聽(tīng)說(shuō)過(guò)將在2018年進(jìn)入歐盟成員國(guó)法律體系中的《網(wǎng)絡(luò)與信息安全指令》(NIS)嗎?或許你真沒(méi)聽(tīng)過(guò)。過(guò)去2年間,全世界對(duì)IT安全立法的關(guān)注和胃口,都已經(jīng)被《通用數(shù)據(jù)保護(hù)條例》(GDPR)給占滿了,這位GDPR的小表弟身上分到的輝光少得可憐。
但是,盡管不受關(guān)注,無(wú)論其適用對(duì)象知道還是不知道它的存在,該指令的要求都對(duì)其適用對(duì)象產(chǎn)生深遠(yuǎn)的影響。
關(guān)于NIS指令,其與GDPR的差異,其要求與應(yīng)用,你應(yīng)該知道如下幾條:
1. 這是指令,不是規(guī)定
伴隨著GDPR引發(fā)的各種熱議,很多人最近都將刷新他們的歐洲法律詞匯表,注意到NIS是個(gè)指令,而非規(guī)定。與原汁原味吸收到成員國(guó)法律體系中的規(guī)定或條例不同,指令只是要求成員國(guó)政府按照指令中的精神,實(shí)現(xiàn)其自有法律。英國(guó)即將廢止的98版《數(shù)據(jù)保護(hù)法案》,就是1995年《歐洲數(shù)據(jù)保護(hù)指令》的產(chǎn)物。
2. 英國(guó)脫歐無(wú)甚影響
關(guān)于英國(guó)脫歐及其談判期間對(duì)立法的影響,我們已有諸多定論。與GDPR相同,NIS將在2018年生效——在英國(guó)正式脫歐之前。盡管存在灰色地帶,英國(guó)政府已確認(rèn),就算未來(lái)尚未可知,NIS也將在預(yù)期的時(shí)間框架內(nèi)置換為本土法律。
3. NIS目的為何?
NIS指令的目標(biāo),是提升國(guó)家層面的網(wǎng)絡(luò)安全能力,培育歐盟成員國(guó)之間更好的溝通。這將涉及每個(gè)成員國(guó)都要設(shè)立國(guó)家戰(zhàn)略,達(dá)成網(wǎng)絡(luò)和信息系統(tǒng)基礎(chǔ)服務(wù)的高水平網(wǎng)絡(luò)安全。
4. 專門(mén)性強(qiáng)
相比GDPR,NIS的適用范圍更窄,專注在關(guān)鍵垂直產(chǎn)業(yè)——有時(shí)候又稱為CNI(關(guān)鍵國(guó)家基礎(chǔ)設(shè)施)。包括:能源、交通、銀行、金融市場(chǎng)基礎(chǔ)設(shè)施、醫(yī)療、供水,以及數(shù)字基礎(chǔ)設(shè)施。
NIS的目標(biāo)企業(yè)分為兩類:
基礎(chǔ)服務(wù)運(yùn)營(yíng)商(OoES):成員國(guó)需在2018年第4季度之前識(shí)別出OoES。鑒別標(biāo)準(zhǔn)是:是否提供對(duì)關(guān)鍵社會(huì)/經(jīng)濟(jì)活動(dòng)維持十分重要的服務(wù),該服務(wù)的提供是否依賴網(wǎng)絡(luò)和信息系統(tǒng),安全事件是否會(huì)對(duì)該基礎(chǔ)服務(wù)的提供造成重大破壞。
數(shù)字服務(wù)提供商(DSP):遠(yuǎn)程提供數(shù)字服務(wù)的人或公司,一旦該服務(wù)OoES不可用,會(huì)造成大面積中斷。NIS指令中特別提到的有在線市場(chǎng)、云計(jì)算服務(wù)、在線搜索引擎。
5.安全義務(wù)和事件通告
與GDPR類似,OoES和DSP有義務(wù)實(shí)現(xiàn)先進(jìn)技術(shù)以管理自身網(wǎng)絡(luò)與系統(tǒng)的安全風(fēng)險(xiǎn),發(fā)生大規(guī)模/重大事件時(shí)必須向國(guó)家主管部門(mén)(NCA)和計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)報(bào)告。
