公司可能面临巨额罚款,甚至在欧盟的新网络安全法规下被暂停服务。这些法规将于下月生效。欧盟的NIS 2网络安全指令将于10月17日起在成员国中强制执行,这意味着公司必须确保其运营符合新法律的要求。这些规则对公司在内部网络抗风险战略和内部实践方面提出了更严格的要求。NIS 2(网络和信息安全指令2)是一项旨在提高欧盟范围内IT系统和网络安全性的指令。该法律于2020年推出,是对早期指令NIS的更新。
NIS 2扩展了其前身的范围,以应对新出现的网络安全挑战和威胁。它适用于在欧盟内运营并向消费者提供必要服务的组织,包括银行、能源供应商、医疗机构、互联网提供商、运输公司和废物处理商。该指令的主要领域包括风险管理、企业责任、报告义务,以及在网络入侵事件中的业务连续性规划。
Capgemini全球网络安全服务执行副总裁Geert van der Linden表示,NIS 2有效地为公司设定了保护公民、维护运营并在网络攻击面前保持韧性的新基准。根据NIS 2,企业还必须评估其数字供应链中的网络威胁和脆弱性。Cisco的欧盟公共政策团队负责人Chris Gow表示,NIS 2下将进行一项“映射练习”,公司必须扫描其技术供应商以评估任何潜在的风险。
企业还将有责任根据NIS 2报告和共享网络漏洞和黑客信息,即使这意味着必须承认自己是网络入侵的受害者。如果公司未能遵守新法律,可能面临巨额罚款和其他惩罚措施。对于被视为必要的实体,如运输、金融和水务公司,未能遵守NIS 2可能导致高达1000万欧元(1110万美元)的罚款或全球年收入的2%(以较高者为准)。
被认为是重要的公司,如食品公司、化学品公司和废物管理服务,未能遵守规定可能面临高达700万欧元或其全球年收入1.4%的罚款。公司还可能面临服务暂停以及是否已经合规的密切监督。如果公司遭遇网络入侵,他们将有24小时向当局提交早期警告通知,这比GDPR (一般数据保护条例)下通知当局的数据泄露的72小时窗口更为严格。此外,企业一直在努力改变其内部文化,以确保他们认真对待网络入侵和停运事件的威胁。
尽管如此,网络攻击并未因此停止。今年早些时候,英国私营医疗提供商Synnovis遭到勒索软件攻击,影响了3000多个医院和GP预约。Gow表示,假设新法规可以防止类似事件的发生是一个错误,但他补充说,NIS 2帮助“创建了某种审查,并集中资源展示你如何提升整体安全水平。”
admin