鉴于供应链中的脆弱性可能危及关键服务的安全,欧盟于2022年12月通过了《网络与信息安全指令2》(NIS2)。这项对2016年实施的指令的更新版本,要求各组织采取强有力的措施来管理和缓解与第三方关系相关的风险。《网络与信息安全指令2》已于2024年10月正式生效。
本文探讨了必须遵守NIS2的组织类型、违规处罚措施,以及如何应对NIS2中提及的特定第三方风险管理要求。
哪些类型的组织必须遵守NIS2?
NIS2指令适用于欧盟范围内广泛的组织,重点针对提供关键服务或被视为对经济和社会具有重要意义的实体。
欧盟实体类别
NIS2将实体分为两类:基本实体和重要实体。
关键实体是指那些为公共安全、安保或经济提供关键服务的组织。例如以下行业的公司:
- 能源:电力、石油和天然气供应商
- 运输:航空公司、铁路公司、航运公司
- 银行业:信贷机构
- 健康:医院、诊所及医疗保健服务提供者
- 数字基础设施:数据中心、云服务提供商、内容分发网络
- 公共行政:负责关键国家职能的机构
重要实体须遵守该指令规定的更严格要求。
重要实体同样发挥着关键作用,但其重要性不及核心实体。它们面临的监管要求较宽松,但仍须遵守《网络与信息系统安全法案2》(NIS2)。典型行业包括:
- 食品生产与分销
- 邮政和快递服务
- 废物管理
- 化学品
- 关键产品(如药品)的制造
通常,NIS2适用于基于特定标准的组织,例如行业与服务(如上所述)、关键影响程度及规模。中型和大型实体(欧盟定义为拥有50名以上员工或年营业额超过1000万欧元)自动纳入适用范围。然而,小型和微型企业不自动涵盖在内,除非其服务具有高度关键性(例如偏远地区的小型能源供应商)。
欧盟以外的实体
NIS2也可适用于非欧盟企业,前提是这些企业向欧盟客户提供服务或运营对欧盟成员国至关重要的基础设施。此类实体必须在欧盟境内指定一名代表,以确保遵守NIS2义务。
NIS2豁免
NIS2不适用于某些国家安全职能(例如军事行动)、执法机构(在某些情况下)或小型和微型企业(除非如前所述属于关键领域)。
NIS2如何从NIS演变而来
NIS2高度重视供应链安全及第三方关系管理。企业必须主动管控第三方引入的风险,以确保合规并维护服务完整性。为此,NIS2针对适用范围、责任归属及违规处罚等指导方针进行了多项更新。
扩大适用范围:NIS2将适用范围扩展至更广泛的行业和服务领域,这意味着更多组织必须实施严格的第三方风险管理措施。
加强问责机制:高级管理层需对确保符合NIS2法规承担责任,包括监督第三方风险管理。这凸显了领导层参与网络安全举措的必要性。
潜在处罚:未遵守NIS2规定 可能导致巨额罚款及监管审查力度加大,凸显了遵守第三方风险管理要求的重要性。
未遵守NIS2
欧盟已明确界定违反《网络与信息系统安全指令II》(NIS2)的具体领域,这些领域可能导致处罚:
- 未及时报告事件:未在24小时初始窗口期内报告网络安全事件,且未在72小时内提供后续跟进。
- 风险管理不力:未能实施适当的风险管理措施,包括第三方风险管理。
- 不配合监管机构:阻碍调查、拒绝审计或向监管机构隐瞒信息。
- 安全措施不力:未能遵守必要的技术和组织层面的网络安全措施。
NIS2不合规处罚
NIS2对未能遵守其要求的组织实施了重大处罚。这些处罚旨在确保组织认真对待网络安全问题,尤其是在关键和重要领域。
处罚类型
罚款:违反NIS2法规可能导致巨额罚款,具体金额取决于违规严重程度及组织规模。对于严重违规行为,罚款通常按该组织全球年度营业额的百分比计算,上限为1000万欧元或2%,以较高者为准。
行政处罚:监管机构可采取其他处罚措施,例如发布具有约束力的整改指令以解决缺陷问题,下达执行特定网络安全措施的命令,或在极端情况下暂停运营许可。
在确定处罚时,监管机构会综合考量多个因素,包括违规行为的性质和严重程度、主观意图或过失情况,以及是否存在既往违规记录。若能证明已采取风险缓解措施——例如实施整改方案或配合监管调查——则可能减轻处罚力度。
值得注意的是,NIS2明确规定高级管理层须对合规性负责。若管理层存在监管缺失或疏忽,可能导致个人承担法律责任,包括面临潜在的法律诉讼。
