爱尔兰的商业领袖面临严重的监管问题的风险,包括暂停关税和/或罚款的可能性,因为他们准备不足或根本不知道欧盟的第二项网络和信息系统指令(NIS2),该指令计划于2024年10月18日在成员国生效。
这项新规定的重点是加强整个欧洲的网络安全和提高数字弹性,可能会影响爱尔兰岛上的4000多家企业,从个体贸易商到大型企业。
虽然许多企业没有意识到他们可能在新指令的范围内,但潜在的影响是非常真实的。监管机构和投资者等利益相关者的声誉受损,客户信心受损,高管和董事会成员可能被停职和/或罚款,这些都是可能的结果。
NIS2是其前身欧盟网络安全立法NIS-D的演变,NIS-D于2016年推出。NIS2将把立法范围扩大到关键的国家基础设施和基本服务组织(如公用事业和运输)之外,以涵盖18个部门的实体,包括公共部门机构和机构、数字服务提供商(dsp)、研究组织以及某些食品和制造组织。
此外,组织将被要求解决其自己的ICT供应链中的网络安全风险,因此该法规也将影响到向该法规指定为“必要”或“重要”实体的任何公司。
自推出NIS-D以来,世界发生了迅速变化,这是在大流行期间和之后加快的数字化转型步伐的推动下发生的。NIS2的引入至关重要,因为它将更加强调主动风险管理、事件报告和欧盟成员国之间的合作。
正如我们近年来在国际和爱尔兰所看到的那样,网络安全攻击可能对企业运营和公共服务产生重大而有害的影响。
例如,当HSE在2021年5月遭受爱尔兰国家机构最严重的网络攻击(以及历史上已知的针对医疗服务计算机系统的最大攻击)时,其全国范围内的所有IT系统都不得不关闭。2023年5月,Progress Software的MOVEit Transfer文件软件存在一个零日漏洞,攻击者可以访问MOVEit服务器并窃取客户数据。
这影响了广泛的组织,包括多个政府机构、医疗保健提供商以及零售和消费者企业。NIS2的目标是将主动应对这些潜在威胁的责任坚定地交给这些组织内的高级领导职位。
NIS2的目标是在整个欧盟实现一个共同的网络安全成熟度水平,以便这些关键部门的企业、消费者和服务得到更好的保护,并为潜在的网络攻击做好准备。网络安全方面的要求将会提高,事件报告方面的要求也会更加严格,所有重大事件都要在24小时内报告给国家网络安全中心(NCSC)或指定的主管部门,并加强执法和监管。
NIS2还将要求高级管理层承担更多责任,以确保这些组织在网络安全方面拥有足够的能力和控制力。有条款规定,最高管理层要承担个人责任,包括首席执行官可能被停职。
违反NIS2的企业还可能面临巨额罚款。对于那些被视为“必不可少”的实体,最高罚款为1000万欧元或全球年收入的2%,以较高者为准。对于“重要”实体,这一数字略有减少,但仍相当可观,为700万欧元,占全球年收入的1.4%。
我们目前正在等待主要立法的引入,以使NIS2生效,预计将在今年夏天出台法案。除了详细说明该指令将如何在爱尔兰实施外,它还将为每个部门设立“主管机构”;负责执行规定的机构。
[网络犯罪是小企业的主要威胁]
目前距离NIS2在整个欧盟生效只有5个多月的时间,所以现在是企业做好准备的时候了。
首先,公司需要开始评估NIS2是否以及如何影响他们。组织需要证明他们已经做好了充分的准备,能够在网络事件发生之前做出反应并从事件中恢复过来,包括他们的供应商网络。
虽然许多公司将需要外部援助,但每个企业现在都应该采取内部行动来检查它们是否以及如何受到NIS2的影响。
你要做的第一件事就是确定你的职位。你是一个必不可少或重要的实体吗?在简单的层面上,“必要”实体是已经在现有NISD范围内的东西。因此,大多数(但不是全部)现在进入NIS2范围的公司将被定义为“重要”。
一旦组织明确了其指定,您将需要了解需要实施哪些额外的控制来满足NIS2的要求。我们的经验表明,大多数企业将建立一个跨职能团队的企业范围计划,包括法律、IT和风险管理,以评估需求并交付合规计划。
组织领导者需要明白,这不仅仅是一个需要解决的网络、技术或监管问题——这是一个强制性的企业要求,需要最高层提供适当的治理和资源。在我看来,在网络安全继续从服务器室走向董事会的过程中,确保你的组织拥有适当的问责制、意识、技能和能力,一切都与人有关。
卡罗尔?墨菲是安永合伙人和技术风险主管
报名参加
商业推动lerts
并有最好的新闻,分析和评论直接发送到您的手机
找到
WhatsApp上的爱尔兰时报
保持与时俱进
我们的商业内幕播客每周发布-查找最新一期
在这里
