摘要
管理层认同和预算对 NIS2 合规至关重要。不合规可能导致最高 1000 万欧元或全球收入 2% 的罚款,而合规可降低数据泄露成本、提升声誉,并可能需要将 ICT 安全支出最多增加 22%。组织必须部署持续性的组织与技术控制措施,包括基于风险的政策、事件响应、业务连续性、MFA、加密、补丁修补和零信任访问,并最早从 2024 年 1 月开始,以满足 2024 年 10 月的截止日期。面向包括管理层在内的所有员工开展全面、持续的培训是强制性要求;跟踪威胁意识、网络卫生和报告流程培训的完成情况,对于弥合人为因素差距至关重要。
在上一篇博客文章中,我讨论了在欧盟更新后的《网络与信息安全指令》(NIS2) 于 2024 年 10 月正式成为已批准法律之前,需要审计的两个主要领域。具体而言,这些审计将帮助您:
立即识别您与 NIS2 指令要求之间的差距。
审查您当前供应链安全中的缺陷。
既然我们已经发现了这些安全缺陷,就必须在 2024 年 10 月时间耗尽之前加以修复。
因此,在本文中,我将介绍如何通过解决以下三个关键领域,在 NIS2 指令截止日期到来之前修复最薄弱的安全问题:
1. 向管理层说明您的差距,并获得修复预算
NIS2 指令对其适用范围内的组织施加了重大义务,这可能需要大量成本和资源。该指令还对不合规行为引入了高额罚款和制裁,最高可达 1000 万欧元或组织全球年收入的 2%(第 34 条)。
除此之外,在某些情况下,新指令还可将责任从实体延伸至其个人代表。此外,在满足特定条件时,担任管理职务的人员可能会被临时停职(第 32-5b 条)。
因此,遵循 NIS2 指令既是法律必要性,也是战略优先事项。
为实现合规,您必须:
- 向管理层说明该指令的影响和益处,并说服他们分配足够的预算和资源来实施合规。
- 提出清晰的商业论证,概述不合规的风险、合规带来的机遇以及投资回报。
- 展示合规如何提升组织的声誉、可信度、竞争力和韧性。
向管理层说明情况并获得预算是一项具有挑战性的任务,需要以有说服力且基于证据的论证,展示网络安全对组织的价值。
越早开始这一流程,就越有时间获得管理层的认同和支持。
NIS2 合规商业论证可能带来的益处
您可以在商业论证中重点说明的一些潜在益处包括:
- 降低运营成本,通过预防或最大限度减少网络攻击造成的损失,例如停机、数据泄露、赎金支付、诉讼等。
- 增加收入,通过吸引或留住重视安全、隐私、质量等因素的客户。
- 提升效率,通过简化流程、增强性能、减少错误等方式实现。
- 推动创新,通过采用新技术、开发新产品或服务、开拓新市场等方式实现。
- 遵循 NIS2 以外的其他网络安全法规或标准,例如GDPR、ISO 27001、PCI DSS等,因为全球性框架通常与 NIS2 的合规要求高度重合。
用于支持 NIS2 合规商业论证的潜在信息来源
可用于支持商业论证的一些信息来源包括:
- 统计数据或事实,展示您所在行业或地区网络攻击的普遍程度、影响或成本。
- 案例研究或示例,说明其他组织如何从遵守 NIS2 指令或类似法规中受益。例如,ENISA《NIS Investments 2022》报告显示,在实施旧版 NIS 指令的组织中,62% 表示相关实施帮助其检测安全事件;21% 表示相关实施在安全事件恢复过程中提供了帮助。
- 证言或反馈,来自认可或建议遵守 NIS2 指令或类似法规的客户、合作伙伴、监管机构或专家。
- 基准或指标,展示您当前或预期的网络安全绩效,或相对于 NIS2 指令及竞争对手的进展情况。
- Ivanti 2023 年《用于获得内部认同的网络战略工具包》也是一项实用资源,介绍了实现功能所需时间和成本、解决方案如何帮助防御特定类型的网络攻击,以及如何回应并化解常见异议。
NIS2 指令合规的一般商业益处
遵守 NIS2 指令的一些益处包括:
- 降低运营成本,通过预防或最大限度减少网络攻击造成的损失,例如停机、数据泄露、赎金支付、诉讼等。根据 IBM 的一份报告,2022 年关键基础设施组织发生数据泄露的平均成本为 482 万美元,识别并遏制一次泄露的平均时间为 277 天。如果您采取措施遵守 NIS2 指令,识别和遏制泄露所需的平均时间将大幅缩短,攻击成本也会降低。
- 增加收入,通过吸引或留住重视安全、隐私、质量及类似因素的客户。根据普华永道的一项调查,87% 的消费者表示,如果不信任某家公司的数据处理做法,他们会转向其他公司;71% 的消费者表示,如果发现某家公司未经许可共享其数据,他们会停止使用该公司的产品或服务,而数据泄露就可能导致这种情况。
- 提升效率,通过简化流程、增强性能、减少错误等方式实现。埃森哲发现,采用先进安全技术的公司可将网络犯罪成本最高降低 48%。
- 遵守其他法规或标准,这些法规或标准要求具备网络安全能力,例如 GDPR、ISO 27001、PCI DSS 等。Cisco指出,97% 遵循 GDPR 的组织都获得了收益,例如获得竞争优势、提高运营效率以及减少销售延误。遵循 NIS2 也可能取得类似结果。
