您是否了解歐盟即將于2018年要求各成員國執(zhí)行的“網(wǎng)絡(luò)與信息安全”(簡稱NIS)指令?
如果答案是否定的,您也無需緊張。事實上,近年來一般數(shù)據(jù)管理條例(簡稱GDPR)提出的紛繁復(fù)雜的法規(guī)要求確實令很多人,甚至讓安全從業(yè)者感到一頭霧水。不過,了解其中的具體要求確實能夠幫助大家更為深刻地理解由此帶來的深遠影響。
今天E安全為您提供十項值得了解的網(wǎng)絡(luò)與信息安全指令核心要點,以及其與一般數(shù)據(jù)管理條例之間的區(qū)別所在。
十大網(wǎng)絡(luò)信息安全指令核心要點1、代表一種方向,而非具體規(guī)定
為了將其與一般數(shù)據(jù)管理條例區(qū)別開來,很多從業(yè)者強調(diào)稱,網(wǎng)絡(luò)與信息安全指令代表一種方向,而非具體規(guī)定。與法規(guī)不同,此項指令要求各成員國政府本著指令精神執(zhí)行自有法律要求。例如,英國當初發(fā)布的1998號數(shù)據(jù)保護法案正是歐洲1995號數(shù)據(jù)保護指令的直接結(jié)果。
2、 英國脫歐不會對此造成影響英國退出歐盟引發(fā)了一系列爭議,而且確實對英國未來的立法活動產(chǎn)生了巨大影響。不過與一般數(shù)據(jù)管理條例一樣,網(wǎng)絡(luò)與信息安全指令同樣將從2018年開始對各成員國產(chǎn)生約束作用,這一時間點早于英國正式退出歐盟的時間,因此盡管存在灰色地帶,但英國政府已表示,其將在預(yù)期時間內(nèi)將網(wǎng)絡(luò)與信息安全指令要求納入國內(nèi)法律。
3. 其目的是什么?網(wǎng)絡(luò)與信息安全指令旨在立足國家層面提升網(wǎng)絡(luò)安全能力,同時促使歐盟各成員國之間建立更強大的相關(guān)溝通渠道。這意味著各個成員國需要在國家戰(zhàn)略當中通過基礎(chǔ)服務(wù)建立網(wǎng)絡(luò)與信息系統(tǒng)的高水平安全保障體系。
4. 關(guān)注范圍網(wǎng)絡(luò)與信息安全指令的關(guān)注范圍小于一般數(shù)據(jù)管理條例,其主要面向關(guān)鍵性垂直行業(yè)(亦稱CNI,即關(guān)鍵國家基礎(chǔ)設(shè)施)。其中具體包括能源、運輸、銀行、金融市場基礎(chǔ)設(shè)施、醫(yī)療衛(wèi)生、水資源以及數(shù)字化基礎(chǔ)設(shè)施等領(lǐng)域。
網(wǎng)絡(luò)與信息安全指令將目標組織機構(gòu)分為兩大類:
基礎(chǔ)服務(wù)運營商(簡稱OoES)– 基礎(chǔ)服務(wù)運營商將在2018年第四季度之前由各成員國正式確定。具體評判方式包括考量其服務(wù)是否直接決定社會/經(jīng)濟活動的延續(xù)性與維持能力,相關(guān)服務(wù)的具體配置方式由網(wǎng)絡(luò)及信息系統(tǒng)決定,而與之相關(guān)的安全事件則會對基礎(chǔ)服務(wù)的交付造成嚴重的破壞性影響。
數(shù)字服務(wù)供應(yīng)商(簡稱DSP)– 數(shù)字服務(wù)供應(yīng)商被定義為以遠程方式提供數(shù)字服務(wù),且會在基礎(chǔ)服務(wù)運營商遭受破壞時引發(fā)業(yè)務(wù)廣泛中斷的個人或者組織機構(gòu)。具體來講,網(wǎng)絡(luò)與信息安全指令在定義中提到了在線市場、云計算服務(wù)以及在線搜索引擎等確切方向。
5.安全義務(wù)與違規(guī)通知與數(shù)據(jù)管理條件類似,網(wǎng)絡(luò)與信息安全指令亦要求各基礎(chǔ)服務(wù)運營商及數(shù)字服務(wù)供應(yīng)商采取“最先進的”技術(shù)方案,從而管理其網(wǎng)絡(luò)與系統(tǒng)安全風(fēng)險,并向各國家主管部門(簡稱NCA)以及計算機安全事件應(yīng)急小組(簡稱CSIRT)通報已經(jīng)發(fā)生的重大安全事故。
