近年來,企業一直在努力提升內部文化,以確保能夠認真應對網絡安全漏洞和故障事件的威脅。根據最新研究,歐盟規定的網絡安全指令NIS 2的推行目前進展緩慢,部分成員國未能如期落實相關規則。這影響了許多企業的防禦能力。
NIS 2網絡安全指令對公司內部的網絡安全系統和實踐設立了高標準,包含風險管理、透明度義務及商業持續計劃等方面的嚴格要求,以應對網絡安全事件。儘管這項指令從周四起正式成為成員國的可執行規則,但多數歐盟成員國尚未將NIS 2融入其國內法中,導致執行能力存在變數。
根據互聯網研究組織DNS研究聯盟的跟蹤工具,葡萄牙和保加利亞尚未開始將NIS 2轉化為國內法律。Fladgate的技術律師Tim Wright表示,整個歐盟的執行狀況差異很大。
NIS 2是針對整個歐盟的IT系統和網絡安全的法規更新,旨在應對近期的網絡安全挑戰。同時,它擴大了適用範圍,包括銀行、能源供應商、醫療機構、互聯網服務提供商、交通公司及廢物處理企業等提供基本服務的組織。
根據新規,企業有責任報告和分享網絡漏洞和攻擊信息,即使這意味著要承認自己是網絡安全事件的受害者。若企業成為網絡攻擊的受害者,必須在24小時內向有關當局提交初步警告通知,這比根據通用數據保護法的72小時通知時限更為嚴格。
Fladgate的Wright認為,NIS 2的有效性主要取決於歐盟各成員國的執行和執法是否一致。他警告,壞人可能會針對那些在NIS 2轉化方面滯後的國家或尋找供應鏈的弱環節。
此外,對於未能遵從NIS 2的「基本」實體,如交通、金融和水務公司,可能面臨高達1000萬歐元(約1090萬美元)的罰款,或全球年收入的2%—以高者為準。而對於「重要」的企業,如食品、化學及廢物管理服務,則可能面臨高達700萬歐元或全球年收入的1.4%的罰款。企業還可能面臨服務暫停及加強監督。
在此背景下,企業應該提前制定有效的風險管理和應對措施,確保在日益增加的網絡安全威脅中保持合規與安全。
No tags for this post.
