尚未实施NIS指令的荷兰企业

2022-04-19 17:46:14来源:

一般数据保护法规(GDPR)在欧洲遭到了很多关注,但荷兰有另一个关于网络安全的法律,这是较少的知名度 - 网络和信息系统安全性。

这是欧洲NIS指令的衍生品,并于去年11月生效,荷兰公司。“不要等到最后一分钟 - 开始看看这项法律如何影响你的组织,”安全专家Anshe Klebsch在应用风险上表示。

欧洲NIS指令旨在确保欧盟国家保护其重要基础设施。“与GDPR的巨大差异是,隐私法例已在欧洲集中采用,但适用于每个成员国,”Klebsch说。

但是,NIS是一个指令,由此国家可以通过自己的立法申请该指令的目标。这意味着规则不仅可以从国家/地区因国家而异,但立法并没有以同样的步伐实施,就像GDPR一样。“

Dennis'T Jong,The Dutch Telecom Agency的专业检查员,指出了另一个差异:“GDPR旨在保护公民的隐私,并在保护组织的网络恢复力方面。”

NIS指令是第一个在欧洲水平实施的网络安全立法。其指导方针表示,网络和信息系统对于维护各种重要服务至关重要,例如能源,供水和医疗保健。

荷兰在其网络和信息系统安全法案中锚定了NIS指令,旨在提高国家的数字恢复力。它特别侧重于重要的国家基础设施,中央政府和数字服务提供商的提供者。

“此时,荷兰仍处于探索性阶段,”该领域各种组织的顾问Klebsch说。“人们现在主要是绘制各种系统和潜在风险。我们不是在谈论典型的IT应用,而是关于工业控制系统。

“此外,人们应对的是最有趣的主题,这意味着它有时被解雇只是必须满足的另一个安全要求。但公司展示法律要求以及它们如何影响当前的工作方式是重要的。这不是一个组织一个组织,一个组织逐一实施所有措施,但了解如何正确保护其系统以增加他们的数字恢复力。“

除了重要基础设施的供应商,荷兰法律还规定了数字服务提供商的要求 - 荷兰数字基础设施部门的发言人Michiel Steltman表示,这是一个更复杂。“这是最不可能的,”标准是特殊的,“他说。

数字服务提供商被定义为搜索引擎,在线市场和云服务的供应商,拥有超过50名全职员工或超过10米的营业额。“这是一个谜,为什么欧盟得出结论,有49名员工的组织在组织中泄漏了很少的问题,但那些有50名员工的问题可能会突然出现,”荷兰博客中的斯特克曼说。

Steltman也批评了法律的一般措辞,他说没有明确究竟是公司需要做的事情。

'T Jong同意,补充说:“法律规定,重要的基础设施的数字服务提供商和供应商必须采取”适当的比例技术和组织措施“。这种开放标准确实非常好,但既依赖许多因素则适当和相称措施。“

由于事件发生时适用的报告程序也被困扰。如果事件发生,组织必须通知两个政府机构,电信代理机构和计算机安全事件响应团队,这些机构使用不同的程序。“显然,发现如何通过一站式商店协调这一点,这太难以协调,”斯特格曼说。

Klebsch表示,报告也没有明确的时间表,这使得组织难以知道该怎么做。 “你有义务尽快报告事件,但没有规定的时间表,因此很难知道”尽快“实际上是什么意思。”

在实践中,据说,这是首先重点修复失败的服务,并尽量减少事件造成的损害。“然后,您可以提交一份报告,并且很重要,您不保留任何信息,”她说。“背后的想法是政府在各种事件中获得了解,因此它可以为未来事件做好更好。”

此知识也可以与其他欧盟国家共享。毕竟,这也是NIS指令的一部分 - 欧洲政府层面的合作。通过交换知识,其他国家可以更好地防止可能的攻击。

“但是仍然太早说了那些合作,”Klebsch说。“成员国必须首先建立唯一立法来实施NIS指令。只有这样,我们可以看看下一步,协作和分享信息。“

虽然荷兰仍处于探索性阶段,但尚未进行审计和检查,但重要的是强调公司采取行动遵守法规。

“合规只是需要时间,”Klebsch说。“所以不要等到最后一分钟,但开始看看这些要求以及它们如何与您当前的工作方式相关。考虑评估和检查现在,因为您稍后不想被审计感到惊讶。“


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章