圖片來源: 

© European Union 2019 – Source:EP

歐洲議會與歐盟會員國上周五(5/13)就歐盟執委會(European Commission,EC)於2020年提出的《網路暨資訊系統安全》(Security of Network and Information Systems)修訂指令(NIS 2 Directive)達成共識,將擴大現有NIS Directive的範圍,提高網路安全風險管理措施與報告義務的標準。

歐盟於2016年實施的NIS Directive要求仰賴資訊與通訊技術的基礎服務重視資安問題,包括能源、運輸、水力、金融、健康醫療與數位基礎建設等領域,業者必須採取適當的安全措施,並在發生重大資安事件時通報有關單位。

而NIS 2 Directive則是擴大了該指令的所適用的類別與規模,不管是中央或地方的電子通訊服務供應商、數位服務業者、廢水或廢棄物管理業者、重要產品的製造商、郵政及快遞服務,或是公共行政單位,都必須遵循該指令。此外,有鑑於COVID-19疫情來襲時,健康醫療領域成為駭客的攻擊目標,使得NIS 2 Directive更廣泛地納入該領域,包括醫療裝置製造商在內。

EC表示,新規定擴大了覆蓋的範圍,相信將能更有效地推動更多實體與部門採取安全風險管理措施。

除了擴大覆蓋範圍之外,NIS 2 Directive亦提高對資安的要求,包括解決供應鏈及與供應商之間的安全問題,同時對於那些未遵守網路安全義務的行為,向高階管理人員究責。

相較於NIS Directive,修訂版簡化了報告義務,導入更嚴格的監督措施與執法要求,以協調歐盟會員國之間的制裁制度,有助於強化各國與歐盟於網路危機管理上的資訊共享與合作。

在由歐盟成員國組成的歐盟高峰會(European Council)及歐洲議會達成政治上的共識之後,雙方將會正式通過該指令並公布於歐盟官方公報(Official Journal)上,在公布的20天後生效,會員國則必須在21個月內將該指令轉為國家法令。

熱門新聞

Advertisement