欧盟网络安全局发布NIS 2安全措施技术实施指南征求意见稿
NIS2是新的欧盟范围内网络安全立法,欧盟成员国需在2024年10月17日前将其转化为本国法律。NIS2旨在实现欧洲高水平的网络安全,并重点关注提高欧盟关键部门的韧性。ENISA制作了NIS2解说视频和多个信息图,涵盖了有关NIS2的全部内容、主要概念和新机制。
2024年11月7日,欧盟网络安全局(ENISA)发布了《NIS 2 安全措施实施指南(征求意见稿)》,以帮助欧盟成员国和相关实体实施《网络信息安全指令2》(NIS2)网络安全风险管理措施的技术和方法要求。该指南是在对欧盟委员会于10月17日通过的第2024/2690号实施条例所做的技术指南。ENISA开发此技术指导的目的在于:提供实施要求时需要考虑的额外建议和提示,以及对法律文本中使用的概念和术语的进一步解释;给出证据示例,用于评估是否满足某项要求;列出表格,将实施条例中的安全要求与欧洲和国际标准以及国家框架进行映射。
NIS2是新的欧盟范围内网络安全立法,欧盟成员国需在2024年10月17日前将其转化为本国法律。NIS2旨在实现欧洲高水平的网络安全,并重点关注提高欧盟关键部门的韧性。ENISA制作了NIS2解说视频和多个信息图,涵盖了有关NIS2的全部内容、主要概念和新机制。
2024年10月17日,欧洲委员会通过了NIS2指令下的实施规则,为域名系统(DNS)服务提供商、顶级域名(TLD)注册机构、云计算服务提供商、数据中心服务提供商、内容分发网络(CDN)提供商、托管服务提供商(MSP)、托管安全服务提供商(MSSP)、在线市场提供商、在线搜索引擎提供商、社交网络服务平台提供商以及可信服务提供商等数字基础设施和数字服务领域的特定实体,详细规定了NIS2指令的网络安全风险管理措施的技术和方法要求。
ENISA制定此技术指南,旨在通过落实新法规的技术和方法要求来支持相关实体。该实施指南由ENISA和网络信息安全合作小组(NIS CG)的网络安全风险与漏洞管理工作流联合开发,同时与网络信息安全合作小组的数字服务提供商和数字基础设施工作流,以及与ENISA的欧洲信任服务主管机构专家组(ECATS)和欧洲安全电子通信主管机构(ECASEC)合作完成。它是2024年6月至10月中旬咨询的结果。此次指南的征求意见截止到2024年12月9日。
ENISA的指南文件为相关实体提供了关于网络安全风险管理措施的技术和方法要求的非约束性指南。除受法规约束的相关实体外,该指南还可能为其他公共或私人主体在改善其网络安全时提供有关NIS2指令网络安全风险管理措施的技术和方法要求的指示,这对他们而言可能有所助益。
每项技术和方法要求均包含三个要素:指南、证据示例和提示。该指南具有建议性质,包含在实施技术和方法要求或进一步解释法律文本中的概念时应考虑的参数的指示性和可操作性建议。证据示例是表明技术和方法要求已到位的指示性证据类型。在某些技术和方法要求中,还为实体提供了额外的一般提示以供其进一步考虑。
该文件还包括一个映射表,将每项要求与欧洲和国际标准或框架(ISO/IEC 27001:2022、ISO/IEC 27002:20224、NIST Cybersecurity Framework 2.0、ETSI EN 319 401 V2.2.1 (2018-04)、CEN/TS 18026:2024)以及国家框架相关联。
该映射不应被解释为不同标准或框架之间的等效性衡量标准。它指的是这些标准或框架中的相关要求,而不评估这些要求是否完全覆盖了法规的要求。网络安全标准或框架通常解决相同的网络安全问题,但使用的语言、结构或具体程度或细节水平不同。了解这些关系可能有助于相关实体使用和整合多个标准或框架,以保持合规性、减少重复并简化审计。受法规约束的实体可以使用国家框架、指南或其他与法规要求等效的机制来向国家主管机构证明其合规性。
根据国家框架,由相关认可的合格评定机构或由国家主管机构授权的独立审计机构按照国家框架、指南或其他与网络安全风险管理措施的技术和方法要求等效的机制进行评估,可作为符合实施法规要求的证明。为保持当前指南的最新性,成员国可向ENISA通报现有的等效国家框架、指南或其他机制。
