据外媒近日报道,为了应对某些邪恶地区和黑客组织的威胁,英国政府致力于加强关键部门服务的安全防护建设。2017 年 8 月,英国政府在与欧盟成员国合作的情况下,根据 “ 网络和信息系统安全指令”(称为 NIS 指令)发布了一项公共协商,以改善英国在电力、交通、水,能源、健康和数字基础设施方面的基本服务。该协商指出,若存在未实施适当防护措施的运营商,英国政府部门有权对其进行罚款。据悉,目前最高罚款金额可达到 1700 万欧元。

英国政府协商 NIS 指令讨论了以下六个主要议题:基础服务的识别、国家框架的管理与实施、对提供基础服务运营商的安全要求、对基础服务运营商事故报告的要求、对数字服务提供商的要求,并提出了相应的处罚制度。

什么是 NIS 指令?

NIS 指令对所有提供基础服务和运营不同行业(包括能源,运输,银行,健康或数字服务)的关键基础设施的企业都有重大影响,是这些公司必须遵守的网络安全最低标准。

NIS 指令规定了对基本服务的经营者进行识别的范围、对国家安全、公共安全构成威胁以及重大社会或经济负面影响的可能因素。NIS 指令为国家框架奠定了基础,在这个框架中,政府能够确保主管当局拥有法律条款来履行其职责以及实现开展活动所需的资源。据悉,NIS 指令是以分层的方式建立的,每个原则(如 NIST 安全框架)中都要实现强制性安全结果,这一点在很大程度上确保了 NIS 指令可以贯穿各个不同行业。

NIS 指令由 14 个原则组成,可分为四个主要目标:

安全风险管理(治理,风险管理,资产管理,供应链)、保护网络攻击(服务保护政策和流程,身份和访问控制,数据安全,系统安全,弹性网络与系统,员工意识与培训)、网络安全事件(安全监控,异常检测)的检测以及网络安全事件(响应与恢复规划,改进)的影响的减少。

此外,该指令还涉及 GDPR 中不存在的网络安全问题。 目前 NCSC( GCHQ 的一部分)和主管当局(不同关键领域的监管机构)负责检查 NIS 指令的合规性。

目前只有当基本服务的运营者未能遵守第十四条 “ 安全要求和事件通知 ” 中列出的标准时,才会受到惩罚。罚款将根据未采取和未实施的适当措施进行判断和决定,最高罚款金额为 1700 万欧元。但如果必要的服务提供商能够在 2018 年 5 月之前完成 NIS 指令的实施要求,那么可能处罚措施会存在一些变动。

来源:Security Affairs

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。