加强欧盟网络安全：实施NIS2指令

fabiha01

2024 年 10 月 17 日，欧盟委员会通过了委员会实施条例 C(2024) 7151，在确保整个联盟的网络安全方面迈出了重要一步。该条例概述了 NIS2 指令下网络安全风险管理的技术和方法要求。它还规定了何时应将事件视为对各种关键服务提供商具有重大影响的事件，以增强联盟的数字弹性。

成员国的里程碑：向实施过渡
该实施条例的通过恰逢欧盟成员国将NIS2指令转化为国家法律的最​​后期限。自2024 年 10 月 18 日起，所有成员国都必须采取必要措施，确保遵守 NIS2 网络安全规则。这些措施包括监督和执法行动，以确保遵守该指令的加强标准。这是整个联盟统一努力的开始，旨在提升网络安全实践并加强 NIS2 指令作为欧洲数字弹性基石的作用。

法规范围
本法规适用于提供数字服务的特定类别的企业。它为包括DNS（域名系统）服务提供商、TLD（顶级域名）名称注册机构、云计算服务提供商、数据中心服务提供商、内容交付网络提供商、托管服务提供商、托管安全服务提供商、在线市场提供商、在线搜索引擎提供商、社交网络平台提供商和信任服务提供商在内的实体制定了详细的网络安全要求。此外，附件列出了13 个关键方面，例如网络安全、业务连续性管理 (BCM)、访问控制、风险管理和加密控制等，与 ISO/IEC 27001 的结构紧密相关。

应对实际挑战：比例措施
根据比例原则，该法规承认较小实体在实施某些网络安全要求时面临的挑战。如果此类实体由于规模原因无法满足某些技术和方法标准，则允许其采取补偿措施以达到预期的网络安全结果。然而，组织应该以清晰易懂的方式记录他们的理由，解释为什么不能应用特定的要求。

主要条款及其影响
该法规要求组织实施与其风险暴露、规模和潜在社会影响成比例的网络安全措施。值得注意的是，迪拜商业传真列表 它针对不同类别的数字服务提供商的事件的具体性质和重要性引入了增强的事件报告要求。这确保了采用有针对性且全面的方法来管理网络安全风险。

网络安全风险管理措施的技术和方法要求与ISO/IEC 27001、ISO/IEC 27002和ETSI EN 319 401相一致，包括与网络和信息系统安全相关的技术规范（CEN/TS 18026:2024 ）。此外，该法规鼓励国家主管部门和 ENISA 就国家和行业风险评估以及针对某一类型实体的风险评估提供指导，确保较小的实体能够满足这些严格的要求。

应对供应链和新兴威胁
该法规认识到供应链带来的风险日益增加，坚持在供应商合同中加入网络安全条款。此外，为了确保实施措施的有效性，鼓励组织对特定网络和系统或整个实体进行安全测试。还鼓励采用零信任原则和多因素身份验证等新兴实践，或在信息分类需要时采用持续身份验证机制，以增强组织的弹性。

公布与执行
该法规已在欧盟官方公报上公布，并于公布20天后生效。

2024年12月12日更新

该文章已根据出版物进行了更新。