天创培训:您身边的信息安全培训专家!
行业动态
关于欧盟“网络信息安全指令”的十项核心要点

  关于欧盟“网络信息安全指令”的十项核心要点

  您是否了解欧盟即将于2018年要求各成员国执行的“网络与信息安全”(简称NIS)指令?

  如果答案是否定的,您也无需紧张。事实上,近年来一般数据管理条例(简称GDPR)提出的纷繁复杂的法规要求确实令很多人,甚至让安全从业者感到一头雾水。不过,了解其中的具体要求确实能够帮助大家更为深刻地理解由此带来的深远影响。

  今天为您提供十项值得了解的网络与信息安全指令核心要点,以及其与一般数据管理条例之间的区别所在。

  十大网络信息安全指令核心要点

  1、代表一种方向,而非具体规定

  为了将其与一般数据管理条例区别开来,很多从业者强调称,网络与信息安全指令代表一种方向,而非具体规定。与法规不同,此项指令要求各成员国政府本着指令精神执行自有法律要求。例如,英国当初发布的1998号数据保护法案正是欧洲1995号数据保护指令的直接结果。

  2、 英国脱欧不会对此造成影响

  英国退出欧盟引发了一系列争议,而且确实对英国未来的立法活动产生了巨大影响。不过与一般数据管理条例一样,网络与信息安全指令同样将从2018年开始对各成员国产生约束作用,这一时间点早于英国正式退出欧盟的时间,因此尽管存在灰色地带,但英国政府已表示,其将在预期时间内将网络与信息安全指令要求纳入国内法律。

  3. 其目的是什么?

  网络与信息安全指令旨在立足国家层面提升网络安全能力,同时促使欧盟各成员国之间建立更强大的相关沟通渠道。这意味着各个成员国需要在国家战略当中通过基础服务建立网络与信息系统的高水平安全保障体系。

  4. 关注范围

  网络与信息安全指令的关注范围小于一般数据管理条例,其主要面向关键性垂直行业(亦称CNI,即关键国家基础设施)。其中具体包括能源、运输、银行、金融市场基础设施、医疗卫生、水资源以及数字化基础设施等领域。

  网络与信息安全指令将目标组织机构分为两大类:

  基础服务运营商(简称OoES)– 基础服务运营商将在2018年第四季度之前由各成员国正式确定。具体评判方式包括考量其服务是否直接决定社会/经济活动的延续性与维持能力,相关服务的具体配置方式由网络及信息系统决定,而与之相关的安全事件则会对基础服务的交付造成严重的破坏性影响。

  数字服务供应商(简称DSP)– 数字服务供应商被定义为以远程方式提供数字服务,且会在基础服务运营商遭受破坏时引发业务广泛中断的个人或者组织机构。具体来讲,网络与信息安全指令在定义中提到了在线市场、云计算服务以及在线搜索引擎等确切方向。

  5.安全义务与违规通知

  与数据管理条件类似,网络与信息安全指令亦要求各基础服务运营商及数字服务供应商采取“最先进的”技术方案,从而管理其网络与系统安全风险,并向各国家主管部门(简称NCA)以及计算机安全事件应急小组(简称CSIRT)通报已经发生的重大安全事故。

  6.设立国家主管部门

  指令要求欧盟各成员国设立一个或者多个国家主管部门(简称NCA),由其负责监控国家层级下的国家信息系统应用。在存在多个相关国家主管部门的情况下,各部门将被分配以一项或者多项具体职责,从而实现明确的管辖划分。无论具体情况如何,各成员国都需要提名一位单点联系人(简称SPoE),其代表国内各主管部门同其它成员国及计算机安全事件应急小组进行联络。

  7. 计算机安全事件应急小组

  计算机安全事件应急小组将负责监控安全事故、提供早期威胁警告并对各类事故作出响应。与国家主管部门一样,各成员国亦可设立多支应急小组。另外,网络与信息安全指令要求建立应急小组网络,且各成员国应急小组必须加入该网络。这套网络的职责包括交换安全事故信息,并为各成员国提供跨境安全事故支持。

  8. 相对强制性

  与一般数据管理条例不同,对于违规方的惩罚举措可由各成员国灵活掌握。网络与信息安全指令允许各国家主管部门强制要求各数字服务供应商与基础服务运营商提供必要信息,旨在对其网络与信息安全指令执行情况作出评估并及时纠正其错误行为。但在处罚方面,成员国可根据自身考量作出决定,包括加以劝阻或者采取更为严厉的制裁措施。

  9. 区域约束力

  各数字服务供应商与基础服务运营商根据业务所在地进行网络与信息安全指令管辖区域划分。如果其并不属于欧盟或者欧洲经济区成员国,但在此区域内提供服务,则仍需要遵守指令要求并在欧盟或欧洲经济区内任命一位代表。

  10. 未来展望

  网络与信息安全指令为各成员国制定了明确的进程时间表。根据本报告编写时的相关资料,该项指令预计将在2018年第二季度被正式纳入各成员国法律要求。一旦成为国家法律,各成员国将必须在接下来的六个月当中完成对国内基础服务运营商的具体判定。

  网络与信息安全指令VS一般数据管理条例

  考虑到时间设置以及对于网络与信息安全系统的关注取向,我们会自然而然地将网络与信息安全指令同一般数据管理条例进行比较。然而,网络与信息安全指令在具体约束范围方面同后者存在显著区别。

  例如,网络与信息安全指令拥有更为广泛的系统级防御与风险应对要求,而非关注个人信息及相关收集与处理工作。

  当然,网络与信息安全指令同样针对具体组织,特别是各类被认定为负责执行或者提供关键性服务的组织机构。无论属于哪种情况,此类组织机构都需要同时遵循二者的相关要求,并在未来24个月这一相当紧张的时间周期之内由合规性官员确保将一切举措部署到位。

  虽然欧洲各国政治势力的介入会给实施工作带来诸多阻碍,同时也会显著提升实施成本,但网络与信息安全指令的必要性仍然不容质疑。毕竟经历了英国航空公司的电脑系统因数天无法运作而导致服务被迫中断,以及英国国家医疗系统(简称NHS)由于WannaCry勒索软件的爆发而影响病患的正常诊疗等一系列严重事件。

  当今世界中,强大的军队、严苛的移民政策以及坚固的隔离墙都已不足以全面保护国家安全。决定一切的,实际是我们日常生活与工作所高度依赖的基础服务,与之相关的网络弹性自然有必要成为保护工作的重中之重。