6.設(shè)立國家主管部門指令要求歐盟各成員國設(shè)立一個或者多個國家主管部門(簡稱NCA),由其負責(zé)監(jiān)控國家層級下的國家信息系統(tǒng)應(yīng)用。在存在多個相關(guān)國家主管部門的情況下,各部門將被分配以一項或者多項具體職責(zé),從而實現(xiàn)明確的管轄劃分。無論具體情況如何,各成員國都需要提名一位單點聯(lián)系人(簡稱SPoE),其代表國內(nèi)各主管部門同其它成員國及計算機安全事件應(yīng)急小組進行聯(lián)絡(luò)。
7. 計算機安全事件應(yīng)急小組計算機安全事件應(yīng)急小組將負責(zé)監(jiān)控安全事故、提供早期威脅警告并對各類事故作出響應(yīng)。與國家主管部門一樣,各成員國亦可設(shè)立多支應(yīng)急小組。另外,網(wǎng)絡(luò)與信息安全指令要求建立應(yīng)急小組網(wǎng)絡(luò),且各成員國應(yīng)急小組必須加入該網(wǎng)絡(luò)。這套網(wǎng)絡(luò)的職責(zé)包括交換安全事故信息,并為各成員國提供跨境安全事故支持。
8. 相對強制性與一般數(shù)據(jù)管理條例不同,對于違規(guī)方的懲罰舉措可由各成員國靈活掌握。網(wǎng)絡(luò)與信息安全指令允許各國家主管部門強制要求各數(shù)字服務(wù)供應(yīng)商與基礎(chǔ)服務(wù)運營商提供必要信息,旨在對其網(wǎng)絡(luò)與信息安全指令執(zhí)行情況作出評估并及時糾正其錯誤行為。但在處罰方面,成員國可根據(jù)自身考量作出決定,包括加以勸阻或者采取更為嚴厲的制裁措施。
9. 區(qū)域約束力各數(shù)字服務(wù)供應(yīng)商與基礎(chǔ)服務(wù)運營商根據(jù)業(yè)務(wù)所在地進行網(wǎng)絡(luò)與信息安全指令管轄區(qū)域劃分。如果其并不屬于歐盟或者歐洲經(jīng)濟區(qū)成員國,但在此區(qū)域內(nèi)提供服務(wù),則仍需要遵守指令要求并在歐盟或歐洲經(jīng)濟區(qū)內(nèi)任命一位代表。
10. 未來展望網(wǎng)絡(luò)與信息安全指令為各成員國制定了明確的進程時間表。根據(jù)本報告編寫時的相關(guān)資料,該項指令預(yù)計將在2018年第二季度被正式納入各成員國法律要求。一旦成為國家法律,各成員國將必須在接下來的六個月當中完成對國內(nèi)基礎(chǔ)服務(wù)運營商的具體判定。
網(wǎng)絡(luò)與信息安全指令VS一般數(shù)據(jù)管理條例考慮到時間設(shè)置以及對于網(wǎng)絡(luò)與信息安全系統(tǒng)的關(guān)注取向,我們會自然而然地將網(wǎng)絡(luò)與信息安全指令同一般數(shù)據(jù)管理條例進行比較。然而,網(wǎng)絡(luò)與信息安全指令在具體約束范圍方面同后者存在顯著區(qū)別。
例如,網(wǎng)絡(luò)與信息安全指令擁有更為廣泛的系統(tǒng)級防御與風(fēng)險應(yīng)對要求,而非關(guān)注個人信息及相關(guān)收集與處理工作。
當然,網(wǎng)絡(luò)與信息安全指令同樣針對具體組織,特別是各類被認定為負責(zé)執(zhí)行或者提供關(guān)鍵性服務(wù)的組織機構(gòu)。無論屬于哪種情況,此類組織機構(gòu)都需要同時遵循二者的相關(guān)要求,并在未來24個月這一相當緊張的時間周期之內(nèi)由合規(guī)性官員確保將一切舉措部署到位。
雖然歐洲各國政治勢力的介入會給實施工作帶來諸多阻礙,同時也會顯著提升實施成本,但網(wǎng)絡(luò)與信息安全指令的必要性仍然不容質(zhì)疑。畢竟經(jīng)歷了英國航空公司的電腦系統(tǒng)因數(shù)天無法運作而導(dǎo)致服務(wù)被迫中斷,以及英國國家醫(yī)療系統(tǒng)(簡稱NHS)由于WannaCry勒索軟件的爆發(fā)而影響病患的正常診療等一系列嚴重事件。
當今世界中,強大的軍隊、嚴苛的移民政策以及堅固的隔離墻都已不足以全面保護國家安全。決定一切的,實際是我們?nèi)粘I钆c工作所高度依賴的基礎(chǔ)服務(wù),與之相關(guān)的網(wǎng)絡(luò)彈性自然有必要成為保護工作的重中之重。