您是否了解歐盟即將于2018年要求各成員國(guó)執(zhí)行的“網(wǎng)絡(luò)與信息安全”(簡(jiǎn)稱(chēng)NIS)指令?
如果答案是否定的,您也無(wú)需緊張。事實(shí)上,近年來(lái)一般數(shù)據(jù)管理?xiàng)l例(簡(jiǎn)稱(chēng)GDPR)提出的紛繁復(fù)雜的法規(guī)要求確實(shí)令很多人,甚至讓安全從業(yè)者感到一頭霧水。不過(guò),了解其中的具體要求確實(shí)能夠幫助大家更為深刻地理解由此帶來(lái)的深遠(yuǎn)影響。
今天E安全為您提供十項(xiàng)值得了解的網(wǎng)絡(luò)與信息安全指令核心要點(diǎn),以及其與一般數(shù)據(jù)管理?xiàng)l例之間的區(qū)別所在。
1、代表一種方向,而非具體規(guī)定
為了將其與一般數(shù)據(jù)管理?xiàng)l例區(qū)別開(kāi)來(lái),很多從業(yè)者強(qiáng)調(diào)稱(chēng),網(wǎng)絡(luò)與信息安全指令代表一種方向,而非具體規(guī)定。與法規(guī)不同,此項(xiàng)指令要求各成員國(guó)政府本著指令精神執(zhí)行自有法律要求。例如,英國(guó)當(dāng)初發(fā)布的1998號(hào)數(shù)據(jù)保護(hù)法案正是歐洲1995號(hào)數(shù)據(jù)保護(hù)指令的直接結(jié)果。
2、 英國(guó)脫歐不會(huì)對(duì)此造成影響英國(guó)退出歐盟引發(fā)了一系列爭(zhēng)議,而且確實(shí)對(duì)英國(guó)未來(lái)的立法活動(dòng)產(chǎn)生了巨大影響。不過(guò)與一般數(shù)據(jù)管理?xiàng)l例一樣,網(wǎng)絡(luò)與信息安全指令同樣將從2018年開(kāi)始對(duì)各成員國(guó)產(chǎn)生約束作用,這一時(shí)間點(diǎn)早于英國(guó)正式退出歐盟的時(shí)間,因此盡管存在灰色地帶,但英國(guó)政府已表示,其將在預(yù)期時(shí)間內(nèi)將網(wǎng)絡(luò)與信息安全指令要求納入國(guó)內(nèi)法律。
3. 其目的是什么?網(wǎng)絡(luò)與信息安全指令旨在立足國(guó)家層面提升網(wǎng)絡(luò)安全能力,同時(shí)促使歐盟各成員國(guó)之間建立更強(qiáng)大的相關(guān)溝通渠道。這意味著各個(gè)成員國(guó)需要在國(guó)家戰(zhàn)略當(dāng)中通過(guò)基礎(chǔ)服務(wù)建立網(wǎng)絡(luò)與信息系統(tǒng)的高水平安全保障體系。
4. 關(guān)注范圍網(wǎng)絡(luò)與信息安全指令的關(guān)注范圍小于一般數(shù)據(jù)管理?xiàng)l例,其主要面向關(guān)鍵性垂直行業(yè)(亦稱(chēng)CNI,即關(guān)鍵國(guó)家基礎(chǔ)設(shè)施)。其中具體包括能源、運(yùn)輸、銀行、金融市場(chǎng)基礎(chǔ)設(shè)施、醫(yī)療衛(wèi)生、水資源以及數(shù)字化基礎(chǔ)設(shè)施等領(lǐng)域。
網(wǎng)絡(luò)與信息安全指令將目標(biāo)組織機(jī)構(gòu)分為兩大類(lèi):
