首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

欧盟网络安全局发布NIS 2安全措施技术实施指南征求意见稿

文摘   2024-11-08 16:45   北京  
2024年11月7日,欧盟网络安全局(ENISA)发布了《NIS 2 安全措施实施指南(征求意见稿)》,以帮助欧盟成员国和相关实体实施《网络信息安全指令2》(NIS2)网络安全风险管理措施的技术和方法要求。该指南是在对欧盟委员会于10月17日通过的第2024/2690号实施条例所做的技术指南ENISA开发此技术指导的目的在于:提供实施要求时需要考虑的额外建议和提示,以及对法律文本中使用的概念和术语的进一步解释;给出证据示例,用于评估是否满足某项要求;列出表格,将实施条例中的安全要求与欧洲和国际标准以及国家框架进行映射。
NIS2是新的欧盟范围内网络安全立法,欧盟成员国需在2024年10月17日前将其转化为本国法律。NIS2旨在实现欧洲高水平的网络安全,并重点关注提高欧盟关键部门的韧性。ENISA制作了NIS2解说视频和多个信息图,涵盖了有关NIS2的全部内容、主要概念和新机制。
2024年10月17日,欧洲委员会通过了NIS2指令下的实施规则,为域名系统(DNS)服务提供商、顶级域名(TLD)注册机构、云计算服务提供商、数据中心服务提供商、内容分发网络(CDN)提供商、托管服务提供商(MSP)、托管安全服务提供商(MSSP)、在线市场提供商、在线搜索引擎提供商、社交网络服务平台提供商以及可信服务提供商等数字基础设施和数字服务领域的特定实体,详细规定了NIS2指令的网络安全风险管理措施的技术和方法要求。
ENISA制定此技术指南,旨在通过落实新法规的技术和方法要求来支持相关实体。该实施指南由ENISA和网络信息安全合作小组(NIS CG)的网络安全风险与漏洞管理工作流联合开发,同时与网络信息安全合作小组的数字服务提供商和数字基础设施工作流,以及与ENISA的欧洲信任服务主管机构专家组(ECATS)和欧洲安全电子通信主管机构(ECASEC)合作完成。它是2024年6月至10月中旬咨询的结果。此次指南的征求意见截止到2024年12月9日。
ENISA的指南文件为相关实体提供了关于网络安全风险管理措施的技术和方法要求的非约束性指南。除受法规约束的相关实体外,该指南还可能为其他公共或私人主体在改善其网络安全时提供有关NIS2指令网络安全风险管理措施的技术和方法要求的指示,这对他们而言可能有所助益。
每项技术和方法要求均包含三个要素:指南、证据示例和提示。该指南具有建议性质,包含在实施技术和方法要求或进一步解释法律文本中的概念时应考虑的参数的指示性和可操作性建议。证据示例是表明技术和方法要求已到位的指示性证据类型。在某些技术和方法要求中,还为实体提供了额外的一般提示以供其进一步考虑。
该文件还包括一个映射表,将每项要求与欧洲和国际标准或框架(ISO/IEC 27001:2022、ISO/IEC 27002:20224、NIST Cybersecurity Framework 2.0、ETSI EN 319 401 V2.2.1 (2018-04)、CEN/TS 18026:2024)以及国家框架相关联。
