《NIS 2 指令深度指南:提升歐盟網路安全標準》
根據歐盟網路安全局(ESAI)的數據,2022 年歐盟境內每起資訊科技事件的平均成本為 20 萬歐元。隨著網路威脅數量每年增長 150%,且每月約發生 280 起勒索軟體攻擊,預計這些成本將持續攀升。 不斷演變的網路威脅態勢,要求歐盟組織具備更強的韌性與更佳的風險意識,進而催生了新的歐盟網路安全法規——《NIS2 指令》。
本文將探討《NIS2 指令》的需求及其對歐盟數位環境的影響。我們也將深入解析 NAKIVO 的解決方案如何協助您在符合 NIS2 規範的環境中保護資料。
什麼是 NIS2?
NIS2 是一項 歐盟《網路與資訊安全指令》第 2022/2555 號 該指令於 2022 年 12 月正式發布,並於 2023 年初生效。NIS2 旨在統一並強化整個歐盟的網路安全。該指令取代了 2016 年生效的先前 NIS1 指令。
不同於《……》等直接適用的法規, 《數位營運韌性法》(DORA)雖然該指令在所有歐盟成員國的適用範圍相同,但各成員國仍須自行將其轉化為國內法律。各成員國須於 2024 年 10 月前通過並公布所有符合《網路安全指令 2》(NIS2)所需的措施。此日期過後,各組織將依法負有遵守該指令的義務。
《NIS2 指令》的目標
《NIS2 指令》旨在提升現行網路安全標準,並為歐盟組織抵禦數位威脅的韌性建立新的基準。
該指令著重於四大主要方面:
- 強化數位安全 透過針對風險管理、企業問責制及業務連續性的新需求。
- 減少歐盟各地在網路安全方面的不一致性 透過擴大該指令的適用範圍,並納入更多產業領域。
- 促進國內及跨境的態勢感知與合作 以有效應對現有的網路安全事件及新興威脅。
- 引入標準化的申報義務 在事件發生期間,以提高透明度並促進協調應對。
《網路與資訊系統安全指令》(NIS)原版與《網路與資訊系統安全指令 2》(NIS 2)的主要差異
儘管《網路與資訊系統安全指令》(NIS1)旨在強化歐盟的網路安全與韌性,但疫情期間及之後的快速數位化進程與不斷演變的威脅,卻暴露了該指令的不足之處,特別是缺乏具體需求,以及在歐盟各國的實施情況不一。
更新版《網路與資訊系統安全指令》的提案於2020年首次發布,其中闡明了擴大適用範圍、提高網路安全標準、新增需求以及採取更統一做法的必要性。
與NIS1相比,新指令:
- 透過新增以下內容,大幅擴展了最初的範圍 更多領域 並根據該組織在該國數位經濟中所扮演的角色,提出一種新的分類方式
- 引入更嚴格的安全與風險管理需求,並 最低安全措施清單 實施
- 執行 業務連續性規劃 若發生重大網路安全事件
- 需要更嚴格的 事件通報
- 確立 違規罰款與更嚴格的執法 措施
- 執行 監管, 包括本地與異地檢查、臨時稽核及安全掃描
- 持有 管理層須為違規行為負責 並允許主管機關要求暫停工作
- 重點 供應鏈安全 作為整體網路安全的重要環節。
歐盟網路安全法規的適用範圍擴大
《NIS2》將《NIS》的適用範圍擴大至原來的兩倍以上。此外,它還將先前"關鍵服務營運商"與"數位服務供應商"之間的區分,改為 必備 以及 重要 根據組織規模和營收門檻劃分的類別。
與《一般資料保護條例》(GDPR)不同,《網路安全指令 2》(NIS2)對適用範圍內的組織設定了更嚴格的標準,因為該指令僅適用於在歐盟境內提供服務或開展活動的實體。例如,若某家跨國企業在歐盟設有子公司,則僅該子公司受《網路安全指令 2》規範。然而,這裡有個關鍵點:由於供應鏈盡職調查的要求更為嚴格,歐盟以外的企業仍可能受到影響。
本指令所涵蓋的部門及實體
《網路與資訊系統安全指令》(NIS2)的適用範圍涵蓋附件 I(可歸類為"關鍵"或"重要"的高度關鍵部門)及附件 II("重要"部門)。
《網路與資訊系統安全指令》(NIS1)的適用範圍已包含附件 I 中所列的大部分部門,例如:
- 能源
- 運輸
- 健康
- 飲用水
- 金融市場基礎設施
- 銀行業
- 數位基礎建設
《NIS2 指令》附件 I 中新增的適用範圍涵蓋以下領域:
- 空間
- 廢水
- 資訊與通訊科技(ICT)服務管理
- 公共行政
根據組織的類型、規模及營收,屬於附件一的組織可分為:
