如何减少无数网络攻击谁针对我们的企业和行政部门? 10 月 15 日星期二,账单旨在加强公共和私营部门网络安全的提案已提交给部长理事会。等待数月的文本必须转换欧洲指令“网络与信息安全2»(称为 NIS 2)。
该法案“旨在加强我们的自卫能力,以应对网络威胁»,周二部长会议结束后,政府发言人莫德·布雷根 (Maud Bregeon) 解释道。文字“涉及重要活动的弹性、关键基础设施的保护、网络安全和金融部门的数字运营弹性» 由三位部长(经济、高等教育和研究、人工智能和数字)提出。
他将给予“保护我们关键基础设施、能源、交通、健康、饮用水和金融系统的新工具»,莫德·布雷根 (Maud Bregeon) 在提到影响法国的众多计算机攻击后补充道。
账单法国立法程序的第一阶段开始……距离 10 月 18 日截止日期还有三天。因为到周五,欧盟每个国家都应该将欧洲指令 NIS 2 纳入其国家法律。目前,27 个成员国中只有两个成员国参与了该游戏:比利时和克罗地亚。法国不是其中之一:国民议会的解散推迟了通过进程。该文本已提交部长会议,现在可以纳入议会议程。
谁受到影响?
NIS 2 于 2022 年 12 月通过,修改了 2016 年欧洲网络安全立法(称为“NIS 1”),该立法涉及 600 个实体,分布在六个部门(能源、金融、饮用水、健康、交通和数字基础设施)。 NIS 2 将适用于更多参与者,“范式改变”岌岌可危。
目前,分布在 18 个行业的近 15,000 个实体受到影响。此扩展由当前上下文解释。虽然网络攻击以前仅限于几个战略目标,但现在它们的目标是经济和社会各个方向的更大领域。医院、各部委、法国工作、CAF、le Slip Français、Zadig et Voltaire、中小企业……受害者名单还在继续增加。
另请阅读:为什么法国会遭受网络攻击?
在某些条件下,地方当局、行政部门、太空、研究、废物管理、农业食品、邮政服务和数字供应商(涉及社交网络、市场、搜索引擎)领域的中型和大型公司将需要 NIS2。
安西已成立一个网站这可以让您知道您的公司是否必须遵守。因此,如果个人不受该立法的影响,他们将间接成为该立法的受益者。因为政府或公司在该领域受到的保护越多,用户或客户看到其个人数据消失的情况就越少。
该指令规定了哪些新义务?
具体而言,NIS 2 所涉及的行为者将被要求做什么?如果后者通常必须加强其网络安全水平(包括分包商),那么一切都将取决于他们在指令定义的两个类别中的分类。如果有关实体是“重要的» (EI),它必须尊重基本的安全要求——特别是为了限制勒索软件的风险。
但如果她是基本的»,(EE)它将必须采取与治理或其防御和弹性能力相关的更重要的网络安全措施。 EE 包括列出的电信运营商、云提供商、市场、数据中心、搜索引擎、社交网络、DNS 提供商(域名系统)以及某些管理机构。
在任何情况下,IE 和 EE 都必须向 Anssi 提供信息、采取风险管理措施并报告任何安全事件。请注意,对于那些首先关注的人来说,遵守这些新标准应该意味着巨大的成本——根据 Anssi 的说法,平均成本将接近 40 万欧元,去年 3 月,Anssi 在一份解释性说明中解释道。知情者。如果违规,实体将面临高达全球年营业额 2% 或 1000 万欧元的巨额罚款。
企业和行政部门何时需要申请 NIS2?
如果法国迟于转换 2022 年 12 月 14 日的指令,即使没有转换法,欧洲文本也将从下周五开始适用。在所有情况下,换位项目都将受到密切监控:换位法实际上可能包含由于法国法律或立法者意愿而产生的某些特殊性,具体取决于指令中定义的回旋余地。
但 Anssi 在去年 3 月的解释性说明中已经计划,最后期限将是“留给参与者遵守,2024 年 10 月 17 日是监管文本生效的最后期限,而不是实施的最后期限”。数字和邮政服务高级委员会在其报告中回顾了这一点10月3日关于NIS 2换位问题的意见: «合规期限设定为 2027 年 12 月 31 日»。
换句话说,安西周五不会实施制裁。该机构首席执行官文森特·斯特鲁贝尔 (Vincent Strubel) 去年 9 月在 Hexatrust 暑期大学(法国网络行业汇聚一堂)期间回忆道,2027 年之前,不会对不遵守 NIS 2 的行为实施制裁。
