作者:

CSC(比利时数据安全研究中心)NIS焦点小组

皮特·拜特拜尔(Pieter BYTTEBIER)国际政策和欧盟事务主管

卡尔·杜比拉尔(Karl Dobbelaere)比利时网络安全中心(CCB)政策经理

编者按

2022年12月,全名为“欧洲议会和理事会2022年12月14日(欧盟)第 2022/2555号指令,关于在整个联盟实现高共同水平网络安全的措施”的 NIS 2指令在欧盟官方刊物上发布。比利时网络安全中心(CCB)对NIS 2指令做出解读。对照NIS 1,NIS 2规范的必要实体与重要实体范围更广,对实体规定了登记、管理责任、网络安全风险管理措施、事故通知等新义务。本公众号编译了CCB对NIS 2指令的解读内容,希望帮助读者理解NIS 2新规新变化。全文7371字,预计阅读时间10分钟。

第一部分

1.简介:NIS 1

2.范围

3.义务

4.事件通知

5.其他重要方面

6.欧盟和国家的创新

第二部分

1.介绍:NIS 2 vs.NIS 1

2.NIS 2范围和注册

3.安全措施

4.事故通知

5.监管

/ 议程第一部分 /

01

简介:NIS 1

2016年7月6日颁布的关于在欧盟范围内实现网络和信息系统高水平共同安全措施的(欧盟)第2016/1148号指令*(《NIS指令》或《NIS 1》)。

*在比利时由2019年4月7日的法律转化适用,建立一个对公共安全具有普遍意义的网络和信息系统安全框架

NIS国家战略、计算机安全事件应急响应小组网络(CSIRTs)与合作小组三个机制共同对在线市场、在线搜索引擎、云计算的电子服务供应商,电子基础设施、能源、健康部门、饮用水供应和分配、交通、银行、金融市场基础设施等必要业务的经营者的事故报告和安全要求进行规范

(图1:NIS机制与CSIRTs与合作小组共同监管必要与重要实体的安全事故报告)

1.NIS 2指令新变化

·更多部门

·更多实体

·选拔+登记新方法

·新的事件通知截止日期

·额外要求

2.NIS2的三个主要支柱

(1)成员国能力

·国家当局

·国家战略

·协调漏洞披露(CVD)框架

·危机管理框架

(2)风险管理

·对不合规的最高管理层问责

·重要的公司被要求采取安全措施

·公司被要求在规定时间内通知事故

(3)合作与信息交流

·合作组

·计算机安全事件应急响应小组(CSIRTs)网络

·欧洲网络危机联络组织(CyCLONe)

·协调漏洞披露(CVD)和欧洲漏洞登记

·同行评审

·两年一次的欧盟网络安全机构(ENISA)网络安全报告

02

有关实体?-第2+3条及附件一和附件二

1.NIS 2更广范围(附件一 必要实体)

NIS 2规定的必要实体包括:能源、健康、交通、饮用水、废水、空间、公共政府、信息通信技术服务管理(B2B商家对商家)、金融市场基础设施、银行业、数字基础设施(包括互联网服务提供商ISP和云)

废水、空间、公共政府、信息通信技术服务管理(B2B)是相较于NIS 1,NIS 2新增的必要实体所属部门

银行业、金融市场基础设施这两个部门的实体同时还需受到数字业务弹性法案(DORA)的监管限制。

(图2:NIS 2 必要实体)

2.NIS 2更广范围(附件二 重要实体

NIS 2 规定的重要实体包括数字供应商、研究、邮政和快递服务、食品生产与分销、制造业、化学品制造生产和分销、废弃物管理。除了数字供应商,其他实体部门都是NIS 2 相较于NIS 1 新增的重要实体监管部门。

(图3:NIS 2 重要实体)

3.NIS-1比利时的基本服务运营商(OES)识别过程

(图4:NIS 1比利时的基本服务运营商(OES)识别过程)

比利时根据NIS 1实施的基本服务运营商(OES)识别过程是,可以参考区域或社区相关实体咨询结果,结合主管部门根据行业门槛作出的正式建议,经过主管部门正式鉴定,列出基本服务运营商(OES)的行业列表,对其应用NIS法案的监管框架。

