最近,隨著歐洲聯盟(EU)新規定的實施,企業內部文化的轉變已成為關鍵議題,以應對網絡安全漏洞及故障事件。根據監察該措施進展的研究,企業在加強內部網絡安全系統的努力中,面臨較慢的進展,原因在於多個成員國未能及時通過相關法律,未能符合重要的執行截止日期。
歐盟的NIS 2(網絡及信息安全指令2)設立了企業內部網絡安全系統的高標準,強調風險管理、透明度義務及業務持續計劃等更為嚴格的要求。隨著指令於本周正式對會員國生效,這意味著企業必須確保其營運符合規定。然而,大多數歐盟成員國尚未將NIS 2納入本國法律,使得執行情況可能參差不齊。
根據來自網絡研究機構DNS Research Federation的一個追蹤工具,有兩個國家——葡萄牙和保加利亞——尚未開始將NIS 2轉化為國內法規。Fladgate的合夥人及科技律師Tim Wright表示,會員國之間在實施狀況上區別顯著。
NIS 2旨在增強整個歐盟內IT系統及網絡的安全性,更新以往僅稱為NIS的指令,以應對最新的網絡安全挑戰。此指令適用於在歐盟內運作並向消費者提供基本服務的機構,如銀行、能源供應商及醫療機構等。
根據新規,企業有責任報告及分享有關網絡漏洞及攻擊的信息,甚至需要承認遭受過網絡攻擊。如果企業受到網絡襲擊,必須在24小時內向當局提交早期預警通知,這一時間要求比《一般數據保護條例》下的72小時限制要嚴格。
NIS 2的有效性將在很大程度上取決於歐盟各成員國的一致實施及執行。Wright指出,表現滯後的國家可能會成為壞分子的攻擊目標,加上供應鏈中的弱點也會引起注意。
對於”關鍵”實體,如運輸、金融及水務公司,不遵守NIS 2的後果可能導致高達1000萬歐元的罰款或全球年收入的2%,而”重要”企業,如食品及化學業者,則面臨高達700萬歐元的罰款,或1.4%的全球年收入。這些企業還可能面臨服務中止的風險以及更嚴格的監管。
因此,企業在面對這些變化的同時,必須制定及落實有效的網絡安全策略,以應對未來可能出現的挑戰。