The UK Government商业创新部and Skills (BIS) has issued an 对影响的评估 (IA)关于9月底的草案 网络和信息安全指令 (该指令)由欧盟委员会于2013年2月7日提出。该指令旨在在整个欧盟范围内实现较高的网络和信息安全水平,以协调国家战略之间的现有差异。

为此,拟议的指令规定:

  • 所有会员国必须在一个月内建立负责网络和信息安全的主管部门,并建立国家计算机应急响应小组(CERTS)
  • 必须在主管当局之间建立合作网络,以实现安全和协调的信息交换以及预警系统,以对网络信息安全事件进行有效的检测和响应
  • 必须建立一种风险管理文化,并在私营和公共部门之间共享信息
  • 必须建立向有关主管当局报告严重破坏实体网络和信息系统的事件的系统
  • 国家主管部门必须实施制裁,启动审核并发布事件

为了评估该指令可能对英国产生的影响,国际清算银行于2013年5月22日呼吁提供证据以建立基准。据发现,目前每年在安全上花费19.8亿英镑。大型组织的总支出为14.5亿英镑,平均每个支出54万英镑,而中小企业的支出为5.33亿英镑,平均每个支出26,000英镑。该指令的潜在影响估计如下:

  • 英国22,935家企业将受到影响
  • 额外的安全支出将达到9.921亿英镑– £1,984.2 million
  • 大型组织将不得不将平均支出增加额外的£270,000-£540,000,而小型组织将不得不将平均支出增加另外的£13,000-£26,000
  • 如果5,000-10,000个受影响的英国组织可以通过防止50%的网络安全事件实现2.7万英镑的收益,则估计总收益为8.606亿英镑

除了这些数字,保险业监督还强调了一些关键问题:

  • 通过在整个欧盟范围内设定最低水平,这可能会导致勾选框的合规性
  • 在许多领域,行业监管机构已经拥有报告基础结构。额外的报告义务可能导致程序重复,从而增加行政负担,并导致资源被用于处理合规问题。
  • 可能影响的业务范围过于广泛,可能对小型企业施加不成比例的义务
  • 与自愿方法相反,强加强制性报告义务可能会形成合规文化,从而阻碍信息共享
  • 审计,制裁和公布违规行为可能会惩罚具有强大能力的组织,以发现违规行为并破坏报告
  • 建立新的国家主管部门可能既昂贵又不必要
  • 泛欧洲的响应框架可能会抑制和放慢针对事件的有效国家措施
  • 国家主管部门之间共享更多信息时,固有的重大安全风险

话虽如此,国际清算银行希望该指令在方法上表现出灵活性,并认为现有的自愿措施和英国现有的高级战略已足够。但是,在确定该指令的范围和阈值之前,只能推测其影响可能造成的损失。