最初的2016 年 NIS 指令主要侧重于制定核心网络安全措施,以保护欧盟的一些关键互联服务。重点是被视为必不可少的基础设施(如能源、水、交通、医疗保健和银行),这些基础设施均受该指令规定的基本保护。
NIS2 指令扩大了原 NIS 指令的范围,涵盖了更多行业和实体。它涵盖能源、交通、银行和金融市场基础设施、医疗保健、供水和数字基础设施(如在线市场、云计算和搜索引擎)等领域的基本服务 (OES) 运营商,以及支持 OES 的组织。
NIS2 中包含的组织需要在 2024 年 10 月 17 日之前遵守其指令。满足该期限符合组织的最大利益:除了提供有效的网络安全建议外,NIS2 还会对在某些情况下不遵守规定的组织处以最高达全球营业额 2% 的罚款。
但是,尽管 NIS2 明确规定了谁需要遵守指令以及不遵守指令的处罚是什么,。因此,让我们回顾一下 NIS2 指南以及组织应采取的最佳实践,以满足合规性并防御新兴威胁。
哪些组织需要遵守
为了更好地定义需要纳入的组织,制定了两个基本标准:行业和规模。针对 泰国whatsapp 行业,NIS2 附件 1 和 2 确定了“高度关键”(又称基本实体)和“关键”(又称重要实体)行业。高度关键行业有 11 个,主要是与国家经济日常运作相关的行业,例如能源、交通、银行、水务服务、医疗保健、数字基础设施、政府和空间。关键行业与支持国家经济的关键服务相关,例如食品、化学品和商品的制造和分销、废物管理、数字提供商(如互联网服务提供商 (ISP))和研究。
为了解决规模问题,NIS2 将组织分为大型或中型。大型组织指员工人数超过 250 人且年营业额至少为 5000 万欧元的组织。中型组织指员工人数少于 250 人且年营业额不超过 5000 万欧元的组织。
合作与合规为了解决合作问题
NIS2 还制定了事件报告结构。其中包括组建主管部门、单一联络点和 CSIRT(计算机安全事件响应小组)等部门。第 23 条规定了需要报告的内容和时间表。
执行取决于组织是否遵守建议的网络安全风险管理措施和报告要求。这些企业不遵 状态”列中显示“完成”状态 守规定的罚款可能高达 1000 万欧元(或全球营业额的 2%)(对于“高度关键”实体)或 700 万欧元(对于“关键”实体)。
遵循 ISO 和 NIST 身份安全指南以实现 NIS2 合规性
到 2024 年 10 月 17 日,成员国必须采取并公布遵守 NIS2 指令所需的措施。但这对受影响的企业究竟意味着什么?
NIS2 概述了欧盟各行业和数字基础设施组但它没有定义组织 织 电报号码 需要实施的关键措施,包括使用多因素身份验证 (MFA)、访问控制策略和资产管理、基本网络卫生和培训等措施。