基礎(chǔ)服務(wù)運(yùn)營(yíng)商(簡(jiǎn)稱(chēng)OoES)– 基礎(chǔ)服務(wù)運(yùn)營(yíng)商將在2018年第四季度之前由各成員國(guó)正式確定。具體評(píng)判方式包括考量其服務(wù)是否直接決定社會(huì)/經(jīng)濟(jì)活動(dòng)的延續(xù)性與維持能力,相關(guān)服務(wù)的具體配置方式由網(wǎng)絡(luò)及信息系統(tǒng)決定,而與之相關(guān)的安全事件則會(huì)對(duì)基礎(chǔ)服務(wù)的交付造成嚴(yán)重的破壞性影響。
數(shù)字服務(wù)供應(yīng)商(簡(jiǎn)稱(chēng)DSP)– 數(shù)字服務(wù)供應(yīng)商被定義為以遠(yuǎn)程方式提供數(shù)字服務(wù),且會(huì)在基礎(chǔ)服務(wù)運(yùn)營(yíng)商遭受破壞時(shí)引發(fā)業(yè)務(wù)廣泛中斷的個(gè)人或者組織機(jī)構(gòu)。具體來(lái)講,網(wǎng)絡(luò)與信息安全指令在定義中提到了在線市場(chǎng)、云計(jì)算服務(wù)以及在線搜索引擎等確切方向。
5.安全義務(wù)與違規(guī)通知與數(shù)據(jù)管理?xiàng)l件類(lèi)似,網(wǎng)絡(luò)與信息安全指令亦要求各基礎(chǔ)服務(wù)運(yùn)營(yíng)商及數(shù)字服務(wù)供應(yīng)商采取“最先進(jìn)的”技術(shù)方案,從而管理其網(wǎng)絡(luò)與系統(tǒng)安全風(fēng)險(xiǎn),并向各國(guó)家主管部門(mén)(簡(jiǎn)稱(chēng)NCA)以及計(jì)算機(jī)安全事件應(yīng)急小組(簡(jiǎn)稱(chēng)CSIRT)通報(bào)已經(jīng)發(fā)生的重大安全事故。
6.設(shè)立國(guó)家主管部門(mén)指令要求歐盟各成員國(guó)設(shè)立一個(gè)或者多個(gè)國(guó)家主管部門(mén)(簡(jiǎn)稱(chēng)NCA),由其負(fù)責(zé)監(jiān)控國(guó)家層級(jí)下的國(guó)家信息系統(tǒng)應(yīng)用。在存在多個(gè)相關(guān)國(guó)家主管部門(mén)的情況下,各部門(mén)將被分配以一項(xiàng)或者多項(xiàng)具體職責(zé),從而實(shí)現(xiàn)明確的管轄劃分。無(wú)論具體情況如何,各成員國(guó)都需要提名一位單點(diǎn)聯(lián)系人(簡(jiǎn)稱(chēng)SPoE),其代表國(guó)內(nèi)各主管部門(mén)同其它成員國(guó)及計(jì)算機(jī)安全事件應(yīng)急小組進(jìn)行聯(lián)絡(luò)。
7. 計(jì)算機(jī)安全事件應(yīng)急小組計(jì)算機(jī)安全事件應(yīng)急小組將負(fù)責(zé)監(jiān)控安全事故、提供早期威脅警告并對(duì)各類(lèi)事故作出響應(yīng)。與國(guó)家主管部門(mén)一樣,各成員國(guó)亦可設(shè)立多支應(yīng)急小組。另外,網(wǎng)絡(luò)與信息安全指令要求建立應(yīng)急小組網(wǎng)絡(luò),且各成員國(guó)應(yīng)急小組必須加入該網(wǎng)絡(luò)。這套網(wǎng)絡(luò)的職責(zé)包括交換安全事故信息,并為各成員國(guó)提供跨境安全事故支持。
8. 相對(duì)強(qiáng)制性與一般數(shù)據(jù)管理?xiàng)l例不同,對(duì)于違規(guī)方的懲罰舉措可由各成員國(guó)靈活掌握。網(wǎng)絡(luò)與信息安全指令允許各國(guó)家主管部門(mén)強(qiáng)制要求各數(shù)字服務(wù)供應(yīng)商與基礎(chǔ)服務(wù)運(yùn)營(yíng)商提供必要信息,旨在對(duì)其網(wǎng)絡(luò)與信息安全指令執(zhí)行情況作出評(píng)估并及時(shí)糾正其錯(cuò)誤行為。但在處罰方面,成員國(guó)可根據(jù)自身考量作出決定,包括加以勸阻或者采取更為嚴(yán)厲的制裁措施。
