数字丝路安全智库国际快讯李元元
2021年3月,软件联盟对《网络和信息系统安全指令修订》(即NIS 2.0)提出反馈建议,以求更好地实现该指令的目标,并鼓励采取全面、有效和负责任的网络安全方法,加强欧洲的网络安全和监管能力。
《网络和信息系统安全指令》是欧盟通过的首部网络安全法,该指令明确了欧盟关于网络安全的顶层设计,旨在加强基础服务运营商、数字服务提供者的网络与信息系统安全,要求这两者履行网络风险管理、网络安全事故应对与通知义务。此外,该指令还要求成员国制定网络安全国家战略,要求成员国间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。2016年7月通过NIS指令以来,网络安全威胁显著增强,如今,网络安全威胁是全球最重要的商业风险之一,特别是在去年新冠病毒大流行期间不断地发生数据安全问题。
软件联盟作为全球软件行业的主要倡导者,应邀对指令的修订提出反馈意见。软件联盟及其成员支持审查的总体目标和横向方法,强调风险管理是全面应对网络风险的重要一步,“基本”实体和“重要”实体之间的区别保持了风险相称的方法,并支持以下要素应在整个立法过程中予以保留:
1.NIS 2.0指令必须明确保持一致的立法基础,以便于不同的词组在不同的部门法里保持一致,例如与拟议的《金融部门数字业务监管条例》(DORA)保持文书上的一致,以便于澄清和简化DORA与NIS 2.0之间的重叠和可能的相互冲突;
2.建议引入一些有用的因素,来改善欧盟许多重要的一站式购物实体概念,例如“数字基础设施”的范畴;
3.虽然指令的修改,将覆盖更大范围的“数字基础设施”,但欧盟理所当然地寻求监管部门的规范而不是产品自身,因此,考虑将云服务的内容列入到附件III。
4.保留对报告事件的被覆盖实体的责任豁免。
具体来说,软件联盟的反馈意见主要集中在以下三个大的方面:一是确保一致性和协调性
1.保持NIS 2.0行业立法的优先性,以及和其他部门立法的一致性,NIS 2.0应为其他立法提供基线,特别是和DORA提案之间在定义和监督机构的协调一致性上, 应设法澄清和协调DORA和NIS 2.0适用于网络安全和监管的术语和定义;
2.避免对重要实体和为重要实体提供服务的实体的通知义务要求重叠;
3.明确信息共享治理,加强公私合作;
4.建议为网络安全事件响应小组(CSIRTs)提供专用资源,以获取实时威胁情报。
二是确保风险管理方法相称
1.考虑对云服务提供商(CSP)进行更精确的定义,以进一步支持基于风险的方法;
2.明确参照国际公认的标准,特别是风险管理标准,避免在加密范围内进行任何技术授权;
3.确保初始事件通知的阈值侧重于真正重大事件,并将时间线延长至至少72小时;
4.采取相称和激励性的监督和执行办法,反映风险管理和事件报告要求对重要和基本实体适用同样的方式。
三是确保符合国际标准和最佳实践
1.保持网络安全认证程序的自愿性质(根据《欧盟网络安全法》的规定),符合国际惯例;
2.借鉴行业驱动的国际最佳实践,支持欧洲协调漏洞披露的有机发展。
