.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
引言:新的 IT 安全範例
NIS2 指令於 2023 年 1 月 17 日 (義大利為 10 月 16 日) 生效,與之前的 NIS 指令相比,有了深刻的改變。此規範框架旨在為所有歐盟成員國建立共同的網路策略,主要目標是提高整個歐盟的數位服務安全層級。
歐洲 NIS2 指令的實施季節已正式開始,代表著資訊安全管理方式有了比較重大的改變。
國家網路安全局 (National Cybersecurity Agency, NCA) 在溝通上所做的努力,將壓制與制裁程序的層次放在促進積極參與的次要位置,值得讚賞,但顯而易見的是,落實指令目標的過程,不可能只在形式上順從安全管理系統 (也就是一般所說的「紙上安全」) 就能解決,而是需要大量的努力來定義具體與永續的安全目標。
周邊的延伸:誰參與了 NIS2
NIS2 指令代表著整個歐洲朝向更高的網路安全與復原能力共同邁進的重要一步。談到法規和指令,許多公司都將合規視為最終目標:透過滿足最低要求來遵守。然而,這應該被視為達成更高層級網路安全的起點。
NIS2 指令源於對 NIS 的重大改革,標誌著邁向全面定義歐洲網路策略的另一重要步驟,提供成員國充分協調的創新回應,以確保安全事故發生時數位服務的連續性。
與之前的 NIS 指令相比,NIS2 大幅擴大了應用範圍,包括廢物管理、運輸、食品工業、飲用水供應和分配、數位基礎設施、公共管理、藥物和醫療設備的生產、研究和開發,以及太空領域等關鍵領域。
第 138/2024 號法令將 NIS2 指令轉換為義大利法律,規定自 2024 年 10 月 16 日起適用。
該法規不適用於小型企業,除非該實體被認定為 RCE 指令所指的「關鍵」實體、公共電子通訊網路供應商、信託服務供應商,或屬於其他被視為必要的特定類別。
NIS2 也適用於員工數量少於 50 人的公司,如果這些公司在會員國提供必要服務,如果他們的服務對公共安全、治安或健康至關重要,或者如果他們是必要或重要公司供應鏈的一部分。
企業的主要關鍵問題
1.分層模型和分類問題的複雜性
這種運作上的複雜性反映在義大利立法者選擇了「分層」模式。第一層是標準層次,即基本或重要的主體,這些主體超過小型企業的規模限制。第二層是那些不論其規模或營業額,都屬於特定規定類別的實體。
一個重要的問題是關於規模方面的實際測量,這是由於「關聯企業」這個概念的參考,在商業世界中,對於這個概念並不總是有絕對明確的看法。
理論上,兩家或多家公司之間的聯繫與組成真正正式集團的意圖無關,其結果是將那些即使單獨考慮也不會達到規則規定的規模限制的實體排除在中小型公司集團之外。
2.經濟和組織負擔
當我們從這個過程的意識形態下移到具體方法時,問題就頗為不同,因為它與一個國家的經濟層面相衝突,而這個國家的基本結構是由大量中小型企業組成的。這對NIS2的實施構成重大挑戰,可能對小型現實造成過重的負擔。
NIS2 指令旨在改善歐盟的網路安全,其罰則純粹為行政和刑事罰則。基本業者最高可被處以 1,000 萬歐元或全球總營業額 2% 的行政罰金。另一方面,主要業者最高可被罰 700 萬歐元或全球總營業額的 1.4%。
3.管理責任
該立法法令引入了一項確定的規定:管理階層和理事機構將承擔責任。公司的管理機構將被要求在遵守立法方面發揮積極作用,他們必須批准安全風險管理措施的實施,監督立法中規定的義務的執行,並對違規行為負責。
4.事故報告和風險管理
轉換法令強化了事件通報的要求,規定對服務提供有重大影響的事件必須向 CSIRT Italy 報告,不得無故延遲。通報程序規定了嚴格的時限:24 小時內預先通報,事件發生後 72 小時內通報,事件發生後一個月內提交最終報告。
NIS2 指令列出組織必須符合的多項主要要求,以確保高層次的網路安全。這些要求包括:風險分析和資訊系統安全政策、評估風險管理措施有效性的策略,以及基本的數位衛生實務和網路安全訓練。
5.專注於供應鏈
由此可見,轉換 NIS2 指令的立法不僅著重於被視為高度關鍵或關鍵的部門,而且還高瞻遠矚地將其供應商也納入其中,從而大幅擴大了可能受到法令適用影響的對象數量。
NIS 2 指令規定,有義務的實體必須採取適當且相稱的技術、營運和組織措施,以管理資訊系統和網路所構成的安全風險,同時也要考慮供應鏈安全,包括每個實體與其直接供應商或服務供應商之間關係的安全層面。
需要遵守的主要截止期限
因此,合規的競賽開始了,必須在 2026 年 10 月前完成。到 2025 年初,被識別為 NIS2 主體的企業必須運行所有規劃的措施,包括 IT 安全管理系統和管理責任。到 2025 年 5 月,企業必須更新機構平台中的資料。2026 年 1 月,及時報告重大事故的正式義務開始生效,到 2026 年 9 月,各機構必須實施所有必要的安全措施。
自 2024 年 10 月 16 日起,新的網路與資訊安全(NIS)法規開始生效。ACN 是 NIS 的主管機關和單一連絡點。自 2024 年 12 月 1 日至 2025 年 2 月 28 日,新法規適用的大中型企業 (某些情況下也包括小型和微型企業) 和公共行政機構必須在 ACN 服務入口網站註冊。
結論:必須但具挑戰性的範式轉變
社會日益互聯和數位化,使得機構、企業和公民越來越容易受到網路威脅。
國家網路安全局 (National Cybersecurity Agency) 的最高管理階層已公開承諾要讓這個過程持續下去,而這也確實標誌著國家應對日益嚴重威脅能力的轉捩點。我們必須拭目以待,看看國家的生產與行政結構將如何因應這個顯然是深刻的文化轉捩點,而且直覺上,這既不是一件輕而易舉的事,也不是「不增加成本」的事。
因此,適應 NIS2 不僅是遵守標準的問題,也是在公司內引進安全文化、技術與組織最佳實務的好機會,可大幅提升 IT 安全層級。然而,重要的是立即開始準備適應計畫,以便透過適當的定期訓練週期,分階段使公司的各種資產和人員符合標準。
即使您不屬於必須遵守 NIS2 指令的公司,開始學習網路風險意識課程對於保護您企業的未來也很重要。
因此,NIS2 對義大利公司而言是一項複雜但必要的挑戰。雖然它規定了看似繁瑣的新義務和責任,但也提供了重新思考 IT 安全的機會,將其視為一項策略元素,而不僅僅是一項成本。
