与 GDPR 一样,未遵循 NIS2 要求会被处以巨额罚款。例如,NIS2 指令第 34 条规定了以下不合规罚款标准:
基础实体:至少是最高 1000 万欧元或全球年营业额的 2%
重要实体:至少是最高 700 万欧元或全球年营业额的 1.4%
什么是 NIS2 指令?
NIS2 指令提供了覆盖整个欧盟范围的网络安全立法。NIS2 是其前一个版本《网络与信息安全 (NIS) 指令》的更新版。其目标是在欧盟各成员国间建立统一的网络安全水平。与《通用数据保护条例》(GDPR) 一样,NIS2 旨在协调欧盟各成员国之间的数字基础架构保护措施与方法。在此背景下,这些措施和方法也是应对网络攻击日益猖獗的最佳实践。
NIS2 合规性背景
勒索软件和数据泄露等网络攻击正在对欧盟各机构和企业造成越来越严重的影响。 ENISA(欧盟网络安全局) 针对当前威胁格局发布了一份报告,该报告指出攻击者正在使用花样翻新的网络钓鱼和零日漏洞利用来攻击欧盟企业。NIS2 具有广泛的应用范围,旨在改善关键行业“基础实体和重要实体”的网络安全状况,例如能源、零售、交通、银行、医疗保健、公共管理等等。该指令还涵盖了跨境供应链和服务供应商的安全保护。
NIS2 于 2023 年 1 月 16 日生效。欧盟成员国必须在 2024 年 10 月 17 日之前将 NIS2 纳入本国法律并使其成为适用法规。
Akamai 解决方案对企业有何帮助
NIS2 要求实施全面且严格的安全控制措施,以降低风险并防止网络安全问题对系统和数据造成损害。这些要求涵盖一系列的 IT 系统和资源,包括保护 IT 环境免遭勒索软件、网络钓鱼和未经授权访问的侵袭。
Akamai 安全解决方案提供了安全情报和端对端保护,可保护关键的基础架构运营技术 (OT) 以及 IT 系统和数据,避免发生网络入侵、安全事件、恶意软件感染和意外数据泄露。 Akamai 的安全平台提供了必要的动态安全防护,可在整个企业内实施 Zero Trust 数据保护原则。
Akamai 突破了传统端点检测的限制,可提供强有力的 Zero Trust 解决方案来确保数据的安全性和隐私性,从而帮助您的安全团队显著提升安全投资的成效和投资回报。
Akamai 提供:
- 全球安全平台,可实施全面覆盖您的 IT、物联网和 OT 环境的 Zero Trust 安全防护
- 对资产、访问权限和网络流的深度监测能力
- 安全策略的精细实施
NIS2 要求采取的网络安全措施
NIS2 指令第 21 条强调,受该指令监管的实体应该采取“恰当且相称的技术和企业措施”来控制网络风险。这些措施包括:
- 风险分析和信息安全策略
- 全面细致的事件处理
- 业务连续性和危机管理
- 稳健的供应链安全防护
- 广泛的网络安全防护
- 漏洞处理与披露
- 用于评估网络安全风险管理成效的政策和规程
- 使用加密技术
- 使用多重身份验证
NIS2 对企业有何影响?
