What is the NIS2 Directive?

Directive (EU) 2022/2555, more commonly known as NIS2 is the second iteration of the EU’s Network and Information Security (NIS) directive, and it is the primary cybersecurity standard in the EU. NIS2 updates NIS by expanding the sectors affected by the law and its requirements. By October 17, 2024, EU member states are required to implement NIS2 in their national laws, so all organizations affected by NIS2 must be in compliance by Q4 2024.

無限全球服務 與專家聯絡

What is the NIS2 Directive?

NIS2 指示的重要性

NIS2 為向歐盟成員國提供基本或重要服務的組織創建了一套標準的網路安全要求。 透過這樣做,可以降低針對這些組織的網路攻擊可能會對歐盟公民造成重大影響的風險。

受 NIS2 指示影響的產業

Organizations that meet all three of the following criteria must comply with the NIS2 Directive by October 18, 2024

NIS

NIS2 指示將部門分為基本實體和重要實體。 基本實體 (EE) 的範例包括:

  • Energy
  • 交通運輸業
  • 金融
  • 公共行政
  • 醫療保健
  • 空間
  • 供水
  • 數位基礎設施

NIS2 也會影響重要實體 (IE),例如:

  • 郵政服務
  • 廢棄物管理
  • 化學品
  • 研究
  • 食物
  • 製造業
  • 數位提供者

NIS Providers

除了部門之外,NIS2 合規性也受到組織規模的影響。 一般來說,EE 必須擁有至少 250 名員工,年營業額超過 5,000 萬歐元或資產負債表超過 4,300 萬歐元。 工業企業通常必須擁有至少 50 名員工,年營業額或資產負債表至少為 1,000 萬歐元。 然而,這些規則因行業而異。 此外,作為歐盟成員國內特定服務的唯一提供者的公司,無論規模大小,都可能被歸類為 EE 或 IE。

NIS2 要求是什麼?

NIS2 創建了四組高階組織要求,包括:

  • 風險管理:組織應透過事件回應、供應鏈安全、網路安全、存取控制和加密的使用來管理網路風險。
  • 企業責任:企業管理階層對組織的安全負責,並應在網路風險管理中發揮積極、知情的作用。
  • 報告義務: NIS2 定義了重大安全事件的報告要求,包括 24 小時「預警」。
  • 業務連續性:受影響的組織應制定適當的業務連續性策略,包括制定復原計畫、緊急程序和危機應變團隊。

此外,它還指定了一組十項最低要求,其中包括:

  1. 執行 IT 系統的風險評估並實施安全策略。
  2. 實施使用密碼學和加密技術的政策和程序。
  3. 確保和管理系統採購中的脆弱性。
  4. 為可存取敏感資料的使用者實施安全程序。
  5. 在適當的時候使用多重身份驗證 (MFA) 、持續身份驗證和加密通訊。
  6. 評估所實施的安全控制措施的有效性。
  7. 規劃事件檢測和響應。
  8. 對員工進行基本電腦衛生方面的訓練。
  9. 規劃業務連續性與災難復原(備份、持續存取等)
  10. 確保供應鏈安全以及公司如何管理第三方關係中潛在的脆弱性。

違反 NIS2 的處罰

NIS2 列出了可對不合規組織實施的各種處罰,包括:

  • 非金錢處罰:國家監管機構可以強制組織合規、遵循具有約束力的指示、進行安全審計或通知客戶潛在威脅。

Non Monetary Penalties

  • Administrative Fines: Administrative penalties depend on the type of entity. While significant penalties can be imposed for failure to comply, there are a series of steps that must be taken before an entity is required to pay a monetary fine. The first step is a simple warning, then temporary suspension of the right to provide services within the EU, and only then fines. EEs are subject to fines of the greater of 10 million euros or 2% of global annual revenue. IEs can be fined up to 7 million euros or 1.4% of global annual revenue.
  • 刑事制裁:如果發生重大過失,NIS2 允許高階管理人員對安全事件承擔個人責任。 這包括命令該公司公開合規違規行為,公開說明發生了什麼違規行為以及誰有過錯,並暫時禁止個人擔任管理職務。

確保您的業務符合 IGS 的 NIS2 標準

NIS2 指令旨在限制針對歐盟境內重要實體的網路攻擊影響其向歐盟公民提供服務的能力的風險。 這次對原始 NIS 的更新擴大了指令的範圍,實施了更新的要求,並使監管機構有權對不遵守其要求的組織徵收額外的、更嚴厲的處罰。

在 2024 年第四季的最後期限前實現 NIS2 指令的合規對於所有受影響的組織至關重要,並且需要實施強大的網路安全計畫。 Check Point 為試圖透過其Infinity 全球服務計畫實現此目標和其他網路安全目標的公司提供支援。

Check Point’s External Risk Management offering helps with compliance in several ways, from supply chain monitoring, to attack surface management. See below an overview.

NIS2 Coverage

Demo it here 

Check Point 的NIS2/DORA 就緒評估涉及由 Check Point 高級顧問對組織現有的 NIS2 指令合規情況進行現場評估。 根據此評估, Check Point就組織如何彌補已識別的安全漏洞並實現符合標準提供指引。 有關如何在截止日期之前實現 NIS2 合規性目標的更多信息,請聯繫我們