信息來(lái)源:中國(guó)信息產(chǎn)業(yè)網(wǎng)
歐盟層面:
增進(jìn)成員國(guó)間合作與國(guó)際合作
為了增進(jìn)成員國(guó)之間的戰(zhàn)略合作與信息共享,NIS指令要求設(shè)立一個(gè)合作團(tuán)體��,主要發(fā)揮四大作用:制定工作計(jì)劃����;指導(dǎo)網(wǎng)絡(luò)安全相關(guān)工作開(kāi)展;分享網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等信息以及最佳實(shí)踐��;總結(jié)并報(bào)告工作經(jīng)驗(yàn)��。該合作團(tuán)體由成員國(guó)代表���、歐盟委員會(huì)����、歐盟網(wǎng)絡(luò)與信息安全局組成����。此外,NIS指令要求設(shè)立一個(gè)計(jì)算機(jī)安全事故響應(yīng)組�,以促進(jìn)操作層面的合作,同時(shí)加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域的國(guó)際合作��。
成員國(guó)層面:
制定網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略
NIS指令要求各成員國(guó)制定網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略,在其中應(yīng)當(dāng)明確戰(zhàn)略目標(biāo)����、合理政策以及監(jiān)管措施。該戰(zhàn)略應(yīng)當(dāng)包括下列內(nèi)容:戰(zhàn)略目標(biāo)和重點(diǎn)工作�����;實(shí)現(xiàn)這些目標(biāo)和重點(diǎn)工作的治理框架��,包括政府機(jī)構(gòu)以及其他相關(guān)參與者的角色和責(zé)任����;明確相關(guān)的應(yīng)對(duì)、防范以及恢復(fù)措施�����,包括政府機(jī)構(gòu)與私營(yíng)部門之間的合作�����;與網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略有關(guān)的教育以及意識(shí)增強(qiáng)�����、培養(yǎng)項(xiàng)目���;與網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略有關(guān)的研究與發(fā)展計(jì)劃����;相關(guān)風(fēng)險(xiǎn)評(píng)估計(jì)劃��;實(shí)施網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略的多方參與者��。在具體制度安排方面�����,NIS指令要求成員國(guó)確定至少一個(gè)主管機(jī)構(gòu)�����,負(fù)責(zé)監(jiān)督并實(shí)施NIS指令����;確定至少一個(gè)聯(lián)絡(luò)處,進(jìn)行網(wǎng)絡(luò)安全相關(guān)合作事宜��;確定至少一個(gè)計(jì)算機(jī)安全事故響應(yīng)組(CSIRT)��,負(fù)責(zé)國(guó)家層面的網(wǎng)絡(luò)安全事故監(jiān)測(cè),就網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事故向相關(guān)利益方提供早期預(yù)警�����、警報(bào)��、通知���、信息傳遞等�����,應(yīng)對(duì)網(wǎng)絡(luò)安全事故�,以及提供動(dòng)態(tài)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事故分析�����。
系統(tǒng)層面:
明確網(wǎng)絡(luò)風(fēng)險(xiǎn)管理
NIS指令適用于基礎(chǔ)服務(wù)運(yùn)營(yíng)者的網(wǎng)絡(luò)與信息系統(tǒng)���。根據(jù)NIS指令第4條,網(wǎng)絡(luò)與信息系統(tǒng)包括:2002/21/EC指令中界定的電子通信網(wǎng)絡(luò)��;按照某一程序自動(dòng)化處理數(shù)字?jǐn)?shù)據(jù)的設(shè)備�����、一組關(guān)聯(lián)設(shè)備或者一組相互連接的設(shè)備:對(duì)上述要素進(jìn)行存儲(chǔ)、處理����、檢索或者傳輸?shù)臄?shù)字?jǐn)?shù)據(jù),目的在于運(yùn)作����、使用、保護(hù)以及維護(hù)這些數(shù)據(jù)���。
