La tua ricerca

    15.10.2024

    应对欧盟新网络和信息系统安全指令2:企业需知


    为应对日益增长的针对各行业企业的网络攻击,欧盟出台了《网络和信息系统安全指令2》(NIS2),旨在加强欧盟范围内的网络安全韧性。作为欧盟更广泛的数字战略的一部分,NIS2为关键行业的企业设定了新的义务,要求其加强网络和信息系统安全,以更好地抵御网络威胁和漏洞。该指令对于在欧洲开展业务的中国企业尤为重要,因为NIS2合规不仅有助于避免处罚,而且能确保企业在日益动荡的数字环境中保持业务安全。以下是您需要了解的内容。

    NIS2是什么?

    NIS2旨在加强诸如能源、医疗保健和数字基础设施等关键行业企业的网络安全。该指令要求企业对其网络和信息系统的安全性负有管理责任,及时报告重大安全事件,并解决整个运营过程中的漏洞。同时该指令还强调供应链的安全性和问责制,确保企业采取积极措施管理各个层面的网络风险。对于在欧洲运营的中国企业而言,遵守NIS2对于维护网络安全和达到欧盟标准至关重要。

    谁需要遵守?

    从2024年10月起,NIS2将适用于欧盟范围内的众多企业。被归类为中型及以上(年收入超过1,000万欧元且员工人数超过50人)且属于基本(必要)或重要实体的企业必须遵守NIS2:

    • 基本(必要)实体:这些企业属于能源、医疗保健、交通、供水、银行和数字基础设施等极其关键的行业。由于这些行业在社会中扮演着重要角色,因此这些企业必须遵守更严格的安全要求并受到更严格的监管。
    • 重要实体:这些企业包括食品生产、废物管理、邮政服务和关键产品制造等行业。虽然这些企业同样重要,但与关键实体相比,合规要求略低。

    此外,无论规模大小,企业符合以下条件也必须遵守规定:

    • 提供公共电子通信网络、信托服务、域名注册或域名服务。
    • 被欧盟成员国认定为关键公共管理机构。
    • 被认定为欧盟标准下的关键实体。

    值得注意的是,在欧盟境内提供服务的非欧盟公司如果符合规定标准,也需要遵守NIS2。

    企业的新责任

    NIS2为企业引入了一些新责任,扩展了先前的《网络和信息系统安全指令》(NIS):

    1. 风险管理:企业必须实施全面的风险管理措施,包括评估其网络和信息系统中的漏洞。这意味着企业必须定期识别潜在的网络威胁,并采取有效的安全措施应对风险。
    2. 事故报告:企业必须在更严格的时间范围内报告重大网络安全事故——发现事故后24小时内报告预警,72小时内报告详细情况,并在事故报告后一个月内提交最终报告。快速报告旨在加快响应和协调速度,以减轻损失。
    3. 供应链安全:NIS2对整个供应链的安全提出了新的要求。企业必须确保其第三方供应商和合作伙伴遵守相同的网络安全标准,积极管理其运营中的风险。
    4. 治理和问责:NIS2要求企业在管理层指定负责监督网络安全工作的负责人。高级管理层必须确保遵守指令,建立更高水平的问责制。
    5. 标准和认证体系的适用:NIS2鼓励企业采用欧洲和国际标准,并使用欧洲网络安全认证体系来加强其网络安全措施。

    不合规的处罚

    欧盟成员国将指定监管机构来监控合规情况。处罚可能包括:

    •  罚款:基本(必要)实体最高罚款可达全球营业额的2%或1000万欧元,重要实体最高罚款可达全球营业额的1.4%或700万欧元:无论金额多少,这一巨额罚款都强调了稳健网络安全实践的重要性。
    • 公开谴责:不合规的公司可能面临公开曝光,声誉损失,并可能失去客户和合作伙伴的信任。
    • 暂停业务活动:在严重情况下,企业可能被要求停止某些业务,特别是关系到危害网络和信息安全的行为。

    这些处罚展现了欧盟在网络安全问题上的坚决态度,要求企业必须将保护系统安全、抵御网络威胁作为优先事项。

    中国海外企业如何准备NIS2合规:

    在欧洲运营的中国企业应尽早准备,以确保在NIS2生效时能够满足相关要求。以下是一些基本的准备步骤:

    1. 评估合规性:根据企业的规模和行业特点,判断您的企业是否需要遵守NIS2的规定。这包括评估员工人数和全球营业额。
    2. 更新网络安全政策:使您现有的网络安全政策符合NIS2的要求。进行差距分析,找出当前做法可能不符合指令标准的领域。
    3. 修订业务战略:确保您的业务战略涵盖网络安全措施和风险管理,这可能需要制定新的事故报告机制和供应链安全协议。
    4. 与利益相关者合作:与供应商、合作伙伴和其他利益相关者沟通,确保他们了解新的要求,并准备共同遵守规定。
    5. 实施培训计划:向员工和合作伙伴普及NIS2的要求和网络安全最佳实践,确保所有相关人员都清楚自己在合规性方面的责任。
    6. 监控和报告:建立有效的监控系统,跟踪合规性进展,并定期发布报告。透明度有助于建立信任,并展示企业对网络安全的承诺。

    结论

    NIS2为在欧洲运营的中国企业带来了挑战和机遇。虽然合规要求企业付出巨大努力来加强网络安全性,但同时也为企业提供了在竞争激烈的市场中增强声誉和提高运营灵活性的机会,最终有助于在全球范围内营造安全、可信的数字环境。通过现在采取积极措施,中国企业不仅可以避免处罚,还可以将自己定位为网络安全领域的领导者,从而支持企业的长期发展和成功。