作為歐盟網路安全管理規定法律化首要部分的《網路與資訊系統安全指令》,在2016年正式公布實施,其全名為Security of Network and Information Systems,簡稱NIS Directive,到了2020年底,為因應日益嚴重的網路威脅,歐盟執行委員會(European Commission,EC)提出修正提案NIS 2 Directive,目的是增修NIS指令以適應當前與未來需求,符合後Covid 19時代與5G時代的網路安全局勢,同時對外公開徵求意見。

如今,這項提案已有共識。今年5月13日,歐洲議會與歐盟會員國就NIS 2 Directive達成共識,將擴大現有NIS Directive的範圍,提高網路安全風險管理措施,以及報告義務的標準。

在2022年5月13日,歐盟成員國與歐盟執委會在臨時議會中,針對修訂網路與資訊系統安全指令NIS 2 Directive進行研議。(圖片來源/Europe2022FR)

因應威脅加劇,新版修訂將擴大法令涵蓋範圍

基本上,NIS Directive對歐盟而言,是網路與資訊安全的第一部立法,目標是加強整個歐盟的網路安全,當中除了成員國建立電腦安全事件因應小組(CSIRT),以及建立成員國合作交流合作小組,同時,歐盟成員國必須要求監管各國關鍵基礎建設與服務,重視資安問題,當中包括:能源、運輸、水力、金融、健康醫療與數位基礎建設等領域,要求這些業者必須採取適當的安全措施,並在發生重大資安事件時通報有關單位。

根據歐盟執委會的說明,儘管NIS Directive的實施多年來已有成果,為許多成員國在網路安全的思維、制度與監管方法上,帶來了重大的轉變,然而,實施至今也顯現出它的局限性。這是因為,隨著COVID-19危機及加速數位轉型,同時也擴大了網路威脅風險,並帶來新的挑戰,因此需要新的應對措施。畢竟,任何服務中斷事件,即使最初影響僅限於單一實體,或是單一部門,都可能衍生更廣泛的連鎖效應,對整個歐盟內部市場的服務交付,產生深遠且持久的負面影響。

因此,為了應對日益嚴峻的網路威脅,現在將推出的NIS 2 Directive,涵蓋更多對經濟與社會至關重要的中大型產業,具體而言,不論是中央或地方政府機關的電子通訊服務供應商、數位服務業者,以及廢水或廢棄物管理業者、重要產品的製造商、郵政及快遞服務,或是公共行政單位,都必須遵循該指令。而且,在Covid-19影響下,網路威脅程度日益強烈,對於醫療健康領域的業者,現在也更廣泛納入醫療裝置製造商。

整體而言,新規則涵蓋範圍更擴大,可迫使更多實體與部門採取網路安全風險管理措施,將有助於提高歐洲的中長期網路安全水準。

將導入更嚴格的監督措施,並強化供應鏈、5G網路安全

在擴大整體覆蓋範圍之外,NIS 2 Directive亦提高對企業資安的要求。例如,解決供應鏈及與供應商之間的安全問題。

同時,歐盟成員國將與委員會及ENISA合作,將在歐盟委員會對於5G網路安全的方法基礎上,對關鍵供應鏈進行協調的風險評估。

不僅如此,對於那些未遵守網路安全義務的行為,將向高階管理人員究責,而且,在這次的修訂中,除簡化報告義務,並導入更嚴格的監督措施與執法要求,以協調歐盟會員國之間的制裁制度,有助於強化各國與歐盟於網路危機管理上的資訊共享與合作。

至於新版修訂的實施時程,歐盟委員會也已經公布接下來的行動,簡單而言,預計將在歐盟高峰會(European Council)及歐洲議會達成政治上的共識,得到兩位聯合立法者的批准後,就會正式通過NIS 2 Directive這項指令,並公布於歐盟官方公報(Official Journal),而在新版指令公布的20天後即為生效日,屆時,成員國必須在21個月內,將該指令轉化為國家法令。

NIS 2 Directive自2020年12月提出,到了今年5月13日,歐洲執行委員會發布達成共識即將批准的消息。

熱門新聞

Advertisement