欧盟网络与信息系统(NIS)指令于当地时间2018年5月10日起正式生效。此项面向欧盟范围内的新法令有望提高关键基础设施相关组织的 IT 安全性,同时亦将约束各搜索引擎、在线市场以及其它对现代经济拥有关键性影响的组织机构。
NIS指令侧重于保障关键基础设施
尽管知名度不及 GDPR,但 NIS 指令给其管辖范围内组织所带来的变革将更为深远。NIS 指令侧重于保障欧盟国家电力、交通以及医疗卫生等领域关键基础设施的安全性,其力图通过加强网络防御能力以提升此类服务的安全性与弹性。
覆盖范围
NIS 指令将覆盖一切被认定对欧盟国家基础设施拥有重要影响的组织机构,例如各在线市场、搜索引擎以及关键基础设施供应商。
根据英国国家网络安全中心(NCSC)官网上公布的信息,此项指令要求各欧盟成员国建立:
国家网络安全战略;
计算机安全事件应急小组(CSIRT);
国家 NIS 主管部门。
确定基础服务运营商(OES)名单
各欧盟国家之间亦应开展合作,旨在共享与网络攻击相关的信息。此外,各国还必须确定关键组织或“基础服务运营商(OES)”名单。这些 OES 必须采取适当的安全措施以管理其网络与信息系统风险,同时就出现的严重安全事件向相关国家主管部门进行通报。
在英国,OES 名单可能涵盖饮用水供应商,数字基础设施卫生部门,空运、海运、公路运输以及铁路运输系统,云服务,网上市场以及搜索引擎等领域,亦将充分保护金融与民用核能等行业免受网络攻击影响。
网络安全公司 Osborne Clarke 研究人员卡莉·韦丁表示,NIS 指令非常及时,近年来,针对国家基础设施的网络攻击数量正在急剧增加,恶意攻击者很可能瞄准系统中的任何弱点,将这类系统作为目标实施攻击。这有可能对社会造成重大的影响,包括阻断电力输送、运输以及应急服务。考虑到数字服务在当今社会的重要作用,此项指令也同样适用于在线市场、搜索引擎以及云存储等领域。
韦丁表示,NIS 指令涵盖范围内的各组织应当对自身技术以及相关举措进行整体评估,以确保其网络与信息的安全性水平,同时还应以真实的‘作战演习’模拟对自身安全措施进行测试,进而主动发现并修复潜在缺陷。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