强制将所有关键基础设施(依2011年1月7日法律)默认标识为基本服务的NIS运营商(除非例外)

4.NIS-2识别

协调被动选择(而非主动识别)第2条

(1)部门和实体类型参见附件

(2)规模:大型实体(即超过250名员工,或超过5000万欧元的年营业额或资产负债表);以及中型实体(最少50名员工,或超过1000万欧元的营业额或资产负债表)。

(3)或者,无论规模大小,基于其本质或风险的一些实体

例外(第2条)

·特别法:部门法规至少是等同的。

·例如,银行和金融市场:在范围内,但数字业务弹性法案(DORA)适用于义务。

·国家或公共安全、国防和执法。仅为这些部门提供服务的实体可以被排除在某些义务之外(监督、登记)。

5.必要实体vs.重要实体(第3条)

·必要实体:更重要的部门,特别是大型实体

·重要实体:中型实体,以及新的或不太重要的部门的大型实体

不再提供必要服务

通过以下方式实施基于风险的方法。

a)措施

b)监督

c)后台识别(关键/垄断/系统性风险/相互依赖)

NIS 1与NIS 2的必要实体与重要实体部门表

03

必要和重要实体的义务

NIS 2中的新义务

1.登记(第3条(3+4))

2.管理责任(第20条)

3.网络安全风险管理措施(第21条)

4.事故通知(第23条)

1.登记(第3条(3+4))

成员国必须建立范围内所有实体的清单

①公布后27个月内(即2025年3月)

②允许通过自我注册机制

③包括以下方面的信息

·实体的名称

·部门和分部门

·地址和最新的联系信息(电子邮件、IP范围、电话号码)

·实体活跃于的成员国名单

④对于一站式购物者(one-stop shoppers):该信息将被转发到一个安全的ENISA登记处,只有主管当局可以查询(应要求并确保必要的保密性保护)

⑤成员国必须告知委员会每个部门的数量(而不是名称)

2.管理责任(第20条)

必要和重要的管理机构必须:

·批准网络安全风险管理措施

·监督网络安全措施的实施

·对不遵守规定的行为负责(问责制)

·关注网络安全培训

·定期向所有员工提供网络安全培训

3.由会员国决定的安全措施(第21条)

①风险分析与信息系统安全

②事故处理

③业务连续性措施(备份、灾难恢复、危机管理)

④供应链安全

⑤购置、开发和维护方面的安全

⑥评估其他措施的政策

⑦基本的计算机卫生和培训

⑧适当使用密码和加密的策略

⑨人力资源安全

⑩使用多因素、安全的语音/视频/短信通信和安全的紧急通信。

所有措施必须

·与风险、规模、成本以及事件的影响和严重程度相称

·尖端标准或国际标准

·全危险方法

欧盟可以做出:

·协调的风险评估(供应链)

·施加认证义务(授权行为)。

·通过执行法案明确这些措施

对于一站式购物者:在21个月内(2024年10月)实施具体措施,以确保公平竞争环境

04

事故通知要求?

第23条 NIS-1事故通知义务

2019年4月7日的法律建立了对公共安全具有普遍意义的网络和信息系统安全框架(官方出版物,M.B.,2019年5月3日)--2019年5月3日开始生效。

·第24条1 基本服务运营商应毫不拖延地通知所有对其提供的必要服务所依赖的网络和信息系统的可用性、保密性、完整性或真实性有重大影响的事件

·必要和重要实体应毫不迟延地通知对其提供服务有重大影响的任何事件

24小时内需报告:

·早期预警(电话、邮件)+是否推定为恶意的,或跨境的

·(对信托服务提供者的全面通知)

72小时内需报告:

·正式事件通知:事件、严重性和影响的评估+折中的指标

1个月内需报告:

·最终报告

·或中介应要求报告计算机安全事件应急响应小组(CSIRT)

·并在结束后1个月提交最终报告

每3个月一次:比利时网络安全中心(CCB)向欧盟网络安全机构(ENISA)提供事件报告(匿名信息)。

每6个月一次:欧盟网络安全机构(ENISA)做欧盟事件报告

每两年一次:欧盟网络安全机构(ENISA)将就欧盟的网络安全状况做出报告。

·委员会(COM)可以发布实施法案和欧盟网络安全机构(ENISA)指南,说明应该通知哪些信息以及如何通知

·21个月内为一站式购物者实施法案

信息共享-第30条等

NIS-2希望促进一般的信息共享

1.威胁、险情、漏洞、战术可以自愿报告

2.不在范围内的实体也可以自愿报告

·重大事件

·威胁

·未遂事故(Near-misses)

