信息专员伊丽莎白·丹纳姆女士在欧盟委员会关于 实施条例草案 (“实施条例”) 网络和信息安全指令 ((EU)2016/1148)(“ NIS指令”)。

《实施条例》规定了NIS指令下的数字服务提供商(“ DSP”)在管理其网络和IT系统受到网络安全威胁的风险时需要考虑的其他要素,并进一步提出确定事件是否对其服务产生“重大影响”的参数。

尽管信息专员意识到有必要提高基本服务的安全性,但她告诫不要为确定重大影响而“设置过分僵化的参数”,因为这可能是不可取的,并且“可能导致失败。报告事件”。

背景

信息专员发表了她的评论,其依据是,建议ICO将成为NIS指令下英国DSP监管的国家主管部门。 DSP是:

  • 云服务提供商
  • 网上市场
  • 搜索引擎

NIS指令详细介绍了评估违规是否具有“实质性影响”时必须考虑的一些因素。 《实施条例》在这些因素的基础上进行了扩展,并为何时需要发出通知提供了具体参数(例如,如果事件对用户造成的物质损失超过100万欧元,或者事件影响了两次或多次提供服务的情况,更多会员国)。

根据NIS指令,如果DSP遇到严重影响DSP所提供服务的事件,则DSP必须通知其国家主管部门。

信息专员的评论

信息专员的评论重点在于《实施条例》如何建议确定事件是否对DSP的服务产生了“重大影响”,因此应通知他们。信息专员提出了许多建议和意见,包括:

  • 避免参考特定数量的受影响用户或服务不可用的时间长度是确定是否应通知事件的决定因素。当前,通知阈值设置为100,000个用户和500万个用户小时。
  • 建议如果通知义务集中于对服务用户的影响程度,则将更为有用。例如,应该在较低的中断级别上通知对更关键的服务的中断,同样,对业务至关重要的服务较少,可以容忍较高的中断级别。
  • 建议如果在实施细则中使用达到阈值的数值,则这些值应仅是指示性值,而不是正式阈值。
  • 建议对事件是否为“实质性”的评估不应仅指服务的“可用性”。如果某项服务被“破坏”到运行缓慢以至无法使用的程度,那么就实施条例而言,应将其视为不可用。
  • 建议包括要求通知的一个要求,即即使单个事件中没有一个事件会达到阈值,也要通知一个假想的时间段内一系列事件在何处累计对服务的提供产生“重大影响”。
  • 暗示没有必要将事件确定为“重大”事件,仅因为它影响了两个或多个成员国的服务提供(实施条例第4(e)条)。信息专员还指出,许多数字服务本质上都是跨国公司,因此可能会对意外事件触发通知事件产生意外影响。

评论

信息专员的评论表明了她在NIS指令下对事件通知的务实态度。 《实施条例》的咨询期于2017年10月11日结束,欧盟委员会尚未就何时可以期待修订的草案发表评论。

欧盟委员会是否将信息专员的意见纳入《实施条例》的最终形式尚待观察,各组织将需要密切注意是否有进一步的更新。

成员国将在2018年5月9日之前将NIS指令纳入其国家法律。正如我们之前讨论的 博客,英国政府已宣布,无论英国退欧,都打算实施NIS指令,目前正在就其实施进行咨询。