- 不可或缺, 如果他們的破壞行為可能對國家造成嚴重後果:
- 僱員人數超過 250 人或年營業額超過 5,000 萬歐元的大型企業
- 中央政府的公共行政機關
- 基本服務的營運商
- 成員國選定的其他公司
- 重要:
- 僱員人數超過 50 人或年度營業額超過 1,000 萬歐元的公司
- 成員國選定的其他公司
這兩類組織均須遵守相同的安全需求。然而,"基本"類別的組織須接受主動監督,而"重要"類別的組織則僅在接獲違規事件通報時才會受到監控。對於"基本"類別的組織,主管機關可處以較高的違規罰款,甚至暫時禁止其擔任管理職務。
附件二新增了更多產業領域,這些領域均歸類為"重要"類別:
- 郵政及快遞服務
- 食物
- 化學品
- 製造商
- 數位服務供應商
- 廢物管理
- 研究
- 網域名稱註冊服務
該指令授權各成員國制定"重要及關鍵組織"的國家名單,無論其營收或規模是否達到特定門檻,只要該組織對國家經濟的影響至關重要,或該公司是特定服務的唯一供應商,即可納入名單。各成員國預計須於2025年4月前制定此類名單。
中小企業(SME)的義務
大多數僱員人數達 50 人以上且年營業額達 1,000 萬歐元的中型企業,視所屬行業而定,均被視為"重要"或"必要"企業。
規模較小的公司則不在適用範圍內,除非其名列國家級"必要"及"重要"實體清單,或屬於以下行業:
- 數位基礎建設
- DNS 服務供應商
- 信任服務提供者
- 頂級域名註冊機構
- 公共電子通訊網路及公開提供之通訊服務供應商
- 公共行政機構
儘管遵循規範可能需要額外投資,但歐盟《網路與資訊系統安全指令 2》(NIS2)所闡明的"適當性"與"相稱性"原則,有助於中小企業在資源有限的情況下仍能實施網路安全措施。例如,中小企業可透過定期進行人員培訓,將重點放在風險管理與網路安全意識的提升上。
以下讓我們更詳細地探討這些安全措施。
《網路與資訊系統安全指令 2》(NIS 2)下的網路安全風險管理
風險管理與安全政策
由於數位環境的變化速度遠超法律的跟進能力,NIS2 指令規定必須 "最先進"的方法,要求組織採取符合 適當、相稱且經濟 根據其具體需求與能力。在評估安全措施是否足夠時,組織應考量風險暴露程度、組織規模、安全事件發生的可能性與嚴重性,以及實施成本。
組織應實施當時可用的最新且最有效的措施,以預防或將資訊科技事件及其對營運的影響降至最低。然而,該指令並未強制要求組織不惜一切代價確保網路安全,並強調持續進行風險與安全評估的重要性,以維持"最先進"的水平。
NIS2 的網路安全需求主要圍繞著 基於風險的("全方位風險")方法 (第 21 條)並鼓勵各組織透過安全掃描、風險分析、定期滲透測試、修補程式及資產管理,定期評估其面臨的風險。
此外,該指令還列出了十項所有組織都必須遵守的基礎安全措施:
- 政策 關於風險評估與資訊安全
- 事件處理 (預防、偵測與應對)
- 業務連續性 計劃並備份 災難還原計畫、應急程序、危機管理,以及一支已建立的危機應變團隊
- 供應鏈安全、對直接供應商及服務提供者的風險分析、旨在減輕供應商弱點的計畫,以及組織與其直接供應商及服務提供者之間關係中的其他安全相關事項
- 網路安全培訓 以及網路安全衛生
- 成效評估 已實施的安全措施
- 相關政策與程序 密碼學與加密
- 多因子或連續變量的使用 驗證, 安全通訊 具備語音、視訊及文字加密功能
- 相關政策與程序 人員安全、資料存取、資產管理
- 網路與資訊系統安全,包括採購、開發及維護
除了這些措施之外,歐盟《網路與資訊系統安全指令2》(NIS2)亦鼓勵 合作與資訊共享 以促進各方相互了解與合作,共同應對新的數位威脅,並提升歐盟整體韌性對抗網路攻擊的能力。
供應鏈安全
由於舊版《網路與資訊系統安全指令》(NIS Directive)並未著重於供應鏈安全,新版《NIS2》填補了這項缺口。 前言第 85 條強調供應鏈安全的重要性,原因在於當前普遍存在網路攻擊,惡意行為者利用第三方工具與服務的漏洞,以破壞組織的網路及資訊系統安全。
該指令要求組織評估其供應商及服務提供者的韌性、品質與網路安全實務,並將適當的風險管理措施納入合約協議中。 前言第 86 條特別著重於事件應變、滲透測試、安全稽核及諮詢服務。