3.国家CSIRT可以提供帮助

4.通过必要和重要实体的社区和(自动化工具)进行更多的分享

(1)各实体应告知其主管部门它们正在参与这种信息共享安排

(2)各地政府应帮助建立此类信息共享机制

5.CSIRT可以跨境共享(尊重受害者)

05

其他重要方面

NIS-2治理的重要方面

1.监管制度

2.管辖权

3.供应链风险管理

4.认证

1.监督:第30、31、32条(和第33-37条)。

当局可以根据风险和现有条件,确定监督的优先次序。

监督和执行--NIS2(第31和32条)

a)对不遵守规定的行为发出警告

b)发布具有约束力的指令

c)责令停止不符合规定的行为

d)命令以特定的方式和在特定的期限内使风险管理措施或报告义务得到遵守

e)为了通知他们所提供的服务或活动有可能受到重大网络威胁影响的自然人或法人

f)责令在合理期限内执行安全审计后提出的建议

g)指定一名监督员,在确定的期限内承担明确的任务,监督遵守情况

h)命令公布不合规的方面

i)除之前的任何措施外,根据第31条规定处以行政罚款

2.NIS 2的管辖权-第26条

本指令下的实体应被视为在其设立地的会员国管辖范围内,但以下情况除外:

(a)在其提供服务的成员国的管辖范围内:公共电子通信网络提供者或电子通信服务提供者

(b)根据其在欧盟中的主要机构所在的成员国:DNS服务提供商、TLD名称注册机构和为TLD提供域名注册服务的实体、云计算服务提供商、数据中心服务提供商、内容交付网络提供商、管理服务提供商和管理安全服务提供商以及数字提供商

(c)设立这些机构的成员国:公共行政实体

主要机构

·关于措施的网络安全决定主要是在哪里作出的

·或者,在开展网络安全行动的地方

·或者,雇员人数最多的地方

一站式购物的主要机构→ENISA 注册处(第27条)

·如果范围内的实体在欧盟内没有主要机构,但在欧盟提供服务,他们应在一个成员国指定一个代表处

·会员国有义务在被要求进行监督时相互协助——第37条

3.供应链安全

(1)合同协议(安全措施的义务部分)——第21条

(2)联盟层面协调对关键供应链的安全风险评估(如5G)——第22条

(3)认证——第25条

(4)将某些供应链部门加入范围或确定经营者

(5)网络弹性法案(拟议法规,预计2025年出台)

4.认证(第24和25条)

·成员国可以要求必要或重要实体使用经认证的产品、服务或流程

·来自《网络安全法》框架

·为了证明符合NIS-2的要求

·鼓励使用合格的信托服务提供者

·委员会可以通过授权法案以:

·规定哪些类别的必要和重要实体

·被要求使用经认证的产品

·应获得证书

·仅CSA计划

·在通过之前必须进行影响评估(保证服务的连续性)

·可以专门制定新的计划

06

欧盟方法的创新

关键创新

·大规模的危机管理

·欧盟网络危机联络组织网络——欧盟网络危机联络组织(EU-CyCLONe)(第16条)

·国家危机管理框架——第九条

·成员国之间的同行审查——第十九条

·关于欧盟网络安全状况的两年期报告(ENISA)——第18条

·国家战略中的新概念——第七条

·关于主动网络保护的政策

·积极主动、量身定制、自动化和参与式的方法

·重点关注:必要和重要实体-公民意识政策-供应链战略-中小企业战略-政府采购规则

·协调漏洞披露——第12条

·国家政策;CSIRT作为可信的中介机构+欧盟数据库(ENISA)

/ 议程第二部分 /

可管理和有效的NIS安全措施

1.介绍:NIS 2 vs.NIS 1

2.NIS 2范围和注册

3.安全措施

4.事故通知

5.监管

01

NIS 1与NIS 2指令

NIS 1指南vs.NIS 2指南

02

NIS 2的范围与注册

1.NIS 2的范围-附件I和II

·额外的部门

·额外的实体(+2500)

·“被动选择”=根据网络信息系统指令NISD标准

·“主动选择”是一个例外过程(用于“升级”)

挑战:

·需要一个注册机制吗?