基礎(chǔ)服務(wù)包括能源�、交通�����、銀行業(yè)�����、金融市場(chǎng)基礎(chǔ)設(shè)施���、健康產(chǎn)業(yè)�����、飲用水供給��、數(shù)字基礎(chǔ)設(shè)施�����。根據(jù)NIS指令第5條���,基礎(chǔ)服務(wù)運(yùn)營(yíng)者的認(rèn)定標(biāo)準(zhǔn)有三個(gè):所提供的服務(wù)對(duì)于重要的社會(huì)��、經(jīng)濟(jì)活動(dòng)是必需的����;該服務(wù)的提供依賴于網(wǎng)絡(luò)與信息系統(tǒng)�;一旦發(fā)生網(wǎng)絡(luò)安全事故,將對(duì)該服務(wù)的提供產(chǎn)生重大的破壞性影響���。
根據(jù)NIS指令第14條�,基礎(chǔ)服務(wù)運(yùn)營(yíng)者需要履行三項(xiàng)義務(wù):第一��,應(yīng)當(dāng)采取適當(dāng)?shù)募夹g(shù)和組織措施管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����,這些措施應(yīng)當(dāng)確保一定程度的網(wǎng)絡(luò)安全;第二���,應(yīng)當(dāng)采取恰當(dāng)?shù)拇胧┓乐?����、削弱網(wǎng)絡(luò)安全事故的影響����;第三����,應(yīng)當(dāng)將具有重大影響的網(wǎng)絡(luò)安全事故通知主管機(jī)構(gòu)。
在確定網(wǎng)絡(luò)安全事故的影響的重大程度時(shí)�,基礎(chǔ)服務(wù)運(yùn)營(yíng)者應(yīng)當(dāng)考慮下列三項(xiàng)因素:受影響的用戶數(shù)量;該事故的持續(xù)時(shí)間���;該事故波及的區(qū)域范圍��。此外����,為了監(jiān)督基礎(chǔ)服務(wù)運(yùn)營(yíng)者履行義務(wù),主管機(jī)構(gòu)可以要求基礎(chǔ)服務(wù)運(yùn)營(yíng)者提供用于評(píng)估網(wǎng)絡(luò)安全的信息���,提供證據(jù)證明其已經(jīng)采取了有效的安全政策���。
NIS指令同時(shí)適用于部分?jǐn)?shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)。這些數(shù)字服務(wù)包括網(wǎng)上市場(chǎng)���、網(wǎng)絡(luò)搜索引擎以及云計(jì)算����。數(shù)字服務(wù)提供者亦需履行三項(xiàng)義務(wù):第一��,數(shù)字服務(wù)提供者應(yīng)當(dāng)采取適當(dāng)?shù)募夹g(shù)和組織措施管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�,所采取的措施應(yīng)當(dāng)確保一定程度的網(wǎng)絡(luò)安全;第二�����,應(yīng)當(dāng)采取措施防止���、削弱網(wǎng)絡(luò)安全事故的影響�����;第三�����,應(yīng)當(dāng)將具有實(shí)質(zhì)影響的網(wǎng)絡(luò)安全事故通知主管機(jī)構(gòu)�。
在確定某個(gè)網(wǎng)絡(luò)安全事故是否具有實(shí)質(zhì)影響時(shí)��,這些數(shù)字服務(wù)提供者應(yīng)當(dāng)考慮下列五項(xiàng)因素:受影響的用戶數(shù)量�����;事故的持續(xù)時(shí)間�;事故波及的區(qū)域范圍;對(duì)所提供的服務(wù)的破壞程度�;對(duì)經(jīng)濟(jì)和社會(huì)活動(dòng)的影響程度。此外�,為了監(jiān)督數(shù)字服務(wù)提供者履行義務(wù),主管機(jī)構(gòu)可以對(duì)未達(dá)到要求的數(shù)字服務(wù)提供者采取措施��,可以要求其提供用于評(píng)估網(wǎng)絡(luò)安全的信息并采取補(bǔ)救措施�����。
