在将近三年的时间之后,关于网络和信息安全(以下简称“NIS”)指令,这是欧盟范围内首个网络安全法规。 NIS指令(或网络安全指令)为整个欧盟的关键基础设施运营商和数字服务提供商规定了基线网络安全和强制性违规报告义务。

该指令还设想了一个“战略合作小组”,目的是鼓励会员国就网络安全漏洞交换信息和最佳做法。此外,将要求会员国成立计算机安全事件响应小组(CSIRT),以处理事件并与其他成员国一起确定协调响应。

公告,该日期为2015年12月7日, 好久不来。该指令的工作始于2013年2月,此后一直在欧洲委员会,议会和理事会之间进行三方谈判。

适用于谁? 该指令将适用于在能源,运输,银行,金融市场,卫生和供水领域提供“基本服务”的公司。三部曲制定了确定哪些公司提供“基本服务”的标准列表,但最终将由会员国做出此决定。

在线市场,搜索引擎和云等数字服务提供商也将属于该指令的范围。他们的加入是其中之一 谈判有争议的方面,与委员会争辩,而议会反对。但是,与对关键基础设施运营商施加的更严格的制度相比,通过谈判将采用的更宽松的监管制度已经达成了折衷立场。

它有什么要求? 根据该指令,关键基础架构运营商将需要确保他们用于提供基本服务的数字基础架构“足够强大以抵御网络攻击”。他们还必须向公共当局报告严重的安全漏洞。尽管不那么严格,数字服务提供商也有类似的义务;他们必须确保其基础架构“安全”,并且必须报告任何重大的安全漏洞。

组织还可能要承担特定于国家/地区的其他义务。这是因为该指令规定了“基准”义务,使成员国有施加附加安全要求的自由。

因此,受影响的组织必须确保他们进行系统范围的安全性审查,并制定程序来防止,管理和应对违规行为。

它什么时候生效? 目前,该指令仍需要正式批准。预计将于2015年12月18日举行。一旦定稿并发布,成员国将有21个月的时间将该指令转化为其国内法。允许成员国再有六个月的时间来确定哪些运营商提供“基本服务”。