在预算方面,欧盟委员会的指令提案(附件 7 - 1.4.3)提到,对于属于 NIS2 框架适用范围的公司,预计在 NIS2 框架引入后的最初几年,其当前 ICT 安全支出最多需要增加 22%。
不过,该提案还提到,ICT 安全支出的这一平均增长将从相关投资中带来相称的收益,尤其是因为网络安全事件成本将显著降低。
2. 正确实施新的组织与技术安全措施
在研究差距并获得预算后,就该着手弥合这些差距了。NIS2 指令要求公司实施适当的组织与技术措施,以管理网络安全风险,并确保其网络和信息系统具备高水平安全性。
这些措施包括:
- 采用政策和流程,用于风险管理、事件响应、业务连续性、数据保护等。
- 确立角色与职责,覆盖网络安全治理、监督、协调及其他领域。
- 提供培训和意识提升计划,面向员工、管理层、客户等对象。
- 实施基本网络卫生,例如加密、身份验证 (MFA)、防火墙、防病毒软件、补丁修补、零信任访问等。
- 开展定期测试、监控、审计及其他措施。
实施这些组织与技术措施并非一次性或静态任务,而是需要建立一个持续且动态的流程,以适应不断变化的威胁、技术、法规和业务需求。
因此,这一流程同样适用我们此前讨论过的建议:越早开始,就越有时间实施必要措施,并确保其有效性和效率。
我建议最迟从 2024 年 1 月开始实施,这样您就能在暑期假期前做好准备。
NIS2 指令实施的后续步骤
为实施组织与技术措施,您可以采取的一些步骤包括:
- 制定并实施基于风险的管理流程,定义网络安全风险管理的目标、范围、角色、职责、资源、时间表和指标。
- 实施安全政策,确立用于保障网络和信息系统安全的原则、指南、标准和流程。
- 开展风险评估,识别您的资产、威胁、漏洞、影响以及网络攻击发生的可能性;并根据您的风险偏好和容忍度确定行动优先级。
- 实施安全控制,保护您的网络和信息系统免受未经授权的访问、使用、披露、修改或破坏。这些控制可分为三类:预防性控制(例如加密)、检测性控制(例如监控)和纠正性控制(例如备份)。
- 实施事件响应计划,定义用于高效有效响应网络事件的流程、角色、职责、资源、工具和沟通渠道。
- 实施业务连续性计划,定义在网络相关中断或灾难期间维持或恢复关键业务流程所需的流程、角色、职责、资源、工具和沟通渠道。
- 实施审查与改进计划,定义用于定期评估、报告和强化网络安全措施的流程、角色、职责、资源、工具和沟通渠道。
- 实施技术控制,用于资产管理和基本网络卫生。
该指令在第 21 条中对“基本网络卫生”的表述有些笼统,因此我们将在另一篇博客文章中深入探讨。现在,您可以先考虑以下基本安全措施:
- MFA。
- 尽快为操作系统和应用程序打补丁。
- 保护公共网络上的网络连接。
- 加密所有驱动器(尤其是可移动驱动器)。
- 对所有员工实施权限管理和教育。
- 订阅可提供最新补丁和优先级信息的渠道,例如 Ivanti 的“补丁星期二”网络研讨会。
3. 修复最薄弱环节:安排时间培训每一位员工
NIS2 指令认识到,人为因素对网络安全至关重要,员工往往既是预防或检测网络攻击中的最薄弱环节,也是第一道防线。
该指令要求组织就网络安全问题,为其员工、数字服务用户及其他利益相关方提供充分的培训和意识提升计划。
培训所有员工并非偶发或可选任务,而是需要一个定期、全面的计划,涵盖以下主题:
- 基本网络安全概念和术语。
- 常见网络威胁和攻击向量。
- 网络卫生最佳实践和提示。
- 面向最终用户进行关联化和简化的网络安全政策与流程。
- 每位用户在组织网络安全中的角色和职责。
- 如何报告和响应事件。
需要注意的是,公司内部每个人都应接受此类培训,而不仅仅是 IT 员工。即便是管理层也应接受这项培训。
一项为 Ivanti 开展的调查显示,许多员工甚至并不知道有强制性的网络安全培训。只有 27% 的员工认为自己“非常有准备”在工作中识别并报告恶意软件和网络钓鱼等威胁。6% 的员工认为自己“非常有准备”在工作中识别并报告恶意软件和网络钓鱼等威胁。
在ENISA《NIS Investments 2022》报告中,ENISA 提到,在受访的 OES(基本服务运营商)中,40% 没有面向非 IT 员工的安全意识提升计划。
务必监测哪些人员尚未接受培训,并采取相应行动。培训所有员工不仅有助于合规,也有助于提升生产力、质量、创新能力和客户满意度。
我们能给出的最佳 NIS2 建议
NIS2 指令是一项具有里程碑意义的立法,旨在提升欧盟关键行业的网络安全水平。它对适用范围内的组织施加了重大义务,并对不合规行为设置了高额罚款和制裁。
遵循 NIS2 指令是一项复杂任务,需要主动且全面的方法,涉及多个步骤、利益相关方和资源。
越早开始准备,您在其于 2024 年 10 月生效时就会准备得越充分。
我们能提供的最佳建议是什么?不要等到那时:现在就开始为 NIS2 指令做准备!