9. 區(qū)域約束力各數(shù)字服務(wù)供應(yīng)商與基礎(chǔ)服務(wù)運(yùn)營(yíng)商根據(jù)業(yè)務(wù)所在地進(jìn)行網(wǎng)絡(luò)與信息安全指令管轄區(qū)域劃分。如果其并不屬于歐盟或者歐洲經(jīng)濟(jì)區(qū)成員國(guó),但在此區(qū)域內(nèi)提供服務(wù),則仍需要遵守指令要求并在歐盟或歐洲經(jīng)濟(jì)區(qū)內(nèi)任命一位代表。
10. 未來(lái)展望網(wǎng)絡(luò)與信息安全指令為各成員國(guó)制定了明確的進(jìn)程時(shí)間表。根據(jù)本報(bào)告編寫(xiě)時(shí)的相關(guān)資料,該項(xiàng)指令預(yù)計(jì)將在2018年第二季度被正式納入各成員國(guó)法律要求。一旦成為國(guó)家法律,各成員國(guó)將必須在接下來(lái)的六個(gè)月當(dāng)中完成對(duì)國(guó)內(nèi)基礎(chǔ)服務(wù)運(yùn)營(yíng)商的具體判定。
考慮到時(shí)間設(shè)置以及對(duì)于網(wǎng)絡(luò)與信息安全系統(tǒng)的關(guān)注取向,我們會(huì)自然而然地將網(wǎng)絡(luò)與信息安全指令同一般數(shù)據(jù)管理?xiàng)l例進(jìn)行比較。然而,網(wǎng)絡(luò)與信息安全指令在具體約束范圍方面同后者存在顯著區(qū)別。
例如,網(wǎng)絡(luò)與信息安全指令擁有更為廣泛的系統(tǒng)級(jí)防御與風(fēng)險(xiǎn)應(yīng)對(duì)要求,而非關(guān)注個(gè)人信息及相關(guān)收集與處理工作。
當(dāng)然,網(wǎng)絡(luò)與信息安全指令同樣針對(duì)具體組織,特別是各類(lèi)被認(rèn)定為負(fù)責(zé)執(zhí)行或者提供關(guān)鍵性服務(wù)的組織機(jī)構(gòu)。無(wú)論屬于哪種情況,此類(lèi)組織機(jī)構(gòu)都需要同時(shí)遵循二者的相關(guān)要求,并在未來(lái)24個(gè)月這一相當(dāng)緊張的時(shí)間周期之內(nèi)由合規(guī)性官員確保將一切舉措部署到位。
雖然歐洲各國(guó)政治勢(shì)力的介入會(huì)給實(shí)施工作帶來(lái)諸多阻礙,同時(shí)也會(huì)顯著提升實(shí)施成本,但網(wǎng)絡(luò)與信息安全指令的必要性仍然不容質(zhì)疑。畢竟經(jīng)歷了英國(guó)航空公司的電腦系統(tǒng)因數(shù)天無(wú)法運(yùn)作而導(dǎo)致服務(wù)被迫中斷,以及英國(guó)國(guó)家醫(yī)療系統(tǒng)(簡(jiǎn)稱(chēng)NHS)由于WannaCry勒索軟件的爆發(fā)而影響病患的正常診療等一系列嚴(yán)重事件。
當(dāng)今世界中,強(qiáng)大的軍隊(duì)、嚴(yán)苛的移民政策以及堅(jiān)固的隔離墻都已不足以全面保護(hù)國(guó)家安全。決定一切的,實(shí)際是我們?nèi)粘I钆c工作所高度依賴(lài)的基礎(chǔ)服務(wù),與之相關(guān)的網(wǎng)絡(luò)彈性自然有必要成為保護(hù)工作的重中之重。
京公網(wǎng)安備 11010502049343號(hào)