由 jpichiban Thu, 17 Oct 2024 05:20:12 GMT
企业一直在努力调整内部文化,以确保认真对待网络漏洞和断电事件的威胁。Andrew Brookes | 图片来源 | 美国全国广播公司财经频道(CNBC)
根据监测该指令进展的研究显示,许多成员国未能及时采纳规则以满足关键的执行截止日期,导致新欧洲联盟要求企业加强网络防御的法规起步缓慢。欧盟的NIS 2网络安全指令为企业的内部网络安全系统和实践设定了高标准,在发生网络漏洞时,要求更严格的风险管理、透明义务和业务连续性规划。
周四,新指令正式成为成员国可执行的法律,这意味着企业必须确保其运营符合规则。然而,大多数欧盟成员国尚未在其各自的国家法律中实施NIS 2,这意味着执行可能不均衡。根据互联网研究组织DNS研究联合会的追踪工具,葡萄牙和保加利亚两国尚未开始将NIS 2纳入其国家法律的转换过程。周三联系时,葡萄牙和保加利亚政府未立即回应CNBC的评论请求。
Fladgate的合伙人兼技术律师Tim Wright通过电子邮件告诉CNBC:“实施状态在欧盟各成员国之间差异显著。”NIS 2,即网络和信息安全指令2,旨在提高欧盟范围内IT系统和网络的安全性。该法律于2020年首次提出,是对早期简单称为NIS的指令的更新。NIS 2扩展了其前身的范围,以应对更近期的网络安全挑战和威胁,因为犯罪分子找到了新的方式来入侵公司并损害其敏感数据。
该指令适用于在欧盟内运营并为消费者提供基本服务的组织,包括银行、能源供应商、医疗机构、互联网提供商、运输公司和废物处理公司。根据新法规,企业将有“照顾义务”向其他公司报告和分享网络漏洞和黑客信息,即使这意味着承认自己是网络漏洞的受害者。如果企业成为网络漏洞的受害者,他们将有24小时向当局提交早期预警通知,这一时间比《通用数据保护条例》规定的72小时通知时间更为严格。企业还必须逐一审查其技术供应商的网络安全威胁和漏洞。
Fladgate的Wright表示,NIS 2作为法规的有效性将在很大程度上取决于欧盟成员国之间的一致实施和执行。他告诉CNBC,不良行为者可能会针对在NIS2转换方面落后的国家,或在供应链中寻找弱点,瞄准较小、安全性较低的供应商和供应商,以获取更大、保护更好的组织。
在周四截止日期之前,企业多年来一直在努力调整其内部流程、控制措施和更广泛的网络安全文化。企业技术公司思科的欧盟公共政策负责人Chris Gow表示,NIS 2实施的不均衡性也因当地法律的适应而加剧。这反过来又“造成了难以导航的差异,尤其是对于资源有限的小型组织”。 今年,以下情况有所增加:DXC TechnologySquawk Box Europe他建议,与其被NIS 2本地化版本中的差异“压垮”,组织应“识别出一套共同的核心安全控制和流程,这些控制和流程将有助于它们在大规模上满足并展示合规性。”如果公司未能遵守规定会怎样?对于运输、金融和水务公司等“关键”实体,未能遵守NIS 2可能导致高达1000万欧元(约合1090万美元)的罚款,或全球年收入的2%——以两者中较高者为准。同时,“重要”企业——如食品公司、化工企业和废物管理服务——因违规可能面临高达700万欧元的罚款,或全球年收入的1.4%。未能遵守NIS 2的公司还可能面临服务暂停和更严格的监管。Proofpoint的EMEA网络安全战略家Carl Leonard告诉CNBC:“NIS 2明确指出——高额罚款、可能的服务暂停及合规监控正被用作杠杆,以促使负责关键服务的组织关注网络安全威胁及其应对措施。”Leonard补充道:“在风险管理和缓解措施方面,包括事件处理、员工培训、领导责任等,已设定了一个基准。”每周五,您将收到一份全球科技新闻的精选摘要,订阅请点击此处。
原文链接:https://www.cnbc.com/2024/10/17/nis2-most-eu-countries-miss-deadline-to-meet-new-cybersecurity-rules.html