该映射不应被解释为不同标准或框架之间的等效性衡量标准。它指的是这些标准或框架中的相关要求,而不评估这些要求是否完全覆盖了法规的要求。网络安全标准或框架通常解决相同的网络安全问题,但使用的语言、结构或具体程度或细节水平不同。了解这些关系可能有助于相关实体使用和整合多个标准或框架,以保持合规性、减少重复并简化审计。受法规约束的实体可以使用国家框架、指南或其他与法规要求等效的机制来向国家主管机构证明其合规性。
根据国家框架,由相关认可的合格评定机构或由国家主管机构授权的独立审计机构按照国家框架、指南或其他与网络安全风险管理措施的技术和方法要求等效的机制进行评估,可作为符合实施法规要求的证明。为保持当前指南的最新性,成员国可向ENISA通报现有的等效国家框架、指南或其他机制。
ENISA指南还指出,相关实体应建立和维护适当的风险管理框架,以识别并应对网络和信息系统所面临的风险。相关实体应进行并记录风险评估,并根据评估结果建立、实施和监测风险处理计划。风险评估结果和剩余风险应由管理机构或(如适用)由负责并有权管理风险的人员接受,前提是相关实体确保向管理机构提供充分报告。
该文件还详细说明了相关实体应建立并实施事件处理政策,其中规定检测、分析、遏制或响应、恢复、记录和及时报告事件的角色、职责和程序。相关实体应制定程序并使用工具来监控和记录其网络和信息系统上的活动,以检测可能被视为事件的情况并相应地作出响应以减轻影响;并建立一种简单机制,允许其员工、供应商和客户报告可疑事件。
该文件补充说,相关实体应制定并维护业务连续性和灾难恢复计划,以便在发生事件时应用;保存数据的备份副本,并提供足够的可用资源,包括设施、网络和信息系统以及人员,以确保适当的冗余水平,并制定危机管理流程。
在供应链安全方面,ENISA文件指出,相关实体应建立、实施和应用供应链安全政策,以管理与其直接供应商和服务提供商的关系,从而减轻对网络和信息系统安全已识别的风险。在供应链安全政策中,相关实体应明确其在供应链中的角色,并将其传达给其直接供应商和服务提供商。
在人力资源安全方面,ENISA技术指南指出,相关实体应确保其员工以及(如适用)直接供应商和服务提供商了解、展示并承诺履行其安全职责,这需与其提供的服务和职位相称,并符合相关实体关于网络和信息系统安全的政策。
关于访问控制,ENISA呼吁相关实体根据其业务需求以及网络和信息系统的安全要求,为访问其网络和信息系统建立、记录和实施逻辑和物理访问控制政策。相关实体应定期审查并(如适当)更新这些政策,特别是在发生重大事件或业务运营或风险发生重大变化时。
此外,相关实体应基于访问限制和访问控制政策实施安全的身份验证程序和技术。
在资产管理方面,ENISA在其技术指南中指出,相关实体应为其网络和信息系统范围内的所有资产(包括信息)规定保护所需的分类级别。相关实体应定期对资产分类级别进行审查并根据需要进行更新;并制定、实施和应用一项政策,以在其网络和信息安全政策下妥善处理资产(包括信息),并将妥善处理资产的政策传达给任何使用或处理资产的人员。
ENISA呼吁相关实体开发并保持其资产的完整、准确、最新和一致的清单。他们应以可追溯的方式记录清单条目中的变更,定期审查和更新清单及其资产,并记录变更历史。

