英国政府发表了它的 回复 去年8月开设的安全网络和信息系统(NIS指令)就欧盟指令进行公众磋商。答案阐述了英国的 想象 通过实施NIS指令来提高英国基本服务的安全性。

NIS指令

NIS指令提供了法律措施,以提高欧盟的网络和信息系统安全性的总体水平:建立国家框架以促进网络和信息系统的安全;建立合作小组,以促进战略合作和信息交流,以及计算机安全事件响应团队(CSIRT)网络,以促进特定安全事件的合作;并确保安全框架是有效应用于重要部门的。

重要部门的企业将不得不采取适当和比例的安全措施,以管理其网络和信息系统的风险。必须必须提供必要服务的运营商来向有关当局通知严重事件。关键数字服务提供商(搜索引擎,云计算服务和在线市场)将不得不遵守NIS指令下建立的安全和事件通知要求。

政府反应

咨询答复向尚未发表的英国提供了一些洞察力,即实施NIS指令的立法,特别是与国家网络安全委员会(NCSC),基本服务,数字服务提供商和与一般数据保护条例的互动互动(GDPR )。

国家网络安全理事会

NCSC汇款将是提供支持,专家咨询和事件响应援助,并开发网络安全指导和标准,以及持有与英国CSIRT相关的咨询作用。 NCSC不太可能有任何监管或执法功能。

基本服务运营商

在附件1中,响应列出了基本服务和识别阈值。它包括用于饮用水供应和分配,能源,数字基础设施,健康和运输的条目。答复亦澄清各位主管当局将有权指定基本服务的运营商,调查事件,通知公众和审计或要求审计运营商。

数字服务提供商

数字服务提供商将包括软件服务提供商,在线市场(作为买家和卖家之间的中间人的平台,促进商品和服务销售),在线搜索引擎和云计算服务。数字服务提供商必须向其相关的CSIRT(英国NCSC)报告大量事件,“没有过度延迟”,并以允许CSIRT确定是否存在任何跨境影响。

与GDPR互动和处罚

英国承认NIS指令与GDPR之间的重叠,政府打算这两者应该尽可能地和谐。

企业以前表示关注被罚款两次,在两项单独的监管下,同一事件。政府已注意到这些问题,但也强调,如果有关与不法行为的不同方面有关的事件,则可能有两次缴纳组织的有效理由。 “实施立法”鼓励主管当局共同努力,促进一致性,并确保任何处罚都是合理的,适当和成比例的,以考虑减轻因素,目标是处罚是一个“最后的度假胜地”。

由于与GDPR的联系,但最严重的案件的处罚可能是最多1700万英镑。

评论

回应显然,2018年5月之前会有进一步的指导,包括主管当局的作用和责任,事件报告和报告门槛的作品。欧洲议会于2016年7月6日通过了NIS指令。成员国在2018年5月9日之前转让将NIS指令转换为国内立法。如果要达到5月9日截止日期,英国应该在短期内发布立法草案。