上个月,信息专员办公室(ICO)发布了对政府呼吁就欧盟网络和信息安全指令草案(NIS指令)征求意见和证据的回应。 ICO的批评源于其从电信部门获得强制性数据泄露通知的经验,其中包括修改建议的NIS指令的建议。

该指令将要求成员国建立国家主管部门(NCA)来处理网络信息安全风险和事件,并通知NCA任何影响关键基础设施,信息社会服务和公共管理员的重大网络安全事件。 ICO总体上欢迎这些目标,希望欧洲企业之间将更加关注安全性。

ICO认为拟议的NIS指令并未明确解决NCA如何处理事件通知的问题,并指出,虽然罚款可能是有用的激励因素,但如果不强调理解根本原因的话,将无法获得足够的改善。一个事件。此外,对“核心服务”提供者通知事件的要求还要求设置阈值,以防止NCA充斥琐碎而无关紧要的通知。

ICO还批评了NIS指令中有关与通知相关的个人数据披露的规定,该通知始终被视为必要和合法,并指出默认情况下无需知道谁的个人数据受到泄露。 ICO建议重点应放在确保删除或减少不必要的个人数据上。

最后,ICO指出了在整个欧洲引入统一安全标准的错误想法,强调了技术发展的步伐将超过或超过任何措施,然后才能达成共识,而单一的适当安全标准将不适合无数的安全标准。 NIS指令涵盖的组织。

ICO并不热衷于扮演英国NCA的角色,表示它不具备处理与个人数据无关的安全事件通知的能力,并建议通过谅解备忘录与NCA之间进行合作。