對於國際資安態勢,在今年2024臺灣資安大會上,荷蘭資安三角洲(HSD)基金會總監Joris den Bruinen不只在主題演說中,闡釋了荷蘭如何應對網路安全新興威脅,同時他也介紹近年歐洲資安立法的態勢。

事實上,在歐盟層面,過去10年在數位領域已出現許多重要立法,大家最熟悉的莫過於多年前的GDPR,而如今還有人工智慧法案、網路韌性法正推動上路,持續引發國內企業與產業的關注。

這次Joris den Bruinen介紹3項應對資安威脅的最新重要立法,讓大家可以有基本的認識。

NIS 2(Network and Information Security Directive 2)

例如,2022年底發布的歐洲第二版資安指令NIS 2,我們先前曾經多次報導,Joris對此有更深入的說明,他指出,這個NIS 2將在今年10月18日成為強制性指令,所有成員國都要依循並完成立法,這將是一個新的重大里程碑。

原因在於,NIS 1主要針對關鍵基礎設施,因此它在荷蘭的定義非常狹隘,主要是政府、銀行、能源部門,而NIS 2的定義不再狹窄,而是擴及更廣泛的重要中大型產業。Joris表示,荷蘭大約有6千個組織,包括食品、物流與高科技產業,都將納入規範。

換言之,我們保護的對象已從「關鍵」擴大至「必要」。

而且,NIS 2還帶來一個不同於過往的意義:現在是要董事會負責並承擔責任,不再是IT單位、資安長(CISO)的事。配套上也會成立監管機構,一旦沒有即時通報,或是未盡該有防護之責,將會面對罰則。而且,董事會不僅是對自身組織負責,也要對整個供應鏈負責。

DORA(Digital Operational Resilience Act)

針對金融領域,在2022年底歐盟還有通過數位營運韌性法案(DORA),我國金管會在兩年前曾表示,這是推動災害應變復原運作機制落實的一項重要參考

這項法案將在2025年1月17日前生效,Joris指出,這項法案針對金融實體、服務提供者及ICT提供者而來,在此立法下將有更嚴格的規範,以應對更多風險,並界定更多責任。

CRA(Cyber Resilience Act)

在關注企業組織之餘,Joris表示,我們也要讓產品與服務更加安全,做到Secure by Design,而網路韌性法(CRA)就是針對所有軟硬體數位產品的基本資安要求而來,不論路由器、防火牆,實體、網路系統到物聯網產品等,都在規範之內。目前草案已在通過發布的最後階段。

換言之,未來有了這項立法,產品、服務的提供者都將在這項立法下承擔責任。

此外,還有2019年網路安全法案(Cyber Security Act)授權給歐盟網路安全局(ENISA)更實質的力量,建立網路安全認證框架,並在2023年提出新的修正,要擴及更多領域。

整體而言,Joris強調,這些資安規範的基本原則就是風險管理,這是一個很好的出發點,不論是董事會要負責,或是盡到該有的資安防護之責。

對於如何算是做到應盡之責,Joris認為,網路衛生相當重要,在既有資安管理上採取更主動且良好的防護方式,就像維持自身健康一般,幫助組織預防與降低網路攻擊的風險。

而網路衛生這樣的觀念,至今也不斷被強調著,他舉例,今年5月初美國RSA大會上,一位美國官員指出,如果你有良好的網絡衛生,可能95%的問題都會被解決。

熱門新聞

Advertisement