网络和信息系统指令 ( NIS2 ) 将于 2024 年 10 月生效，旨在提高欧盟 (EU) 的网络弹性。

不过，其影响可能会更广泛，带来更严格的流程和控制，并重新定义我们向被视为国家关键的组织提供服务的方式。

该强制性指令将具有效力，对不遵守规定的业务人员和董事会高级人员将进行严厉处罚，他们可以被直接追究责任，并防止今后担任类似职位。

它还旨在增加成员国之间的情报共享并增强供应链安全。后一项措施将使该指令产生全球影响。

NIS2 的范围比其前身要广泛得多：现在涵盖了被认为在成员国中具有重要或必要作用的所有企业（包括小型和微型企业）。

然而，那些在其管辖范围之外的人可能会发现自己必须遵守协会的规定，包括那些在欧盟以外向欧盟提供服务的人。

供应商将被卷入其中

根据第 21 条，组织必须采取网络安全风险措施，第 21(2)(d) 条专门针对供应链安全。它详细说明了进行内部和协调风险评估的必要性，以确定特定于供应商、服务提供商及其网络安全解决方案和流程的漏洞。因此，向欧盟境内的重要或必需企业销售关键运营产品或服务的非欧盟提供商将在范围之内。

我们可以期望买方和提供商将这些风险评估以及与 NIS2 相关的其他要素（例如事件报告程序）纳入未来的合同中。存在严格的报告义务，在违规行为发生后立即发出强制预警，并且必须在 24 小时内向有关当局通报。72 小时后需要提交完整的通知报告，一个月后提交最终报告。

然而，实施额外措施的成本可能会很高，有报告表明，对于那些以前不受 NIS1 约束的企业，合规成本可能会上升 22%。那么，必须为满足 NIS2 要求做好准备的组织如何控制支出呢？

通过其他标准实现合规性

首先，虽然 NIS2 范围广泛，涵盖风险管理、网络安全最佳实践和业务连续性/灾难恢复 (BC/DR) 要素，但它还包括多项要求，例如可以启用 ISMS（信息安全管理系统）的要求。组织遵守其他标准。

大多数要求可以映射到网络安全和风险标准 ISO27001，其余要求可以映射到 BC/DR 标准 ISO22301。同时，拥有IT/OT环境的也可以使用IEC62433等。同样重要的是要注意，如果已经在网络安全或事件响应方面遵守 DORA 或 PSD2 等欧盟法律法案，则该裁决优先，因此无需重复工作。

同样，许多控制也可以使用现有系统来执行，而无需重新发明轮子。安全和事件事件管理 (SIEM) 是先决条件，例如，提供集中式日志管理以及检测和响应事件的能力。那些没有部署下一代 SIEM 的企业可以选择通过托管安全服务提供商 (MSSP) 外包此功能。

确定所需内容需要根据当前已有的安全措施仔细检查 NIS2 的要求，进行差距分析，并且某些领域需要额外的工作。

例如，从技术角度来看，密码学和加密本身就是 NIS2 的重点，而不是与特定控制相关。从战略上讲，也更加强调高级管理层在整个企业中带头提高风险意识的作用。此外，由于 NIS2 部分是基于风险的法规，因此需要持续进行评估，就像 ISO27001 一样。

为什么需要 NIS2

NIS2 无疑是一个重要的转折点，也是对国家利益日益增长的网络威胁的回应。我们看到俄罗斯利用乌克兰作为测试网络武器的网络靶场，民族国家发起的攻击也在不断增加，目前大多数 APT 都是由俄罗斯、伊朗或朝鲜发起的。

与此同时，联邦调查局 (FBI) 9 月份警告称，能源价格波动很可能导致美国关键国家基础设施遭受的攻击增加，这揭示了市场之间的相互依赖程度。

那么，鉴于NIS2是时代的标志，它有可能被其他地方采用吗？在继续遵守 NIS1 的英国，人们认为 NIS2 不太可能被逐字采用，尽管已经
进行了修订，例如扩展法规以包括托管服务提供商 (MSP)，以帮助保护他们所服务的关键业务。尽管如此，英国政府还赋予自己未来修改 NIS 法规的权力，以确保其仍然有效。

我们可以看到 NIS2 成为开拓者，就像 GDPR 是数据保护法规一样，为各国提供了如何保护对其经济至关重要的组织的蓝图。该指令在安全方面设定了更高的标准，有效地创建了新的最低基线和更快的响应报告，这将使网络攻击更难以严重影响国家的功能。这是一项雄心勃勃的事业，将产生广泛的影响，不仅仅是对欧盟内部的影响。

NIS 2 Directive