来说都不足以说明问题。更简单的方法是查询常见的 IT 安全相关认证和证明。
EU-NIS2 报告截止日期
发生损害后的报告期限:
根据第23条,数字服务提供商必须向 EU-NIS2 主管机构报告任何对在欧盟提供的数字服务有重大影响的安全事件。在德国,EU-NIS2 主管机构是联邦信息安全办公室( BSI )。
通知期限如下:
- 24小时内提交初步通知:必须在意识到事件发生后24小时内提交初步通知。
- 72小时内提交详细报告:随后必须在 72小时内提交全面报告,包括对事件的初步评估。
- 一个月内提交最终报告:必须在事件报告后一个月内提交最终报告,说明事件、威胁性质和跨境影响。边界影响必须在事件报告后一个月内提交。
个人数据报告截止日期
如果怀疑个人数据被泄露或盗取,也必须在发现情况后72小时内通知负责数据保护的监管机构。各联邦州的数据保护机构通常是第一联系人。72小时内向 EU-NIS2 负责机构(即德国的 BSI )发出详细通知。
必须及时决定是否向其他欧盟国家的数据保护机构发送通知。如果您在其他欧盟成员国设有分支机构,发送通知也不是轻而易举的事情,因为这些机构可能有自己的报告门户,且内容和格式各不相同。
进一步了解 EU-NIS2 报告截止时间,还要保证以下几点:
- 向欧盟以外国家的其他监管机构(例如美国的 FBI )履行报告义务
- 根据 EU-GDPR(欧盟通用数据保护条例) 通知客户
- 存在通知客户联系人的合同义务
这意味着,应该预先明确向负责机构报告的渠道、内容模板和职责分工。如果在危机情况下毫无准备地遇到这种情况,可能会浪费很多时间。
总结
EU-NIS2 旨在加强网络安全,要求相关企业实施适当的安全措施。企业应检查自己是否受相关欧盟成员国法律影响,并采取必要的合规措施。
更多信息
- 在 EU-NIS2 (2022/2555)中,从第47页起阅读第 20条(治理)、第21条(措施)和第23条(向 BSI 报告的最后期限)中的1至第3级:https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555&qid=1708086228674
- 在 EU-RCE (2022/2557)中,从第19页起阅读第12条(风险评估)和第13条(措施):https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2557
- 阅读概述:https://www.openkritis.de/it-sicherheitsgesetz/sektor_informationstechnik-telekomm