本指导文件涵盖以下主题:

  1. 网络和信息系统安全政策

  • 网络和信息系统安全政策

  • 角色、职责和权限

  • 风险管理政策

    • 风险管理框架

    • 合规性监控

    • 网络和信息安全独立审查

  • 事件处理

    • 事件处理政策

    • 监控和日志记录

    • 事件报告

    • 事件评估和分类

    • 事件响应

    • 事后审查

  • 业务连续性和危机管理

    • 业务连续性和灾难恢复计划

    • 备份管理

    • 危机管理

  • 供应链安全

    • 供应链安全政策

    • 供应商和服务提供商目录

  • 网络和信息系统安全

    • 采购、开发和维护

    • 配置管理

    • 变更管理、维修和维护

    • 安全测试

    • 安全补丁管理

    • 网络安全

    • 网络分段

    • 防范恶意和未经授权的软件

    • 漏洞处理和披露

  • 评估网络安全风险管理措施有效性的政策和程序

  • 基本网络卫生实践和安全培训

    • 提高认识和基本网络卫生实践

    • 安全培训

  • 加密技术

  • 人力资源安全

    • 人力资源安全

    • 背景核查

    • 雇佣关系变更或终止程序

    • 纪律处分流程

  • 访问控制

    • 访问控制政策

    • 访问权限管理

    • 特权账户和系统管理账户

  • 资产管理

    • 资产分类

    • 资产处理

    • 可移动媒体政策

    • 资产清单

    • 离职时资产归还、退还或删除

  • 环境和物理安全

    • 辅助设施

    • 防范物理和环境威胁

    • 周边和物理访问控制

    附录

    • 附录I:国家框架

    • 附录II:术语表

     http://mp.weixin.qq.com/s?__biz=MzUwOTkwNzEwNg==&mid=2247513733&idx=1&sn=30978a3973605de6bea6260d906c7694
    清华大学智能法治研究院
    发布清华大学法学院、清华大学智能法治研究院在“计算法学”(Computational Law)前沿领域的活动信息与研究成果。
     最新文章
    第七届计算法学国际会议通知
    李强主持召开国务院常务会议 研究推动平台经济健康发展有关工作等
    意大利骑手算法案的最新处罚决定
    《纽约时报》律师团队指责OpenAI意外删除了版权侵权行为的取证数据
    四部门开展“清朗·网络平台算法典型问题治理”专项行动
    美国FCC因数据安全漏洞拟对视频门铃制造商处以70多万美元罚款
    关于发布《网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》的通知
    常州3人非法抓取小红书数据获刑
    国家数据局印发《可信数据空间发展行动计划(2024—2028年)》(附图解、媒体解读)
    美国政府问责署建议成立新机构来规范政府保护公民数据的方式
    ICO关于共享个人信息以支持防范欺诈和诈骗的工作建议
    工业和信息化领域数据安全合规指引(全文)发布
    美国发布关键基础设施人工智能安全建议
    NIST发布后量子密码学转型战略草案:网络安全的未来之路
    卡巴斯基2025年犯罪软件和金融网络威胁的趋势预测
    《国家数据基础设施建设指引(征求意见稿)》发布
    《重庆市公共数据资源登记管理实施办法(试行)》《重庆市公共数据资源授权运营管理实施办法(试行)》|公开征求意见
    公安机关依法处罚快手公司
    《中国互联网发展报告2024》和《世界互联网发展报告2024》发布
    斯坦福李飞飞: 《AI Agent:多模态交互前沿调查》 论文全文翻译
    《杭州市功能型无人车管理运行指南(1.0版)》公开征求意见
    ICO关于养老营销业务的的数据保护声明
    全球数据跨境流动合作倡议(全文)
    英国ICO负责人:对大型科技公司征收巨额罚款并不是最有效的监管方式
    美国司法部可能迫使谷歌出售Chrome
    澳大利亚发布人脸识别技术隐私风险评估指南
    香港私隐专员公署检视十个网上旅游平台收集个人资料的情况
    美国17州总检察长致函国会支持《儿童网络安全法案》
    数字化转型:海湾合作委员会法律的未来
    隐私设计的数字权力风险与多元优化路径
    因泄露超23.5万患者数据,美国一地方医疗机构赔偿150万美元
    主播离职后,公司还能继续使用其出镜拍摄的视频吗?
    美国零售商泄露5700万用户数据
    上海市通信管理局关于侵害用户权益行为APP的通报(2024年第二批)
    吉林省农业农村厅就《吉林省农村集体经济数字监管平台管理办法》征求公众意见
    河南省市场监管局等八部门联合印发《河南省数据知识产权登记办法(试行)》
    最高人民法院、最高人民检察院联合发布《关于办理拒不执行判决、裁定刑事案件适用法律若干问题的解释》
    中国将发布《全球数据跨境流动合作倡议》
    澳大利亚议会发布关于拟议隐私改革的报告
    欧洲数字治理政策的未来趋势
    ChatGPT允许访问底层沙箱操作系统
    美国律所因泄露用户个人信息赔偿超5700万元,人均最高7.2万元
    网络攻击扰乱美国超市药房运营,超2000家门店受影响
    黑客声称近5亿Instagram用户的数据被抓取
    零日漏洞已经成为黑客最常利用的漏洞类型
    英国:使用隐私增强技术 (PET) 负责任地释放数据价值
    上海市数据产品知识产权登记存证暂行办法
    欧盟发布《通用人工智能实践准则草案(第一稿)》
    网信办《移动互联网未成年人模式建设指南》全文及官方解读
    江苏法院判决一起AI图片版权案,附判决书全文
     分类
    时事
    民生
    政务
    教育
    文化
    科技
    财富
    体娱
    健康
    情感
    旅行
    百科
    职场
    楼市
    企业
    乐活
    学术
    汽车
    时尚
    创业
    美食
    幽默
    美体
    文摘
     原创标签
    时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
     发布位置
    广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