NIS2 适用于欧盟范围内的任何公司,包括“在内部市场中,作为一个整体在经济和社会方面履行重要职责的公有和私有实体”,并且这些公司“应按要求采取充分的网络安全措施”。
该指令将“受监管实体”分为两类:基础实体 (EE) 和重要实体 (IE)。这两类实体在合规方面的区别在于:基础实体在合规监控、事件报告义务和信息系统保护措施执行方面须遵循更为严格的监管要求。每种实体类型的示例包括:
在以下行业开展运营的实体可能会被视为基础实体 (EE):
- 交通
- 能源
- 银行
- 医疗保健
- 水务
在以下行业开展运营的实体可能会被视为重要实体 (IE):
- 邮政和快递服务
- 废弃物管理
- 化学品生产和加工
- 食品
- 数字化服务提供商(搜索引擎、社交网络平台等)
受 NIS2 影响三个行业示例为:
医疗保健——医疗保健在 NIS2 中被划为基础服务;因此,医疗保健实体必须遵循严格的 NIS2 监管要求,包括用于降低网络风险以及防止 IT 系统和数据受损的风险管理措施。此外,核心要求还包括事件管理、供应链网络安全、网络安全、访问控制和数据加密。医疗保健企业等基础服务可以使用 Zero Trust 解决方案来帮助遵循这些严格的安全要求。Zero Trust 可以使用更少的资源在庞大的网络和供应链中实现强大的安全防护,从而帮助缩短合规时间。
零售商——Sophos 在 2022 年发布的 《零售行业的勒索软件攻击现状》 报告中指出,以零售业为目标的威胁呈现上升趋势。该报告发现,有 77% 的零售商在 2021 年成为了勒索软件攻击的受害者。NIS2 将“食品生产、加工和分销”及“网上商城提供商”明确划分为“重要服务”。因此,许多零售企业都将被列入 NIS2 合规范围之内。通过实施 Zero Trust 安全防护,零售公司可以确定其 IT 环境得到全面的安全覆盖;深入监测资产、访问权限和网络流;同时实现安全策略的精细实施。采用这一全面的方法之后,零售商将能够满足诸多要求,确保实现 NIS2 合规。
第三方供应商和服务提供商—— Gartner 预测,全球 45% 的企业的软件供应链将在 2025 年之前遭受攻击。对于企图通过供应链渗透入企业的黑客来说,供应链就是完美的攻击目标。NIS2 通过对关键信息和通信技术供应链实施严格的风险管理要求来应对这一网络安全风险。NIS2 要求在供应链风险管理方面采取积极主动的方法,包括评估供应商的网络安全实践质量。第三方供应商应该采用 Zero Trust 安全模型以确保采取了全面的安全措施,例如,确保实施最小访问权限。
Akamai 解决方案
NIS2 要求执行一系列的网络安全措施和风险管理活动。这些措施包括实施访问控制和最小访问权限、强有力的多重身份验证,以及阻止、检测或防止恶意代码(如勒索软件)的措施。Akamai 的解决方案套件经过精心设计,可以提供 Zero Trust 安全防护,从而帮助客户阻止勒索软件和其他高级攻击的传播。Akamai 可以帮助企业免受漏洞的影响,包括因云计算和员工分布在各地而增加的风险。
- 应用程序和 API 保护:防止 DDoS 攻击并保护您的资产
- Akamai Account Protector:基于先进的机器学习、行为分析和声誉推断,主动识别和阻止欺诈性人为活动和账户接管
- 访问和授权:Zero Trust 架构简化了合规过程
常见问题
NIS2 是一项欧盟指令,目的是在整个欧盟范围内提供统一的网络安全立法。NIS2 的全称是 网络与信息安全 (NIS)2 指令,是前一个版本 NIS 指令的更新版。
NIS2 适用于在欧盟范围内开展运营的 11 个基础行业和 7 个重要行业中的企业。根据 NIS2 规定,受监管的实体必须按照这些法规的要求来保护其系统免遭网络攻击,并确保制定强有力的事件响应计划。如欲详细了解这两个类别具体包含哪些行业,请查看 NIS2 指令全文。
NIS2 指令第 23 条制定了严格的网络数据泄漏报告规则。该条法规指出,数据泄漏通知必须做到“不得无故延迟”。企业必须在得知重大事件发生后 24 小时发出通知(“预警”),并在 72 小时内提供初始评估。即使没有个人数据泄露的迹象,此规则也仍然有效。
NIS 第 23 条包含一项要求,目的是确保定期对该指令进行审查,以考虑网络攻击激增、数字化转型以及疫情和远程工作造成干扰等情况;在此基础上,产生了更新版指令 NIS2。新版本的变化包括:扩大了所涵盖实体的范围,将涵盖范围设定为受监管行业的所有中型和大型公司,以及具有高风险的小型企业。NIS2 侧重于基于风险的安全防护方法,同时涵盖了业务连续性和危机管理、漏洞处理和披露以及多重身份验证等领域。
客户为什么选择 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。