這為與 NIS2 目標組織合作的供應商及服務提供者(包括託管服務供應商與安全服務提供者)帶來額外負擔。即使服務提供者本身不在 NIS2 規範範圍內,仍預期其須提升自身的數位安全與營運韌性。
加強網路事件通報需求
新指令規定,若發生重大事件或網路攻擊,必須在特定期限內進行事件通報與通知。根據《網路與資訊系統安全指令2》(NIS2)第23條的定義,"重大"是指可能導致組織面臨嚴重的營運中斷或財務損失,或對任何其他當事方造成重大有形或無形損害的事件。
- 24小時內。 組織應向主管機關或電腦安全事件應變小組(CSIRT)通報該事件,並說明該事件是否屬網路攻擊,或可能產生跨境影響。
- 72小時內. 組織應對事件的嚴重性與影響進行初步評估。
- 應要求. 主管機關及 CSIRT 可要求組織提交一份關於狀況更新的中期報告。
- 在事件通報後 1 個月內. 最終報告應包含對事件的詳細描述、其影響評估、導致事件發生的根本原因,以及已實施的緩解措施。若事件持續超過一個月,組織應提交進度報告,並在事件結束後提交最終報告。
除了通報事件外,組織還需通知服務對象有關該事件,並告知服務對象可採取哪些措施來減輕事件造成的影響。
《NIS 2 指令》合規的挑戰與機遇
遵守規定的好處
符合歐盟《網路與資訊系統安全指令》(NIS2)的要求,有助於組織強化網路安全,並提升面對中斷事件時的營運韌性。這將提升組織的聲譽與透明度,因此合規性可帶來競爭優勢。
符合 NIS2 要求的另一項顯著好處,是可避免因未合規而遭處以罰款。該指令規定了以下處罰措施:
- 重要組織:至少 1,000 萬歐元,或全球年度總營業額的 2%,以較高者為準
- 重要組織:至少 700 萬歐元,或全球年度總營業額的 1.4%,以較高者為準
其他執法措施包括警告、暫停營業、暫停該組織的認證或授權,以及暫停相關管理人員的職務。
挑戰與考量
《網路與資訊系統安全指令二》(NIS2)面臨的最大挑戰在於,該指令生效之際,組織正面對日益精巧且複雜的數位威脅,這意味著現在需要更精巧且複雜的策略來應對這些威脅。因此,《NIS2 指令》大幅擴大了組織在網路安全方面的責任,並引入了更嚴格的措施。
新的網路安全措施將要求組織投資於技術和專業知識,這可能對規模較小的組織造成負擔。根據 影響評估報告 根據歐盟委員會的數據,未來三年內,若組織未受《網路與資訊系統安全指令》(NIS1)規範,其資訊安全投資需求將增加 22%;若已符合 NIS1 規範,則需求增加 12%。
另一項挑戰在於不合規所帶來的重大風險,這將對組織造成嚴重的財務後果。關鍵實體將面臨定期與臨時性的安全稽核 事前 作為預防措施。
《NIS 2 指令》對歐盟數位市場的影響
《NIS2 指令》已成為強化並統一歐盟全境網路安全水準的主要驅動力。然而,由於該指令需轉化為各國國內法,因此網路安全標準與需求將因國家而異。
NIS2 為網路安全設定了更高標準,並有助於提升各產業面對數位威脅時的營運韌性。對網路安全產業而言,該指令開闢了一個嶄新的解決方案市場,旨在協助組織符合 NIS2 規範。
值得一提的是,歐盟金融業還受到《數位營運韌性法案》(DORA)的額外保護。作為一項特定產業的法規,該法案對所有歐盟國家施加了統一的需求。其需求雖優先於《網路與資訊系統安全指令2》(NIS2),但並未取代或與其相衝突。因此,金融機構必須同時遵守 DORA 和 NIS2 的規定。
為符合 NIS 2 規範做準備
首先,請確認貴組織是否屬於 NIS2 的適用範圍,或是貴組織是否向受 NIS2 規範的組織提供託管服務或其他服務。此外,您還需確認適用於貴組織的歐盟成員國法律,以便了解貴組織應遵循的正確需求。
進行差距分析
透過進行差距分析,深入了解貴組織的網路安全狀況與風險暴露程度。 在貴國尚未制定確切的 NIS2 需求之前,您可以參考國際標準(如 IEC 62443 和《網路安全能力成熟度模型》(C2M2)),以及《歐盟網路韌性法案》(CRA)中的軟硬體網路安全需求,作為評估的依據。
NIS2 主要圍繞三個類別建構,因此在進行差距分析時,請優先考量這三個類別:
