新闻快讯
< >

欧盟关键信息基础设施之NIS指令

E安全1月8日讯 2017年,关于欧盟“数据保护条例GDPR”热议之声在网络安全领域达到峰值,使得关于GDPR的讨论甚至盖过了另一项同样重要的欧盟相关法令的风头——欧盟“网络与信息安全(NIS)指令”

2018年将成为NIS指令正式生效的元年,网络安全业界将借助此项新的网络安全立法把握新的机遇。

欧盟NIS指令细节

NIS指令属于欧盟网络安全立法中的第一部分,该指令要求到2018年5月9日,全部欧盟成员国都必须将其纳入本国法律当中。对于网络安全行业来说,NIS应该比GDPR获得更多的关注。

2018年:NIS指令之年-E安全

NIS指令核心保护关键信息基础设施

NIS指令更侧重于保护社会进展的一大核心因素:关键信息基础设施。NIS指令的目标在于立足三个方面改善关键信息基础设施水平:

1. 各欧盟成员国国家网络安全能力(例如其必须拥有国家级CSIRT并执行网络演习等等)。

2. 欧盟各成员国之间需要跨境合作(例如欧盟CSIRT运营网络、NIS战略合作组织等)。

3. 对各关键性部门(包括能源、运输、水资源、卫生以及金融等)以及关键性数字化服务供应商(包括互联网交换点以及域名系统等)的运营实施国家级网络安全监管。

您可以通过以下清单中了解更多与该项指令相关的信息。以下内容摘自ENISA海报中的概述部分。

2018年:NIS指令之年-E安全

2017年发生的一切已经再次强调了这个议题的重要性。就在去年春季,WannaCry导致英国各地多家医院陷入瘫痪,并持续影响到欧盟各国的多个组织机构——其中包括FedEx以及Deutsche Bahn等多家大型企业。不久之后,NotPetya的肆虐又导致一家乌克兰核电站以及TNT与马士基等欧盟运输公司的正常运营受到影响。2017年夏季,由于心脏起搏器当中发现软件漏洞,50万名病人接到通知需要返回医院进行问题排查。而这些,还只是安全行业人员在处理网络安全工作当中所面临的问题中的一小部分。

欧盟部分国家政策动向

不少欧盟国家已经解决了其中一部分难题,一部分欧盟国家已经拥有自己的国家级CSIRT并开始参与网络演习,同时亦制定出用于保护关键信息基础设施的国家性法律。但2018年对于欧洲区域内的网络安全事务而言仍是充满希望与挑战的一年,而全球网络安全专业人士皆应为此做好准备。

各国政府当局与关键服务运营商不得不开展合作,并启动一套全新的监督机制——而这也是此类机制第一次跨越不同部门甚至不同国界实现广泛性覆盖。

需要注意的是,不少欧盟国家抢在5月9日之前就已经开始将NIS指令纳入国家法律当中。举例来说,荷兰早在2017年就已经通过了面向关键行业的强制性违规报告法,并于2018年1月1日正式实施。

NIS指令或为部分运营商的机遇


NIS指令的出台亦是一种机遇,意味着不少关键服务运营商能够借此进一步提升自身弹性水平。该项指令的助益之一,在于其属于跨部门且跨国界的法令,因此为网络安全问题的解决带来了全新的可能性。

举例来说,几年之前银行机构曾遭遇多起特定类型的DDoS攻击事件。对于银行企业而言,这无疑是一种无妄之灾——因为大多数电信运营商根本不打算想办法过滤掉不必要的(欺骗性)流量。NIS指令则提供一套框架,要求各部门及行业的监管机构进行讨论,同时立足事件概率及影响数字思考解决办法。如此一来,相关各方将能够更轻松地决定如何高效解决某一问题(例如银行是否应该投入更多资源以建立DDoS保护能力,或者电信服务供应商是否应使用更好的过滤机制以降低保护成本)。

2018年:NIS指令之年-E安全

增加跨行业依赖关系

随着网络安全问题的影响逐步升级,不同关键部门之间开始出现循环性质的依赖关系。例如,能源企业越来越依赖于电信基础设施与数字化服务来保障自身运营,而这些服务又依赖于电网体系。尽管电池或柴油发电机能够应对暂时性的电力供应中断,但在大规模停电期间,电池与燃料终将耗尽。一旦某家电厂陷入中断,其余的电网也可能变得不够稳定。

此外,欧盟某一国的停电事故也可能迅速影响到其它国家。为了避免这种级联效应,有必要优先向承载有重要信息的数据中心及电信站点派遣燃料供应车辆。这意味着第三方关键部门(运输部门)需要在其中发挥作用,而其同样越来越依赖于电信与数字化服务。

NIS指令存在缺陷


与任何其它立法一样,NIS指令同样存在一定缺陷。不过此项指令对于在网络弹性层面取得实际成果以及真正的改善确实非常重要。

由于各个部门都面临着不同的实际问题,因此无法在理论上以一刀切方式发布解决办法。对于网络安全成熟度较低的行业,监管机构需要帮助相关组织实施网络安全基础性实践,例如修复漏洞。而对于网络安全成熟度较高的其它行业,例如金融或电信行业,其它举措的意义则更为重大。对于任何一个具体部门,最重要的是利用欧盟范围内各个国家以及ISAC(即信息共享与分析中心)资源,从而确保参与各方自愿交换网络安全信息并在公私合作伙伴之间建立经验交流通道。

事件报告存在阻碍

在事件报告方面,各方应避免不必要的手续以及所谓事件报告目的问题,即仅收集与事件相关的信息却很难加以实际利用。在某些情况下,关键信息基础设施运营商可能会深入了解具体情况,但监管机构却对事件不太感兴趣——反之亦然。

值得注意的是,ISAC中的信息共享机制与各国家主管部门所提出的强制性违规报告法令中的信息共享要求存在显著区别。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。