近日,欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。
新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。“因为社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加”,原来的指令需要更新。
NIS2指令将涵盖在关键领域运营的大中型组织, 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。
新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。
它还旨在制定更严格的执法要求,并协调成员国之间的制裁制度。如果不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款将为1.4%。
这些措施最初是由欧盟委员会于2020年12月提出的,该政治协议需要得到欧盟成员国和欧洲议会的正式批准,一旦通过,成员国将需要在21个月内将新要求转化为国家法律。
欧洲数字时代组织(a Europe Fit for the Digital Age)执行副总裁玛格丽特·维斯塔格(Margrethe Vestager)在评论该公告时说:“我们一直在为社会的数字化转型而努力。在过去的几个月里,我们已经建立了一些基石,如《数字市场法》和《数字服务法》。今天,成员国和欧洲议会还就NIS 2达成了协议,这是欧洲数字战略的又一重要突破,这次是为了确保公民和企业受到保护并信任基本服务。”
欧盟委员会副主席希纳斯马加里蒂斯·希纳斯(Margaritis Schinas)表示:“网络安全对于保护经济和社会免受网络威胁始终至关重要,随着我们在数字化转型中不断前进,这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心,以提高防范和恢复针对经济、民主与和平的网络威胁的能力。”
该公告是在政府机构就网络安全采取一系列重大举措之后发布的,其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施(PSTI)法案,该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。
去年,欧盟制定了建立联合网络部门的计划,以提高应对成员国不断增加的网络攻击的能力。