上个月,信息专员办公室(ICO)发布了对政府呼吁关于欧盟网络和信息安全草案(NIS指令)草案的意见和证据的回应。 ICO的批评源于其与电信部门的强制性数据泄露通知的经验,并包括修改拟议的NIS指令的建议。

该指令将要求会员国创建国家主管当局(NCAS),以处理网络信息安全风险和事件,并发出关于影响关键基础设施,信息社会服务和公共管理人员的任何主要网络安全事件的NCA。 ICO一般欢迎目标,希望能够更加注重欧洲业务中的安全。

ICO认为拟议的NIS指令没有明确解决NCA如何处理事件通知,并指出货币处罚可以作为一个有用的动机,如果没有强调理解潜在的原因,则不会实现充分的改善事件。此外,对“核心服务”提供商来通知事件的要求需要设置阈值以防止NCAS淹没具有微不足道和无关紧要的通知。

ICO还批评与始终接受必要和合法的通知的通知有关的NIS指令规定,并指出,默认情况下,将不必知道其个人数据受到损害。 ICO建议重点应该是确保删除或最小化不必要的个人数据。

最后,ICO指出,通过强调技术发展的步伐将在欧洲推出和过时的措施之前,在可以商定之前介绍和过时的措施,并且单一标准的适当安全性不会适合无数的人NIS指令涵盖的组织。

ICO不热衷于承担英国NCA的作用,陈述它没有觉得能够通过与个人数据无关的安全事件有关的通知,并通过谅解备忘录建议本身与NCA之间的合作。