您可能已经听说过欧盟更新后的《网络与信息安全指令》(NIS2)。该指令将于 2024 年 10 月转化为正式生效的法律。您应提前做好准备,因为不合规将面临高额罚款和制裁。

但您也许会认为 2024 年 10 月还很遥远,对吗?请再慎重考虑。

毕竟,如果您尚不清楚当前对预计法规的符合程度,又如何判断是否有充足的准备时间?

因此,从现在到 2024 年 10 月,您必须审计当前的网络安全状况。具体而言:

  1. 从现在开始识别满足 NIS2 指令要求方面的差距
  2. 审查您当前的供应链安全缺陷

在本系列的第二部分中,我将介绍以下为修复审计发现的差距而需要着手处理的三个方面——包括如何:

  1. 向管理层说明您的网络安全差距。
  2. 正确实施新的组织和技术安全措施。
  3. 安排时间培训所有员工。

1. 从现在开始识别满足 NIS2 指令要求方面的差距

NIS2 指令》是欧盟范围内的网络安全立法,通过法律措施提升欧盟整体网络安全水平。它对现有法律框架进行了现代化更新,以适应日益提升的数字化程度和不断演变的网络安全威胁格局。

该指令将网络安全规则的适用范围扩展至新的行业和实体,从而提升公共和私营实体、主管机构以及整个欧盟的韧性和事件响应能力。

NIS2 指令提出了更严格的网络攻击韧性措施,旨在最大限度减少漏洞并提升网络防御能力。

要遵守 NIS2 指令,您必须:

  • 评估您的网络安全态势,并识别可能使您暴露于网络风险的任何差距或薄弱环节。
  • 对照映射您的现有政策、流程和控制措施与该指令要求,确定需要改进或更新的方面。
  • 评估您的事件响应能力和报告机制,并确保其符合该指令的标准。

NIS2 的一个主要问题在于,它告诉您应该做什么,但没有说明应该如何去做。幸运的是,多个框架可以帮助您解决“如何做”的问题,包括:

在比利时,CCB 创建了 Cyberfundamentals Framework,该框架基于多个框架,并引用说明了这些框架的不同部分与 GDPR 和 NIS2 之间的关系。

选择框架后,您必须识别差距,并将其与所选框架和该指令的要求进行对照。识别差距并不是一项简单或快速的任务;它需要对组织的网络安全成熟度和准备情况进行全面且系统的分析。

您不仅需要检查网络安全战略和政策,还需要开展风险分析,找出最关键的资产及其带来的网络安全风险,然后考虑采取安全控制措施,降低这些关键资产的风险评分。

越早启动这一流程,您就有越多时间获得解决任何问题和实施必要变更所需的预算。

NIS2 环境中可能存在的差距

您的环境中可能会遇到的一些差距包括:

  • 缺乏全面的网络安全战略或政策,无法覆盖风险管理、事件响应、业务连续性、数据保护等所有方面。
  • 缺乏专门的网络安全团队或职能,无法监督、协调和监控整个组织内的所有网络安全活动和举措。
  • 缺乏充分的安全控制措施,无法保护您的网络和信息系统免遭未经授权的访问、使用、披露、修改或破坏。
  • 缺乏定期测试或审计,无法确保您的安全控制措施有效并符合该指令的要求。
  • 缺乏适当的培训或意识提升计划,无法让员工、管理层、其他雇员或其他利益相关者了解网络安全问题和最佳实践。
  • 缺乏清晰的沟通或报告渠道,无法就影响您服务的任何事件或泄露情况通知相关主管机构或相关方。

帮助您的环境符合 NIS2 的潜在安全解决方案

要识别并修复这些安全差距,您可以:

  • 运行差距分析框架或模型,帮助您比较当前状态与目标状态,并识别需要改进的领域。
  • 实施网络安全成熟度模型或标准,帮助您衡量网络安全绩效和进展水平。
  • 开展风险评估,以识别您的资产、威胁、漏洞、影响以及发生网络攻击的可能性。
  • 请求外部审计或评估,帮助您验证合规状态并识别任何薄弱环节或缺陷。

