爱尔兰企业需要为新的欧盟网络安全规则做好准备
《爱尔兰时报》4月29日报道,欧盟第二部《网络与信息系统指令》(NIS2)计划于2024年10月18日在各成员国生效。这项新法规的重点是加强整个欧洲的网络安全和提高数字弹性,可能会对4000多家爱尔兰企业产生影响,从个体贸易商到大型企业。
虽然许多企业并不知道他们可能在新指令的适用范围内,但其潜在影响却是真实的。监管机构和投资者等利益相关者的声誉受损、客户信心下降、高层管理人员和董事会成员可能被暂停职务和/或罚款,这些都是可能发生的结果。
NIS2是其前身欧盟网络安全立法NIS-D的演变,NIS-D于2016年推出。NIS2将把立法范围扩展到关键国家基础设施和基本服务机构(如公用事业和运输)之外,涵盖18个行业的实体,包括公共部门团体和机构、数字服务提供商(DSP)、研究机构以及某些食品和制造机构。
此外,各机构将被要求解决其自身ICT供应链中的网络安全风险,因此该法规还将影响向该法规指定为“必要”或 “重要”的实体提供服务的任何公司。
自NIS-D推出以来,在疫情和之后加快的数字化转型的推动下,世界发生了迅速变化。NIS2的引入至关重要,因为它将更加强调主动风险管理、事件报告和欧盟成员国之间的合作。
正如我们近年来在国际上和爱尔兰所看到的那样,网络安全攻击会对商业运营和公共服务造成重大和有害的影响。受影响的机构包括多个政府机构、医疗提供者、零售及消费类企业,NIS2旨在将主动应对这些潜在威胁的责任牢牢地交给这些机构内的高层领导。
NIS2 的目标是在欧盟范围内实现共同的网络安全成熟度,从而使这些关键部门的企业、消费者和服务得到更好的保护,并为潜在的网络攻击做好准备。网络安全的要求将得到加强,事件报告的要求将更加严格,所有重大事件均应在24小时内向国家网络安全中心(NCSC)或指定主管部门报告,并加强执法和监管。
NIS2还将强制要求最高管理层承担更多责任,以确保这些机构在网络安全方面拥有足够的能力和控制力。有条款规定,最高管理层要承担个人责任,包括首席执行官可能被停职。
违反NIS2的企业还可能被处以巨额罚款。对于那些被视为“必要”的实体,最高罚款额为1000万欧元或全球年收入的2%,以较高者为准。对“重要”实体的罚款略有减少,但仍高达700万欧元或全球年收入的1.4%。
我们目前正在等待将NIS2转化为法律的主要立法的出台,预计将在今年夏天出台法案。除了详细规定如何在爱尔兰实施该指令外,法案还将设立各部门的“主管机构”,负责执行法规。