一直关注GPDR?别忘了网络与信息安全指令

作者:星期六, 八月 26, 20170
分享:

听说过将在2018年进入欧盟成员国法律体系中的《网络与信息安全指令》(NIS)吗?或许你真没听过。过去2年间,全世界对IT安全立法的关注和胃口,都已经被《通用数据保护条例》(GDPR)给占满了,这位GDPR的小表弟身上分到的辉光少得可怜。

但是,尽管不受关注,无论其适用对象知道还是不知道它的存在,该指令的要求都对其适用对象产生深远的影响。

关于NIS指令,其与GDPR的差异,其要求与应用,你应该知道如下几条:

1. 这是指令,不是规定

伴随着GDPR引发的各种热议,很多人最近都将刷新他们的欧洲法律词汇表,注意到NIS是个指令,而非规定。与原汁原味吸收到成员国法律体系中的规定或条例不同,指令只是要求成员国政府按照指令中的精神,实现其自有法律。英国即将废止的98版《数据保护法案》,就是1995年《欧洲数据保护指令》的产物。

2. 英国脱欧无甚影响

关于英国脱欧及其谈判期间对立法的影响,我们已有诸多定论。与GDPR相同,NIS将在2018年生效——在英国正式脱欧之前。尽管存在灰色地带,英国政府已确认,就算未来尚未可知,NIS也将在预期的时间框架内置换为本土法律。

3. NIS目的为何?

NIS指令的目标,是提升国家层面的网络安全能力,培育欧盟成员国之间更好的沟通。这将涉及每个成员国都要设立国家战略,达成网络和信息系统基础服务的高水平网络安全。

4. 专门性强

相比GDPR,NIS的适用范围更窄,专注在关键垂直产业——有时候又称为CNI(关键国家基础设施)。包括:能源、交通、银行、金融市场基础设施、医疗、供水,以及数字基础设施。

NIS的目标企业分为两类:

  • 基础服务运营商(OoES):成员国需在2018年第4季度之前识别出OoES。鉴别标准是:是否提供对关键社会/经济活动维持十分重要的服务,该服务的提供是否依赖网络和信息系统,安全事件是否会对该基础服务的提供造成重大破坏。
  • 数字服务提供商(DSP):远程提供数字服务的人或公司,一旦该服务OoES不可用,会造成大面积中断。NIS指令中特别提到的有在线市场、云计算服务、在线搜索引擎。

5.安全义务和事件通告

与GDPR类似,OoES和DSP有义务实现先进技术以管理自身网络与系统的安全风险,发生大规模/重大事件时必须向国家主管部门(NCA)和计算机安全事件响应小组(CSIRT)报告。

6. 委任NCA

指令要求每个成员国委任1个或多个NCA,在国家层面上监管NIS的应用。多个NCA的情况下,每个NCA将被委派1个或多个产业以达到清晰的管辖。无论哪种情况,每个成员国都需要提名单点联系人(SPoE),代表所有NCA与其他成员国和CSIRT联系。

7. CSIRT

计算机安全事件响应小组(CSIRT)负责监视事件,提供威胁早期预警,进行事件响应。与NCA相同,每个成员国可指派多个CSIRT。另外,NIS指令设立CSIRT网络,每个成员国CSIRT都必须参加。该网络的职责包括:交换安全事件信息,在跨境事件解决上为成员国提供支持。

8. 执行是相对的

与GDPR不同,对违规行为的惩罚取决于各成员国。该指令允许NCA从DSP和OoES处强行要求信息,以评估他们对NIS的实现并要求整改。然而,涉及到惩罚的时候,该指令允许成员国自行决定,只要这些制裁都是恰当有效和劝诫性的。

9. 治外法权

DSP和OoES接受其总部所在地的NIS指令管辖。如果不在欧盟或欧洲经济区(EEA),但提供区域内服务,也必须遵从该指令,并指派一名代表常驻欧盟或EEA成员国。

10. 下一步?

该指令设立了明确的时间框架供成员国遵循。基于现有的信息,该指令预期将在2018年第2季度引入成员国法律。一旦置换成国家法律,成员国将有最多6个月的时间识别出自己的本土OoES。

NIS VS. GDPR

考虑到时机,及其对网络和信息安全系统的关注,在NIS指令和GDPR之间做对比是一件很自然的事。然而,各种角度看,NIS之于GDPR是既窄又宽。

举个例子,NIS指令涉及系统级防御和风险缓解,而不仅仅是个人信息及其收集与处理——此为宽。然而,它又只针对特定公司,尤其是那些执行或提供关键服务的公司——此为窄。无论哪种情况,某些公司势必二者都需遵从,未来2年里合规官员们的工作将很难做。

我们很容易指向无所事事的欧洲政客,说他们又在引入繁文缛节和开销大的各种要求,但我们已经见识过关键服务不可用的严重后果。比如英国航空公司计算机系统数天无法操作导致的大范围中断,以及NHS因WannaCry勒索软件爆发而造成的病人无法收治。

今日世界,军队再强大,移民政策再严格,围墙再高,都无法保证安全。我们所倚赖的基础服务的网络弹性才是关键。

 

分享:

相关文章

写一条评论

 

 

0条评论