2. 审查当前供应链安全缺陷,并留出足够时间与供应商协同行动

NIS2 指令还引入了关于供应链安全的新规定(第 0 章第 54、56 点),承认网络威胁可能源自第三方提供商或分包商。

该指令要求组织确保其供应商遵循适当的安全标准和实践(第 21-2d 条),并定期监控其绩效和合规情况(第 21-3 条)。

这并非没有原因。供应链攻击正在增加

BlackBerry 研究中,2022 年对 1,500 多名 IT 决策者的调查显示,五分之四的受访者表示,他们在一年内曾收到供应链中存在攻击或漏洞的通知。77% 的受访者表示,他们发现了此前并不知晓的软件供应链中的隐藏参与者。

Accenture 研究还显示,40% 的安全漏洞是间接发生的,即通过供应链发生。

因此,保护供应链安全至关重要,有助于确保业务连续性、韧性、声誉和信任。

但在 Ivanti 的Press Reset:2023 年网络安全状态报告中,我们发现,在接受调查的 1,300 多名高管领导者和安全专业人士中,只有 42% 表示他们已做好防范供应链威胁的准备,尽管有 46% 的人认为这是高级别威胁。

供应链威胁不仅来自针对解决方案提供商的攻击,例如OktaKaseyaSolarWinds,也可能来自直接连接到您的 IT 基础设施或能够登录其中的合作伙伴。

此外,也不要忽视针对资源供应商的攻击:这些攻击可能使供应商瘫痪,无法交付您自身运营所需的某些资源。您必须做好准备,并拥有可用的备用供应商,以便在主要供应商因网络攻击或其他原因无法运作时,由备用供应商提供这些资源。

供应链安全是一个复杂且具有挑战性的问题,涉及多个参与方、依赖关系和相互连接,无法一蹴而就。

您需要:

  • 建立清晰透明的沟通渠道,与供应商沟通,并明确您在网络安全方面的期望和义务。
  • 开展定期审计和评估,审查供应商的安全实践,并验证其是否符合该指令的要求。
  • 建立应急计划和备用解决方案,以应对供应链中断或受损的情况。

此外,您必须尽快开始与供应商接洽,并与其协作,确保供应链安全且具有韧性。

NIS2 下的供应链安全挑战

在保护供应链安全方面,您可能面临的一些挑战包括:

  • 缺乏可见性或透明度,无法了解供应商的安全实践、政策或事件。
  • 缺乏信任或合作,无论是在供应商之间,还是在您与供应商之间。
  • 缺乏一致性或协调一致,体现在整个供应链的安全标准、要求或期望方面。
  • 缺乏资源或能力,无法监控、审计或验证供应商的安全绩效或合规情况。
  • 缺乏应急计划或备用解决方案,无法缓解供应链中断或受损造成的影响,或从中恢复。
  • 缺乏信息,无法明确您对供应商安全实践的期望。

NIS2 的供应链安全解决方案

要克服这些供应链安全挑战,您可以:

  • 与供应商建立明确的合同或协议,其中规定其安全义务、责任和法律责任。
  • 制定通用的安全标准、指南或框架,适用于供应链中的所有供应商,并与该指令的要求保持一致。
  • 实施安全控制措施、措施或工具,使您能够跟踪、监控或验证供应商的安全活动、事件或合规状态。
  • 创建联合安全团队、委员会或论坛,促进供应商之间或您与供应商之间的信息共享、协作和协调。
  • 建立信任和相互理解,通过定期沟通、反馈和认可来实现。

NIS2 指令审计完成后,下一步是什么?

既然您已经确定了当前相对于 NIS2 指令的状态,现在就应实施关键变更,以确保在 2024 年 10 月前实现合规。我确信,要解决审计发现的差距,您需要充分利用现有的全部时间,甚至可能还不够,才能赶在法规在贵国正式实施之前完成。

但您如何才能及时、系统地解决这些差距?我们将在下一篇博客文章中讨论为 NIS2 所需的三个安全变更领域,并探讨如何:

  1. 向管理层说明您的网络安全差距。
  2. 正确实施新的组织和技术安全措施。
  3. 安排时间培训所有员工。