- 治理(第20條). NIS2 極為重視管理層在合規性及整體網路安全方面的責任,這可能需要檢視貴組織的工作文化,並推動行為模式的改變。
- 網路安全風險管理措施(第21條)。 《NIS2》對各組織提出需求,要求透過實施適當且相稱的技術、運作及組織措施,對所有可能的危害進行評估並做好準備。
該指令概述了十項最低限度措施,包括事件應變計畫、風險評估、供應鏈安全、網路安全措施的成效評估、安全通訊,以及定期人員培訓。
- 報告(第23條). 確保事件發生後能透明且及時地進行通報,以符合《國家資訊安全指令 2》(NIS2)的需求。
- 歐盟網路安全認證(第 24 條)根據《NIS2》,成員國可要求組織使用經歐盟認證的技術服務及產品。
透過 NAKIVO 完善您的網路安全策略
NAKIVO Backup & Replication 是一款強大的備份與災難還原解決方案。其先進的功能性與網路安全特點,能協助組織在確保符合 NIS 2 規範的同時,有效保護其資料。
以下列出 NAKIVO 解決方案與 NIS 2 基準措施對應的若干方面,以協助您實施具備網路韌性的資料保護策略。
資訊與通訊科技安全及資料保護
- 資料韌性。 透過 NAKIVO 解決方案,您可以透過集中式的網頁式控制台,保護虛擬機器、實體機器、雲端環境中的所有工作負載,以及檔案分享中的資料和 Microsoft 365 應用程式。輕鬆遵循"黃金備份法則",並將資料副本儲存於多個本地與異地位置(包括 NAS設備、USB 隨身碟及磁帶),在 公有雲或與 S3 相容的雲端服務 平台。
- 資料完整性。 此解決方案支援"應用程式感知模式",讓您能夠為執行中的應用程式與資料庫工作負載建立一致性備份,包括 Active Directory 和 Exchange Server 等本地端 Microsoft 應用程式,以及 Oracle 資料庫。透過對 Microsoft 365 應用程式與服務的支援,您可輕鬆備份 Exchange Online 信箱、Teams 訊息、SharePoint Online 網站以及 OneDrive for Business 資料。
- 防禦勒索軟體等網路威脅。 透過 NAKIVO 的解決方案,您可以遵循資安最佳實踐,以降低遭受網路攻擊成功的風險。您可以將備份設定為不可變更,無論是在雲端、本地資料夾或 HYDRAstor 裝置中,以確保在指定期間內無人能刪除或修改資料。您亦可將備份複製傳送至磁帶等可拆卸的離線儲存裝置,以建立空間隔離(air gap),防止網路犯罪分子透過網路存取資料。
- 加密。 透過啟用 AES 256 位元加密來保護您的備份資料。NAKIVO 的解決方案支援來源端加密,這意味著您的資料在傳輸過程中及儲存時皆受到保護。
- 存取控制. 根據最小權限原則,為該解決方案設定基於角色的存取控制。
- 驗證. 存取備份資料及執行資料保護作業時,請啟用多重身分驗證。NAKIVO 的解決方案亦支援已啟用多重身分驗證的 Microsoft 365 帳戶,因此您無需在 Microsoft 365 基礎架構內妥協安全性。
事件偵測、處理與應對
- 業務連續性。 此解決方案提供備份、複製、 即時複製,以及 12 種不同的還原選項,確保您能在任何情況下還原資料。立即驗證虛擬機器備份與複本是否可還原,並掃描備份檔案以檢查是否含有惡意軟體,確保還原過程順暢且安全。
- 災難還原。 一旦發生災難,您只需點擊一下即可觸發處理流程,並進行故障移轉,將系統遷移至位於次要站點的位置。站點還原功能性讓您能夠 建立自動化工作流程 在數秒內完成故障轉移與回退,同時達成所有還原目標。
- 即時監控。 透過 VMware 的 IT 監控, 您可以在這些問題演變成更嚴重的狀況之前,及早偵測到 CPU、記憶體和磁碟空間的異常及可疑使用情況。
安全措施的成效評估
- 災難還原測試。 NAKIVO 解決方案讓您能夠 執行無中斷還原測試 以確保您的災難還原計畫能順利運作,並達成還原目標。在測試過程中,您可以檢查網路,並確認網路對應與 IP 重新配置設定是否正確。您亦可驗證災難還原流程是否有效,或是否需要進行調整。此測試不會影響您的生產環境,且可依照排程執行。