尽管每个欧盟成员国负责在其管辖范围内执行《网络与信息系统安全指令II》(NIS2),但针对在多个成员国开展业务的实体,各国主管当局之间存在跨境合作机制,以确保执法的一致性。
为避免处罚,组织应定期开展风险评估,动员领导层和董事会参与,做好报告准备,并培训员工掌握健全的网络安全实践。
NIS2第三方风险管理最佳实践关键要求
NIS2指令包含了针对组织有效管理第三方风险的具体建议和要求。
建立供应链安全政策
组织必须制定全面政策,以处理与直接供应商和服务提供商关系中的安全相关事项。这包括评估第三方安全状况,并确保其遵守适当的网络安全标准。为满足此要求,需建立全面的第三方风险管理框架,涵盖以下方面:
- 风险识别与优先级排序
- 定期安全评估与审计
- 确保第三方符合贵组织网络安全标准的政策
为此,请为第三方合作伙伴提供培训和资源,帮助他们理解并遵守NIS2安全要求。鼓励各方就新兴威胁和最佳实践开展协作与知识共享。
进行风险分析与评估
实体必须开展全面的尽职调查和风险分析,以识别第三方可能引入的潜在漏洞。这包括评估第三方服务的关键性及其对组织运营的潜在影响,同时评估该方的网络安全态势、行业标准合规性及事件响应能力。随后,应根据供应商对运营的关键程度及潜在风险影响进行分类。
为简化流程,应寻求第三方风险管理(TPRM)解决方案,该方案可自动化并优化评估流程,同时建立集中化的供应商数据存储库,涵盖风险评级、合规状态及历史评估记录。
确保健全的事件处理与报告程序
组织应制定明确的第三方事件管理流程,包括及时发现、响应及向相关机构报告事件,确保第三方事件与内部事件同等严格处理。为满足此要求,需建立包含第三方协调机制的统一事件响应计划,具体应涵盖:
- 用于报告事件的指定沟通渠道
- 联合调查与解决程序
- 事后审查以改进风险管理实践
考虑购买网络保险以管理涉及第三方事件的残余风险,并评估第三方保险政策是否充分覆盖供应链风险。
持续监控和评估第三方
持续监控第三方安全实践至关重要。组织应定期评估其第三方风险管理措施的有效性,并根据需要调整措施以应对不断演变的威胁。为满足此要求,需实施对 第三方活动的持续监控, 包括:
- 定期网络安全评估或渗透测试
- 异常行为的实时监控
- 基于新威胁或供应商运营变化的风险评估更新
强制履行合同义务
在与第三方签订的合同中纳入明确且可执行的网络安全要求。关键要素可能包括:
- 合规条款:供应商必须遵守适用的NIS2安全要求。
- 事件报告义务:供应商必须及时报告网络安全事件。
- 审计权限:启用对 第三方安全实践的 定期审计 。
- 终止条款:允许因不遵守规定或安全表现不佳而终止合同。
这确保第三方在合同上必须维持适当的安全措施,并及时报告事件。
通过将这些实践融入贵组织的第三方风险管理策略,您既能确保符合NIS2法规要求,又能最大限度降低外部供应商带来的风险。
Mitratech如何助力满足NIS2第三方风险管理要求
作为Mitratech企业风险管理平台的重要组成部分,Prevalent TPRM解决方案可与您的整体网络安全及企业风险管理计划协同运作,实现第三方风险评估、监控与管理的自动化。借助Prevalent解决方案,您的团队能够:
- 构建世界级的第三方风险管理计划,该计划由专业团队、政策框架、工作流程及专属NIS2报告体系提供支持。
- 集中管理第三方合同的分发、讨论、保存和审查,确保关键要求被纳入、达成共识并得到执行。
- 评估固有风险以指导第三方风险评估、分层与分类工作,并据此确定持续尽职调查活动的适当范围与频率。
- 通过采用包含750余份问卷模板的大型库,这些模板针对多种最佳实践框架进行优化并内置整改指导,实现第三方生命周期各阶段风险评估与整改流程的自动化。
- 持续追踪并分析第三方面临的外部威胁,通过监控互联网和暗网中的网络威胁与漏洞,并将这些洞察融入第三方服务提供商控制措施的验证工作。
- 自动化事件响应能力,在第三方事件影响业务之前予以缓解。
如需了解Mitratech如何简化NIS2第三方风险管理合规流程,请立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