ENISA指南还指出,相关实体应建立和维护适当的风险管理框架,以识别并应对网络和信息系统所面临的风险。相关实体应进行并记录风险评估,并根据评估结果建立、实施和监测风险处理计划。风险评估结果和剩余风险应由管理机构或(如适用)由负责并有权管理风险的人员接受,前提是相关实体确保向管理机构提供充分报告。
该文件还详细说明了相关实体应建立并实施事件处理政策,其中规定检测、分析、遏制或响应、恢复、记录和及时报告事件的角色、职责和程序。相关实体应制定程序并使用工具来监控和记录其网络和信息系统上的活动,以检测可能被视为事件的情况并相应地作出响应以减轻影响;并建立一种简单机制,允许其员工、供应商和客户报告可疑事件。
该文件补充说,相关实体应制定并维护业务连续性和灾难恢复计划,以便在发生事件时应用;保存数据的备份副本,并提供足够的可用资源,包括设施、网络和信息系统以及人员,以确保适当的冗余水平,并制定危机管理流程。
在供应链安全方面,ENISA文件指出,相关实体应建立、实施和应用供应链安全政策,以管理与其直接供应商和服务提供商的关系,从而减轻对网络和信息系统安全已识别的风险。在供应链安全政策中,相关实体应明确其在供应链中的角色,并将其传达给其直接供应商和服务提供商。
在人力资源安全方面,ENISA技术指南指出,相关实体应确保其员工以及(如适用)直接供应商和服务提供商了解、展示并承诺履行其安全职责,这需与其提供的服务和职位相称,并符合相关实体关于网络和信息系统安全的政策。
关于访问控制,ENISA呼吁相关实体根据其业务需求以及网络和信息系统的安全要求,为访问其网络和信息系统建立、记录和实施逻辑和物理访问控制政策。相关实体应定期审查并(如适当)更新这些政策,特别是在发生重大事件或业务运营或风险发生重大变化时。
此外,相关实体应基于访问限制和访问控制政策实施安全的身份验证程序和技术。
在资产管理方面,ENISA在其技术指南中指出,相关实体应为其网络和信息系统范围内的所有资产(包括信息)规定保护所需的分类级别。相关实体应定期对资产分类级别进行审查并根据需要进行更新;并制定、实施和应用一项政策,以在其网络和信息安全政策下妥善处理资产(包括信息),并将妥善处理资产的政策传达给任何使用或处理资产的人员。
ENISA呼吁相关实体开发并保持其资产的完整、准确、最新和一致的清单。他们应以可追溯的方式记录清单条目中的变更,定期审查和更新清单及其资产,并记录变更历史。
本指导文件涵盖以下主题:
-
网络和信息系统安全政策
-
风险管理政策
-
事件处理
-
事件处理政策
-
监控和日志记录
-
事件报告
-
事件评估和分类
-
事件响应
-
事后审查
-
业务连续性和危机管理
-
供应链安全
-
网络和信息系统安全
-
采购、开发和维护
-
配置管理
-
变更管理、维修和维护
-
安全测试
-
安全补丁管理
-
网络安全
-
网络分段
-
防范恶意和未经授权的软件
-
漏洞处理和披露
-
评估网络安全风险管理措施有效性的政策和程序
-
基本网络卫生实践和安全培训
-
加密技术
-
人力资源安全
-
人力资源安全
-
背景核查
-
雇佣关系变更或终止程序
-
纪律处分流程
-
访问控制
-
访问控制政策
-
访问权限管理
-
特权账户和系统管理账户
-
资产管理
-
资产分类
-
资产处理
-
可移动媒体政策
-
资产清单
-
离职时资产归还、退还或删除
-
环境和物理安全
附录
0赞好文章,需要你的鼓励
推荐文章
随着AI的使用、创新和监管混乱超过认可的标准,IT领导者只能开发内部方法来减轻AI风险,依靠框架、工具和他们的同事来正确使用AI。
几年前,当澳大利亚红十字会(Australian Red Cross)这个社区服务慈善机构开始进行数字化转型的时候,发现有很多不同的系统无法协同工作。如今,经过数据梳理和发挥作用,可以满足不断变化的需求。
在此次活动中,IBM展示了最先进的IBM Quantum Heron计算机是如何以比以前更高的精度和速度执行复杂的量子算法,同时为进行高级分子模拟的新方法铺平了道路。
想象一下,一个人工智能系统不仅能阅读文本或识别图像,还能够同时读、写、看、听和创造。这其实就是多模态人工智能的精髓。这些先进的多模态人工智能系统可以同时处理和整合多种形式的数据,包括文本、图像、音频甚至视频。这就像是赋予了人工智能一整套的感官。
/
0赞
京公网安备 11010802021500号 京网文(2021)3350-928号 京字第20868号