·需要采取区别对待的方法

·确保与NIS1的连续性/兼容性

·有能力处理急剧增加的工作量

·风险管理和安保措施

·事故报告

·监督和制裁

2.NIS2范围:实施办法

(图5:重要实体vs.必要实体vs.关键实体)

必要:如NIS2指令所定义,有一个子类别是《关键-必要实体》:

·网络事件对社会的风险/影响较高的实体

·与CER的关系

·关键基础设施和未来的CER实体(至少)是必要的(第2.3条j°3.1.(f)NISD)→默认为《关键-必要》;

重要:根据NIS 2指令的定义

3.NIS2的范围--注册

(图6&图7:注册示例截图)

拥有公司登记册KBO/BCE号码的组织的代表可以

·访问Safeonweb@work

·登记详细的联系方式和网络信息

·注册为NIS实体

·表示活动部门

(图8:注册成功截图)

注册后,你可以注册使用CCB的服务,例如

·网络威胁警报(类似于预警系统EWS)。

·快速扫描报告(漏洞扫描)

03

NIS 2 安全措施

1.NIS2安全措施:原则

NIS 1 基本服务运营商OES的延续性

与NIS2的范围扩展不应影响NIS1的OES。

着重于意识和培训、(技术)安全措施和治理

多标准框架,国际参考

与商业界使用的标准相联系的要求

指导意见

比例要求

嵌入所有(比利时)实体的框架中,包括NIS实体

能够确定每个实体的增长路径

比例保证

自我评估、内部/外部审计和/或认证

最大限度地减少行政负担

2.NIS2安全措施--CCB网络基本原理框架(输入)

NIS 2 对不同类别实体的职能表

商业环境类别ID.BE子类别表

通过CCB认证适应比利时与欧盟环境

基于NIST CSF 配置文件的保证级别和要求,适应欧盟和比利时的情况。

·基础:中小企业概况

·重要:关键基础设施的基础

·必要:对关键基础设施非常重要的。

ANSSI(法国国家网络安全局)-BASIC出版物:(工作场所的计算机卫生v0.1)。

·与CCB网络基本原理框架的基础级别95%相匹配。

·5%的要求包含在CCB框架的更高保证级别中

CERT攻击概要(成功攻击的修改)

·82%由基础级别的要求所覆盖

·12%由重要级别的要求所覆盖

·6%由必要级别的要求覆盖

3.NIS 2安全措施:实施

NIS 1 基本服务运营商OES的延续性

在ISO27001认证的情况下,推定的符合性对所有NIS实体仍然有效。

着重于意识和培训、(技术)安全措施和治理

特别注意对关键-必要实体的治理:信息安全管理系统ISMS的要求

多标准框架,国际参考

要求附有指导和参考国际标准

额外的文档、最佳实践、建议等会(逐步)载于比利时网络安全中心CCB网络指南内

比例要求

为重要和必要的实体提供一套不同的建议控制措施

部门主管部门有能力在(横向)框架中增加纵向要求

比例保证

重要的实体:对CF“重要”措施进行自我评估→由经认可的合格评定机构CAB(CLAIM)对关键控制进行验证

必要实体:对CF“必要”措施进行自我评估→由经认可的合格评定机构CAB(CERTIFICATE)进行认证

关键-必要实体:由部门主管部门检查(和/或由认可的合格评定机构CAB认证)

04

NIS 2事件报告

(图9:事件报告示例截图)

事件报告的选择

·NIS1平台(TBC)

·通过门户/邮件在cert.be上填写事件表格

05

NIS 2监管

·由CCB为重要和必要实体提供

·由关键-必要实体的主管部门提供(继续适用原NIS 1)。

编译:翁艺恬,网络法理论与实务前沿编辑

审核:张旭阳,网络法理论与实务执行主编

编辑:张佳瑶,网络法理论与实务前沿编辑

指导教师:张欣,对外经济贸易大学数字经济与法律创新研究中心执行主任

声明:本文来自网络法理论与实务前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。