歐盟商定修訂版NIS2指令，加強關鍵領域安全保護

2022年5月12日晚，歐盟（EU）同意了針對關鍵服務組織的新網絡安全立法，已就新立法達成政治協議，新網絡安全立法將對關鍵行業組織實施通用的網絡安全標準。

由于“我們社會的數字化和互聯程度越來越高，全球網絡惡意活動的數量也在不斷增加”，歐盟原有的網絡和信息系統安全規則（NIS指令）亟待更新。2021年12月，歐盟委員會提出了修訂后的網絡與信息安全指令（NIS2），旨在通過保護更多脆弱的部門和增加成員國網絡安全機制之間的互聯互通來支撐一個更具適應性的歐洲。而后歐盟成員國和歐洲議會經過商議，于5月12日就NIS2達成了政治協議，該政治協議一經通過，成員國將需要在21個月內將新要求轉化為國家法律。

與NIS相比，NIS2指令將原先指令所涵蓋的部門范圍擴大：涵蓋在關鍵部門運營的大中型組織，包括公共電子通信服務，數字服務，廢水和廢物管理，關鍵產品制造，郵政和快遞服務，醫療保健和公共管理等提供商，并要求這些實體在24小時內向當局標記網絡安全事件，修補軟件漏洞并準備風險管理措施。同時，NIS2消除了NIS中基本服務運營商（OES）和數字服務提供商（DSP）之間的區別，在將數字基礎設施認定為“基本實體”、數字提供商認定為“重要實體”的基礎上，對“基本和重要實體”實施風險管理和風險報告要求。它還旨在制定更嚴格的執法要求，并協調成員國之間的制裁制度：基本服務的運營商將因不遵守規定而面臨高達年營業額2%的罰款，而對于重要服務提供商，最高罰款為1.4%。

歐盟近年來在數字安全領域不懈努力，一直在努力實現社會的數字化轉型。在過去的幾個月里，歐盟就歐洲數字戰略制定了許多法案和規定，如《數字市場法》和《數字服務法》等。就NIS2達成的此項政治協議，是歐洲數字戰略的另一個重要突破，是為確保公民和企業受到保護并信任基本服務做出的更大努力。

信息來源 / Source of Information

• https://www.infosecurity-magazine.com/news/eu-cybersecurity-legislation/ 
• https://www.reneweuropegroup.eu/news/2022-05-12/nis2-deal-ensures-a-modernised-and-enhanced-common-european-cybersecurity-space

文章來源：蘇州信息安全法學所