NIS2 与供应链风险管理有何关系?
供应链风险管理是NIS2的重要组成部分。新的指令超越了其他网络安全法规,要求企业评估其扩展供应链,并识别某些第三方供应商的漏洞。在范围内企业也必须考虑下游供应链风险,但不要求找出具体的薄弱环节。
NIS2对欧盟成员国有何影响?
NIS2的目标是确保成员国提高本国的网络安全水平。它对成员国提出几项要求,主要集中在构建更加强大的集体防御机制。
不遵守规定会受到什么惩罚?
该指令要求成员国对违规行为实施处罚,包括:
■ 对于关键企业:罚款 1000 万欧元或上一财政年度全球年营业额的至少 2%,以较高者为准;
■ 对于重要企业:罚款 700 万欧元或上一财政年度全球年营业额的至少 1.4%,以较高者为准;
NIS2如何将企业管理责任纳入其中?
企业管理责任是该指令的一个主要特点。这种方式直接关联到企业的管理机构。欧盟正试图建立一种法律规范,要求首席执行官、董事会和高级管理层直接参与到其企业的网络风险管理计划中。
NIS2的事件报告要求是什么?
NIS2包括扩展的事件报告要求。企业必须在24小时内报告事件,并在之后的三天内提供更详细的报告。
CSIRT团队有强制性规定吗?
欧盟各国的CSIRT团队对NIS2至关重要。他们将构建一个涵盖企业事件报告的中央知识库,并为需要报告事件的企业提供指导。
欧盟漏洞数据库是什么?
NIS2致力于提升组织的网络安全性和欧盟的网络准备情况,它要求欧盟创建一个漏洞数据库,其数据可在多个国家政府间进行共享。
ISO/IEC 27001 能为 NIS2 提供什么帮助?
NIS2的合规性确实是一种挑战,但ISO/IEC 27001可以帮助企业满足要求。如果企业已经取得了ISO/IEC 27001认证,那么在满足NIS2的合规性会更加顺畅。这一全球标准可以提供必要的指引,而获得认证则意味着企业已经满足了NIS2的部分要求。
获得认证可以简化转换过程,但首先,组织需要进行成熟度评估,以明确自身现状。接下来,组织必须实施信息安全管理体系(ISMS)。这是该标准的主要优势之一,因为它为网络安全ISMS的实施提供了一个框架。NIS2和ISO/IEC 27001都强调了由管理层领导的治理。
ISO/IEC 27001 可以为那些不直接受 NIS2 约束的组织提供一个机会,使其可以提前做好准备以满足未来的要求以及客户和合作伙伴的期待。该标准在全球范围内有效,因此,它可以改善组织中与欧盟无关的部分。
合规需要时间,因此获得或加强ISO/IEC 27001认证是至关重要的。我们建议尽早开始准备,去应对即将出台的法规或立法。最后,由于NIS2指出网络安全必须持续发展,组织必须定期审查程序和政策,以确保它们的相关性。
关于SGS
SGS作为国际公认的测试、检验和认证机构,在信息与通讯技术(ICT)领域深耕多年,为诸多知名企业提供信息安全、隐私安全管理等技术支持,致力于为各行业机构提供全方位管理提升服务,为企业信创保驾护航,如:ISO/IEC 27001 信息安全管理体系、ISO/IEC 27701 隐私信息管理体系、ISO/IEC 42001人工智能管理体系、Europrivacy相关的培训和认证服务等。
SGS全球专家网络为您提供坚实可靠的网络安全措施,以积极应对NIS2的合规要求。
16th Floor, Block A, No.73 Fucheng Road, Century Yuhui Mansion,
北京, Haidian District, 中国大陆