最近,企業積極調整內部文化,以確保對網絡安全事故及故障事件的威脅予以重視。根據有關指令進度的研究顯示,歐盟的新規定要求企業加強其網絡防禦,然而多個成員國尚未及時通過相關法規,導致執行進度緩慢。
歐洲聯盟的網絡與信息安全指令(NIS 2)對企業的內部網絡安全系統和實踐設立了高標準,強調風險管理、透明義務及業務持續規劃的要求。
隨著NIS 2指令於本周四正式生效,企業必須確保其運營符合新規定。然而,多數成員國尚未在各自國家法律中實施NIS 2,這意味著執法效果可能不均。
根據互聯網研究機構DNS Research Federation的追蹤工具,葡萄牙和保加利亞兩國尚未開始將NIS 2轉化為國內法規。兩國政府在本周三聯繫時未能立即回應。
Fladgate的技術律師Tim Wright提供的電郵評論指出,整個歐盟內部的實施狀況差異明顯。NIS 2意在加強意識形態和技術系統的安全性,以面對日益複雜的網絡威脅及挑戰。
這項指令適用於在歐洲聯盟內提供基本服務的組織,包括銀行、能源供應商、醫療機構、互聯網提供商、運輸公司及廢物處理公司。根據新的法規,企業必須有 “照顧責任”,及時報告和分享有關網絡漏洞及攻擊的資訊,即使這意味著承認自己成為網絡攻擊的受害者。
若企業受到網絡侵入,需在24小時內向當局提交提前警告通知,這一要求比根據通用數據保護條例(GDPR)提交數據洩漏通知的72小時期限更為嚴格。此外,企業也必須對其科技供應商進行逐一審查,以識別網絡威脅及漏洞。
Wright提到,NIS 2的有效性將在於歐盟成員國的實施和執行的一致性。壞分子可能會利用某些國家的NIS 2轉化落後,尋找供應鏈中的弱點,攻擊較小、資安薄弱的供應商,以進一步入侵更具防護措施的組織。
Cisco的公眾政策負責人Chris Gow強調,NIS 2的落實狀況不一,也因當地法律的適應性而變得更加複雜,特別是對於資源有限的小型組織來說更具挑戰。他建議企業應該聚焦於尋找一套共同的安全控制及流程,以確保能夠滿足並證明合規。
對於如交通、金融及水務等 “基本” 業體而言,若不遵守NIS 2規定,可能面臨高達1000萬歐元(約1090萬美元)或全球年收入的2%之罰款,以較高者為準。至於 “重要” 商業機構,如食品、化學及廢物處理公司,則可能面臨最高700萬歐元或其全球年收入的1.4%的罰款。
不合規的企業可能會面臨服務暫停及更緊密的監管。Proofpoint的EMEA網絡安全策略師Carl Leonard指出,NIS 2明確表達大型罰款、服務暫停及合規監測都是為了推動負責關鍵服務的組織重視網絡安全的威脅及其回應。他補充,風險管理及減輕措施的基準已經設定,包括事故處理、員工培訓和高層負責任等多個方面。