信息來源:中國信息產(chǎn)業(yè)網(wǎng)
歐盟層面:
增進成員國間合作與國際合作
為了增進成員國之間的戰(zhàn)略合作與信息共享,NIS指令要求設(shè)立一個合作團體,主要發(fā)揮四大作用:制定工作計劃;指導(dǎo)網(wǎng)絡(luò)安全相關(guān)工作開展;分享網(wǎng)絡(luò)安全風險等信息以及最佳實踐;總結(jié)并報告工作經(jīng)驗。該合作團體由成員國代表、歐盟委員會、歐盟網(wǎng)絡(luò)與信息安全局組成。此外,NIS指令要求設(shè)立一個計算機安全事故響應(yīng)組,以促進操作層面的合作,同時加強網(wǎng)絡(luò)安全領(lǐng)域的國際合作。
成員國層面:
制定網(wǎng)絡(luò)安全國家戰(zhàn)略
NIS指令要求各成員國制定網(wǎng)絡(luò)安全國家戰(zhàn)略,在其中應(yīng)當明確戰(zhàn)略目標、合理政策以及監(jiān)管措施。該戰(zhàn)略應(yīng)當包括下列內(nèi)容:戰(zhàn)略目標和重點工作;實現(xiàn)這些目標和重點工作的治理框架,包括政府機構(gòu)以及其他相關(guān)參與者的角色和責任;明確相關(guān)的應(yīng)對、防范以及恢復(fù)措施,包括政府機構(gòu)與私營部門之間的合作;與網(wǎng)絡(luò)安全國家戰(zhàn)略有關(guān)的教育以及意識增強、培養(yǎng)項目;與網(wǎng)絡(luò)安全國家戰(zhàn)略有關(guān)的研究與發(fā)展計劃;相關(guān)風險評估計劃;實施網(wǎng)絡(luò)安全國家戰(zhàn)略的多方參與者。在具體制度安排方面,NIS指令要求成員國確定至少一個主管機構(gòu),負責監(jiān)督并實施NIS指令;確定至少一個聯(lián)絡(luò)處,進行網(wǎng)絡(luò)安全相關(guān)合作事宜;確定至少一個計算機安全事故響應(yīng)組(CSIRT),負責國家層面的網(wǎng)絡(luò)安全事故監(jiān)測,就網(wǎng)絡(luò)安全風險和事故向相關(guān)利益方提供早期預(yù)警、警報、通知、信息傳遞等,應(yīng)對網(wǎng)絡(luò)安全事故,以及提供動態(tài)的網(wǎng)絡(luò)安全風險和事故分析。
系統(tǒng)層面:
明確網(wǎng)絡(luò)風險管理
NIS指令適用于基礎(chǔ)服務(wù)運營者的網(wǎng)絡(luò)與信息系統(tǒng)。根據(jù)NIS指令第4條,網(wǎng)絡(luò)與信息系統(tǒng)包括:2002/21/EC指令中界定的電子通信網(wǎng)絡(luò);按照某一程序自動化處理數(shù)字數(shù)據(jù)的設(shè)備、一組關(guān)聯(lián)設(shè)備或者一組相互連接的設(shè)備:對上述要素進行存儲、處理、檢索或者傳輸?shù)臄?shù)字數(shù)據(jù),目的在于運作、使用、保護以及維護這些數(shù)據(jù)。
基礎(chǔ)服務(wù)包括能源、交通、銀行業(yè)、金融市場基礎(chǔ)設(shè)施、健康產(chǎn)業(yè)、飲用水供給、數(shù)字基礎(chǔ)設(shè)施。根據(jù)NIS指令第5條,基礎(chǔ)服務(wù)運營者的認定標準有三個:所提供的服務(wù)對于重要的社會、經(jīng)濟活動是必需的;該服務(wù)的提供依賴于網(wǎng)絡(luò)與信息系統(tǒng);一旦發(fā)生網(wǎng)絡(luò)安全事故,將對該服務(wù)的提供產(chǎn)生重大的破壞性影響。
根據(jù)NIS指令第14條,基礎(chǔ)服務(wù)運營者需要履行三項義務(wù):第一,應(yīng)當采取適當?shù)募夹g(shù)和組織措施管理網(wǎng)絡(luò)安全風險,這些措施應(yīng)當確保一定程度的網(wǎng)絡(luò)安全;第二,應(yīng)當采取恰當?shù)拇胧┓乐?、削弱網(wǎng)絡(luò)安全事故的影響;第三,應(yīng)當將具有重大影響的網(wǎng)絡(luò)安全事故通知主管機構(gòu)。
在確定網(wǎng)絡(luò)安全事故的影響的重大程度時,基礎(chǔ)服務(wù)運營者應(yīng)當考慮下列三項因素:受影響的用戶數(shù)量;該事故的持續(xù)時間;該事故波及的區(qū)域范圍。此外,為了監(jiān)督基礎(chǔ)服務(wù)運營者履行義務(wù),主管機構(gòu)可以要求基礎(chǔ)服務(wù)運營者提供用于評估網(wǎng)絡(luò)安全的信息,提供證據(jù)證明其已經(jīng)采取了有效的安全政策。
NIS指令同時適用于部分數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)。這些數(shù)字服務(wù)包括網(wǎng)上市場、網(wǎng)絡(luò)搜索引擎以及云計算。數(shù)字服務(wù)提供者亦需履行三項義務(wù):第一,數(shù)字服務(wù)提供者應(yīng)當采取適當?shù)募夹g(shù)和組織措施管理網(wǎng)絡(luò)安全風險,所采取的措施應(yīng)當確保一定程度的網(wǎng)絡(luò)安全;第二,應(yīng)當采取措施防止、削弱網(wǎng)絡(luò)安全事故的影響;第三,應(yīng)當將具有實質(zhì)影響的網(wǎng)絡(luò)安全事故通知主管機構(gòu)。
在確定某個網(wǎng)絡(luò)安全事故是否具有實質(zhì)影響時,這些數(shù)字服務(wù)提供者應(yīng)當考慮下列五項因素:受影響的用戶數(shù)量;事故的持續(xù)時間;事故波及的區(qū)域范圍;對所提供的服務(wù)的破壞程度;對經(jīng)濟和社會活動的影響程度。此外,為了監(jiān)督數(shù)字服務(wù)提供者履行義務(wù),主管機構(gòu)可以對未達到要求的數(shù)字服務(wù)提供者采取措施,可以要求其提供用于評估網(wǎng)絡(luò)安全的信息并采取補救措施。