您是否了解歐盟即將于2018年要求各成員國執行的“網絡與信息安全”（簡稱NIS）指令？

如果答案是否定的，您也無需緊張。事實上，近年來一般數據管理條例（簡稱GDPR）提出的紛繁復雜的法規要求確實令很多人，甚至讓安全從業者感到一頭霧水。不過，了解其中的具體要求確實能夠幫助大家更為深刻地理解由此帶來的深遠影響。

今天E安全為您提供十項值得了解的網絡與信息安全指令核心要點，以及其與一般數據管理條例之間的區別所在。

十大網絡信息安全指令核心要點
1、代表一種方向，而非具體規定

為了將其與一般數據管理條例區別開來，很多從業者強調稱，網絡與信息安全指令代表一種方向，而非具體規定。與法規不同，此項指令要求各成員國政府本著指令精神執行自有法律要求。例如，英國當初發布的1998號數據保護法案正是歐洲1995號數據保護指令的直接結果。

2、 英國脫歐不會對此造成影響

英國退出歐盟引發了一系列爭議，而且確實對英國未來的立法活動產生了巨大影響。不過與一般數據管理條例一樣，網絡與信息安全指令同樣將從2018年開始對各成員國產生約束作用，這一時間點早于英國正式退出歐盟的時間，因此盡管存在灰色地帶，但英國政府已表示，其將在預期時間內將網絡與信息安全指令要求納入國內法律。

3. 其目的是什么？

網絡與信息安全指令旨在立足國家層面提升網絡安全能力，同時促使歐盟各成員國之間建立更強大的相關溝通渠道。這意味著各個成員國需要在國家戰略當中通過基礎服務建立網絡與信息系統的高水平安全保障體系。

4. 關注范圍

網絡與信息安全指令的關注范圍小于一般數據管理條例，其主要面向關鍵性垂直行業（亦稱CNI，即關鍵國家基礎設施）。其中具體包括能源、運輸、銀行、金融市場基礎設施、醫療衛生、水資源以及數字化基礎設施等領域。

網絡與信息安全指令將目標組織機構分為兩大類：

基礎服務運營商（簡稱OoES）– 基礎服務運營商將在2018年第四季度之前由各成員國正式確定。具體評判方式包括考量其服務是否直接決定社會/經濟活動的延續性與維持能力，相關服務的具體配置方式由網絡及信息系統決定，而與之相關的安全事件則會對基礎服務的交付造成嚴重的破壞性影響。

數字服務供應商（簡稱DSP）– 數字服務供應商被定義為以遠程方式提供數字服務，且會在基礎服務運營商遭受破壞時引發業務廣泛中斷的個人或者組織機構。具體來講，網絡與信息安全指令在定義中提到了在線市場、云計算服務以及在線搜索引擎等確切方向。

5.安全義務與違規通知

與數據管理條件類似，網絡與信息安全指令亦要求各基礎服務運營商及數字服務供應商采取“最先進的”技術方案，從而管理其網絡與系統安全風險，并向各國家主管部門（簡稱NCA）以及計算機安全事件應急小組（簡稱CSIRT）通報已經發生的重大安全事故。

6.設立國家主管部門

指令要求歐盟各成員國設立一個或者多個國家主管部門（簡稱NCA），由其負責監控國家層級下的國家信息系統應用。在存在多個相關國家主管部門的情況下，各部門將被分配以一項或者多項具體職責，從而實現明確的管轄劃分。無論具體情況如何，各成員國都需要提名一位單點聯系人（簡稱SPoE），其代表國內各主管部門同其它成員國及計算機安全事件應急小組進行聯絡。

7. 計算機安全事件應急小組

計算機安全事件應急小組將負責監控安全事故、提供早期威脅警告并對各類事故作出響應。與國家主管部門一樣，各成員國亦可設立多支應急小組。另外，網絡與信息安全指令要求建立應急小組網絡，且各成員國應急小組必須加入該網絡。這套網絡的職責包括交換安全事故信息，并為各成員國提供跨境安全事故支持。

8. 相對強制性

與一般數據管理條例不同，對于違規方的懲罰舉措可由各成員國靈活掌握。網絡與信息安全指令允許各國家主管部門強制要求各數字服務供應商與基礎服務運營商提供必要信息，旨在對其網絡與信息安全指令執行情況作出評估并及時糾正其錯誤行為。但在處罰方面，成員國可根據自身考量作出決定，包括加以勸阻或者采取更為嚴厲的制裁措施。

9. 區域約束力

各數字服務供應商與基礎服務運營商根據業務所在地進行網絡與信息安全指令管轄區域劃分。如果其并不屬于歐盟或者歐洲經濟區成員國，但在此區域內提供服務，則仍需要遵守指令要求并在歐盟或歐洲經濟區內任命一位代表。

10. 未來展望

網絡與信息安全指令為各成員國制定了明確的進程時間表。根據本報告編寫時的相關資料，該項指令預計將在2018年第二季度被正式納入各成員國法律要求。一旦成為國家法律，各成員國將必須在接下來的六個月當中完成對國內基礎服務運營商的具體判定。

網絡與信息安全指令VS一般數據管理條例

考慮到時間設置以及對于網絡與信息安全系統的關注取向，我們會自然而然地將網絡與信息安全指令同一般數據管理條例進行比較。然而，網絡與信息安全指令在具體約束范圍方面同后者存在顯著區別。

例如，網絡與信息安全指令擁有更為廣泛的系統級防御與風險應對要求，而非關注個人信息及相關收集與處理工作。

當然，網絡與信息安全指令同樣針對具體組織，特別是各類被認定為負責執行或者提供關鍵性服務的組織機構。無論屬于哪種情況，此類組織機構都需要同時遵循二者的相關要求，并在未來24個月這一相當緊張的時間周期之內由合規性官員確保將一切舉措部署到位。

雖然歐洲各國政治勢力的介入會給實施工作帶來諸多阻礙，同時也會顯著提升實施成本，但網絡與信息安全指令的必要性仍然不容質疑。畢竟經歷了英國航空公司的電腦系統因數天無法運作而導致服務被迫中斷，以及英國國家醫療系統（簡稱NHS）由于WannaCry勒索軟件的爆發而影響病患的正常診療等一系列嚴重事件。

當今世界中，強大的軍隊、嚴苛的移民政策以及堅固的隔離墻都已不足以全面保護國家安全。決定一切的，實際是我們日常生活與工作所高度依賴的基礎服務，與之相關的網絡彈性自然有必要成為保護工作的重中之重。

本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的关于欧盟“网络信息安全指令”的十项核心要点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。