近期,欧盟基于第一代《网络与信息安全指令》(简称NIS)的框架,推出了第二代《网络与信息系统指令》(简称NIS2)。这一新指令强调,供应链专业人员需更加密切关注网络安全架构的构建与维护,确保全面符合法规要求。
NIS法案为关键基础设施部门构建了一套事件报告和基础网络安全的标准框架。在此基础上,欧盟进一步扩大了该法案的适用范围并纳入了更多企业,以促进整个供应链的全面合规性。
考虑到现代威胁的严重性,强化网络安全对于保障系统稳定运行和预防供应链中断至关重要。根据美国联邦调查局下属的互联网犯罪投诉中心(IC3)发布的《2023年互联网犯罪报告》,2023年美国因网络欺诈导致的损失高达125亿美元,该数据较2022年增长了22%。
根据CrowdStrike的《2024年全球威胁报告》,2023年科技行业成为了互动式网络攻击最为频发的目标领域,紧随其后的是电信行业。
随着NIS2指令的正式执行,电子产品制造商必须深入检视其网络安全协议,并实施全方位的防护措施。加强安全防范措施已成为当务之急,不遵守新规定可能会导致罚款,甚至可能遭受严重的经济损失。以下为供应链专业人员需掌握的NIS2指令关键要点。
NIS2指令对供应链的影响
NIS2指令在2023年颁布,2024年10月18日起正式实施。自2016年以来,数字化进程的迅猛增长推动欧盟更新网络安全政策和法律体系。如今,更广泛的行业和实体被要求提升防御能力和应对突发事件的准备。
NIS2覆盖了金融市场基础设施、能源、交通和医疗保健等关键行业,因为这些领域频繁依赖信息和通信技术(ICT),所以它们必须遵循欧盟的最新规定。
此外,欧洲监管机构已将监管范围扩展至废物管理、食品加工、邮政服务和其它特定行业。在事故发生时,成员国须向本国的应急响应团队报告,以便获取后续的指导和协助。
随着NIS2的实施,供应链专业人员需严格遵守相关规定,并与信息技术团队加强合作。其中一项首要任务便是利用国家层面的审查来增强内部风险评估的工作。
供应链网络安全管理的基础在于内部风险评估,因为企业必须对自身及其供应商进行彻底审查。由于第三方可能引入安全风险,评估这些风险对于保障运营至关重要。此外,这些组织还需遵循NIS2指令,以确保实现最高标准的安全保护。
风险评估在国家层面乃至欧盟层面同样适用,各成员国正通过多种途径提升供应链安全。例如,即使某些企业未明确列入原定范围,欧盟国家仍可开展风险评估。另一重大转变是,欧盟现能对特定供应链进行审查,以评定其风险级别。
自2020年以来,鉴于外部威胁带来的重大风险,供应链网络安全已成为关注的焦点。NIS2指令旨在提升组织对抗攻击的防御能力。
供应链调整适应NIS2指令
除了执行风险评估,供应链专业人员还需采取额外措施以符合NIS2指令的要求。如今,制造商也被纳入欧盟NIS2指令的范畴,这意味着电子产品制造商需采用更先进的编码实践,并定期执行渗透测试。
供应链专业人员应利用信誉良好的第三方资源来评估产品的安全性和网络防御能力。通过定期开展测试活动,电子公司能够更精确地确定为实现NIS2指令合规所需采取的具体措施。
这些政策与2018年欧盟颁布的《通用数据保护条例》(GDPR)互为补充——GDPR确立了严格的数据保护措施,与欧盟新推出的NIS2规则保持一致。专家指出,有64%的公司至少处理1PB的数据,所以实施严格的数据存储与管理措施至关重要。
电子产品制造商需定期更新其网络安全措施,以确保采用最安全、最高效的方法。鉴于这些指令的复杂性和所涉及到的先进技术,IT部门必须对其他员工进行培训,以确保合规。
虽然许多现行的网络安全手段仍然有效,但制造商必须跟上时代的步伐,应对不断演变的外部威胁。人工智能(AI)、机器学习(ML)和区块链技术已成为供应链安全的关键要素,因此,深入探讨这些技术对于所有战略极为必要。
AI和ML对于制造商来说是至关重要的工具,因为它们能够更快地识别威胁并提升检测的精确度。借助大量数据,AI能够分析并识别出供应链中的异常模式,从而预警潜在威胁。电子产品制造商应当利用这些先进技术来实现快速响应,并确保遵循NIS2指令的要求。
为了实现更深层次的合规性,网络安全措施必须贯穿于每个电子元件的制造过程。制造商应从产品设计之初到最终部署的整个产品开发周期内,实施执行安全开发生命周期(SDLC)策略。
SDLC策略融合了零信任架构和持续部署(CD)等业界最佳实践,其目的是确保只有经过授权的用户能够访问系统,从而坚守严格的安全准则。
如何确保符合NIS2指令?
在欧盟运营的企业必须遵循监管机构的规定,这包括通用数据保护条例(GDPR)和新的网络安全指令(NIS)。自2024年起,NIS2已成为具有强制性的法律,电子公司必须遵守更为严苛的指导原则。尽管制造商之前并未被纳入原始规定的范畴,但现在它们已被纳入扩大后的监管范围之内。
随着NIS2指令的推行,电子产品制造商需全面提升内部风险评估的全面性,以保障供应链安全。欧盟已拓宽了对特定行业进行风险评估的权限,企业因此需做好充分准备,以防范网络攻击并加强系统防护能力。IT部门需更新其操作流程,采纳先进且高效的技术策略,例如人工智能和机器学习。