6. 委任NCA
指令要求每個(gè)成員國(guó)委任1個(gè)或多個(gè)NCA,在國(guó)家層面上監(jiān)管NIS的應(yīng)用。多個(gè)NCA的情況下,每個(gè)NCA將被委派1個(gè)或多個(gè)產(chǎn)業(yè)以達(dá)到清晰的管轄。無(wú)論哪種情況,每個(gè)成員國(guó)都需要提名單點(diǎn)聯(lián)系人(SPoE),代表所有NCA與其他成員國(guó)和CSIRT聯(lián)系。
7. CSIRT
計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)負(fù)責(zé)監(jiān)視事件,提供威脅早期預(yù)警,進(jìn)行事件響應(yīng)。與NCA相同,每個(gè)成員國(guó)可指派多個(gè)CSIRT。另外,NIS指令設(shè)立CSIRT網(wǎng)絡(luò),每個(gè)成員國(guó)CSIRT都必須參加。該網(wǎng)絡(luò)的職責(zé)包括:交換安全事件信息,在跨境事件解決上為成員國(guó)提供支持。
8. 執(zhí)行是相對(duì)的
與GDPR不同,對(duì)違規(guī)行為的懲罰取決于各成員國(guó)。該指令允許NCA從DSP和OoES處強(qiáng)行要求信息,以評(píng)估他們對(duì)NIS的實(shí)現(xiàn)并要求整改。然而,涉及到懲罰的時(shí)候,該指令允許成員國(guó)自行決定,只要這些制裁都是恰當(dāng)有效和勸誡性的。
9. 治外法權(quán)
DSP和OoES接受其總部所在地的NIS指令管轄。如果不在歐盟或歐洲經(jīng)濟(jì)區(qū)(EEA),但提供區(qū)域內(nèi)服務(wù),也必須遵從該指令,并指派一名代表常駐歐盟或EEA成員國(guó)。
10. 下一步?
該指令設(shè)立了明確的時(shí)間框架供成員國(guó)遵循。基于現(xiàn)有的信息,該指令預(yù)期將在2018年第2季度引入成員國(guó)法律。一旦置換成國(guó)家法律,成員國(guó)將有最多6個(gè)月的時(shí)間識(shí)別出自己的本土OoES。
NIS VS. GDPR
考慮到時(shí)機(jī),及其對(duì)網(wǎng)絡(luò)和信息安全系統(tǒng)的關(guān)注,在NIS指令和GDPR之間做對(duì)比是一件很自然的事。然而,各種角度看,NIS之于GDPR是既窄又寬。
舉個(gè)例子,NIS指令涉及系統(tǒng)級(jí)防御和風(fēng)險(xiǎn)緩解,而不僅僅是個(gè)人信息及其收集與處理——此為寬。然而,它又只針對(duì)特定公司,尤其是那些執(zhí)行或提供關(guān)鍵服務(wù)的公司——此為窄。無(wú)論哪種情況,某些公司勢(shì)必二者都需遵從,未來(lái)2年里合規(guī)官員們的工作將很難做。
我們很容易指向無(wú)所事事的歐洲政客,說(shuō)他們又在引入繁文縟節(jié)和開(kāi)銷大的各種要求,但我們已經(jīng)見(jiàn)識(shí)過(guò)關(guān)鍵服務(wù)不可用的嚴(yán)重后果。比如英國(guó)航空公司計(jì)算機(jī)系統(tǒng)數(shù)天無(wú)法操作導(dǎo)致的大范圍中斷,以及NHS因WannaCry勒索軟件爆發(fā)而造成的病人無(wú)法收治。
今日世界,軍隊(duì)再?gòu)?qiáng)大,移民政策再嚴(yán)格,圍墻再高,都無(wú)法保證安全。我們所倚賴的基礎(chǔ)服務(wù)的網(wǎng)絡(luò)彈性才是關(guān)鍵。
京公網(wǎng)安備 11010502049343號(hào)