//
随着数字化程度的提高和不断变化的网络安全威胁形势,为了进一步提高公共和私营部门以及整个欧盟的网络安全及事件响应能力,欧盟制定了新的网络信息安全规则NIS2,即《关于在欧盟全境实现高度统一网络安全措施的指令》(Network and Information Security Directive 2)这一新规则将在一周内生效,但迄今为止,27个成员国中只有克罗地亚和比利时向欧盟委员会通报了其国家实施法规。
2016年7月6日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,即NIS1,旨在加强基础服务运营商、数字服务提供者的网络与信息系统安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。但由于社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加,原来的NIS指令在当今网络安全形势下需要进行更新,需要更新的指令取而代之。NIS2指令应运而生,并将取代现行的NIS指令。
欧盟委员会发言人表示,2016年的NIS1至今未能提高在欧盟运营的企业的网络弹性,也没有促进联合危机应对。思科公司今年3月发布的一项研究显示,69%的欧洲企业预计未来两年内将遭受网络攻击,其中49%的企业在过去12个月内经历过网络攻击。此外,只有3%的企业的网络安全保护措施被评为“成熟”,能够抵御不断变化的威胁形势。
在冯德莱恩任职期间,提出了一系列网络安全提案,包括更新《网络和信息安全指令》(NIS2)和《网络弹性法案》(CRA)。欧盟委员会数字部门总干事罗伯托·维奥拉(Roberto Viola)在今年3月表示,在下一届委员会任期内,网络安全投资需要增加一倍,以确保欧盟能够抵御反击。去年12月,欧盟委员会为2024年的网络安全拨款2.14亿欧元,以提高欧盟对网络威胁的集体抵御能力。
《网络弹性法案》由欧盟委员会于2022年提出,旨在确保具有数字功能的物品(包括联网门铃和婴儿监视器等日常物联网产品以及工业机械)使用安全、能够抵御网络威胁并提供足够的有关其安全属性的信息。该法案全面实施后,欧盟委员会将立即着手制定高风险联网产品的网络安全标准化请求。法案所谓的关键产品将接受监督机构更严格的审查,而风险较低的产品则由制造商内部管理。根据规定,物联网设备生产商只有在确定产品不存在任何可能被黑客攻击的重大漏洞的情况下,才能将产品投放到欧盟市场。一旦他们发现事故或黑客攻击,他们必须向相关部门报告。
NIS2旨在保护能源、交通、银行、水利和数字基础设施等关键实体免受重大网络事件的侵害。要求一旦发生导致严重运营中断的事故,公司需要在24小时内发出警告,并在72小时内提交事故报告。如果不遵守规定,公司将面临最高达1000万欧元或全球收入2%的罚款(以较高者为准)。
法国议会数字和邮政事务联合委员会在上周四发布的一份报告中表示,NIS1涉及近600个实体,而NIS2将把范围扩大到近15000个实体。该委员会在3月至5月咨询了国家网络安全办公室、软件生产商和云计算协会等利益相关者,报告称:“大多数相关的新实体并不了解这些措施和标准,他们必须自行分析以确定自己是否遵守规定。”报告还补充道:“该法案仍未提交给部长理事会,随着2024年10月17日的临近,其未来尚不确定。”德国计划在2025年初通过实施该法。
欧洲新闻网在3月报道称,克罗地亚是第一个也是唯一一个向欧盟委员会通报其部分移交情况的国家。然而半年过去,在NIS2即将到来的前夜,仍只有克罗地亚和比利时在截止日期前一周正式通知了欧盟委员会,一位发言人表示:“到目前为止,委员会已收到比利时将NIS2全部转化为国家法律以及克罗地亚将部分转化为国家法律的通知。”但由于“该过程仍在进行中”,因此无法发表进一步评论。按规定,其余25个国家必须在10月17日之前实施NIS2。
编辑:涂冰玥
审校:李建军
终审:梁占军
