如何減少無數網路攻擊誰針對我們的企業和行政部門? 10 月 15 日星期二,帳單旨在加強公共和私營部門網路安全的提案已提交給部長理事會。等待數月的文字必須轉換歐洲指令“網路與資訊安全2»(稱為 NIS 2)。
該法案“旨在加強我們的自衛能力,以應對網路威脅»,週二部長會議結束後,政府發言人莫德·布雷根 (Maud Bregeon) 解釋道。文字“涉及重要活動的彈性、關鍵基礎設施的保護、網路安全和金融部門的數位營運彈性» 由三位部長(經濟、高等教育和研究、人工智慧和數位)提出。
他將給予“保護我們關鍵基礎設施、能源、交通、健康、飲用水和金融系統的新工具»,莫德·布雷根 (Maud Bregeon) 在提到影響法國的眾多電腦攻擊後補充道。
帳單法國立法程序的第一階段開始…距離 10 月 18 日截止日期還有三天。因為到週五,歐盟每個國家都應該將歐洲指令 NIS 2 納入其國家法律。法國不是其中之一:國民議會的解散延後了通過進程。該文本已提交給部長會議,現在可以納入議會議程。
誰受到影響?
NIS 2 於2022 年12 月通過,修改了2016 年歐洲網路安全立法(稱為「NIS 1」),該立法涉及600 個實體,分佈在六個部門(能源、金融、飲用水、健康、交通和數位基礎設施)。 NIS 2 將適用於更多參與者,「範式改變」岌岌可危。
目前,分佈在 18 個產業的近 15,000 個實體受到影響。此擴充功能由當前上下文解釋。雖然網路攻擊以前僅限於幾個戰略目標,但現在它們的目標是經濟和社會各個方向的更大領域。醫院、各部會、法國工作、CAF、le Slip Français、Zadig et Voltaire、中小企業…受害者名單還在繼續增加。
另請閱讀:為什麼法國會遭受網路攻擊?
在某些條件下,地方當局、行政部門、太空、研究、廢棄物管理、農業食品、郵政服務和數位供應商(涉及社交網路、市場、搜尋引擎)領域的中型和大型公司將需要 NIS2。
安西已成立一個網站這可以讓您知道您的公司是否必須遵守。因此,如果個人不受該立法的影響,他們將間接成為該立法的受益者。因為政府或公司在這方面受到的保護越多,用戶或客戶看到其個人資料消失的情況就越少。
該指令規定了哪些新義務?
具體而言,NIS 2 所涉及的行為者將被要求做什麼?如果後者通常必須加強其網路安全等級(包括分包商),那麼一切都將取決於他們在指令定義的兩個類別中的分類。如果有關實體是“重要的» (EI),它必須尊重基本的安全要求-特別是為了限制勒索軟體的風險。
但如果她是基本的»,(EE)它將必須採取與治理或其防禦和彈性能力相關的更重要的網路安全措施。 EE 包括列出的電信業者、雲端供應商、市場、資料中心、搜尋引擎、社交網路、DNS 供應商(網域名稱系統)以及某些主管部門。
在任何情況下,IE 和 EE 都必須向 Anssi 提供資訊、採取風險管理措施並報告任何安全事件。請注意,對於那些首先關注的人來說,遵守這些新標準應該意味著巨大的成本——根據Anssi 的說法,平均成本將接近40 萬歐元,去年3 月,Anssi 在一份解釋性說明中解釋道。知情者。如果違規,實體將面臨高達全球年營業額 2% 或 1000 萬歐元的巨額罰款。
企業和行政部門何時需要申請 NIS2?
如果法國遲於轉換 2022 年 12 月 14 日的指令,即使沒有轉換法,歐洲文本也將從下週五開始適用。在所有情況下,換位項目都將受到密切監控:換位法實際上可能包含由於法國法律或立法者意願而產生的某些特殊性,具體取決於指令中定義的迴旋餘地。
但 Anssi 在去年 3 月的解釋性說明中已經計劃,最後期限將是“留給參與者遵守,2024 年 10 月 17 日是監管文本生效的最後期限,而不是實施的最後期限」。高級數位和郵政委員會在其報告中回顧了這一點10月3日關於NIS 2換位問題的意見: «合規截止日期定為2027年12月31日»。
換句話說,安西周五不會實施制裁。該機構執行長文森特‧斯特魯貝爾(Vincent Strubel) 去年9 月在Hexatrust 暑期大學(法國網路產業匯聚一堂)期間回憶道,2027 年之前,不會對不遵守NIS 2 的行為實施制裁。
