欧盟商定修订版NIS2指令，加强关键领域安全保护

2022年5月12日晚，欧盟（EU）同意了针对关键服务组织的新网络安全立法，已就新立法达成政治协议，新网络安全立法将对关键行业组织实施通用的网络安全标准。

由于“我们社会的数字化和互联程度越来越高，全球网络恶意活动的数量也在不断增加”，欧盟原有的网络和信息系统安全规则（NIS指令）亟待更新。2021年12月，欧盟委员会提出了修订后的网络与信息安全指令（NIS2），旨在通过保护更多脆弱的部门和增加成员国网络安全机制之间的互联互通来支撑一个更具适应性的欧洲。而后欧盟成员国和欧洲议会经过商议，于5月12日就NIS2达成了政治协议，该政治协议一经通过，成员国将需要在21个月内将新要求转化为国家法律。

与NIS相比，NIS2指令将原先指令所涵盖的部门范围扩大：涵盖在关键部门运营的大中型组织，包括公共电子通信服务，数字服务，废水和废物管理，关键产品制造，邮政和快递服务，医疗保健和公共管理等提供商，并要求这些实体在24小时内向当局标记网络安全事件，修补软件漏洞并准备风险管理措施。同时，NIS2消除了NIS中基本服务运营商（OES）和数字服务提供商（DSP）之间的区别，在将数字基础设施认定为“基本实体”、数字提供商认定为“重要实体”的基础上，对“基本和重要实体”实施风险管理和风险报告要求。它还旨在制定更严格的执法要求，并协调成员国之间的制裁制度：基本服务的运营商将因不遵守规定而面临高达年营业额2%的罚款，而对于重要服务提供商，最高罚款为1.4%。

欧盟近年来在数字安全领域不懈努力，一直在努力实现社会的数字化转型。在过去的几个月里，欧盟就欧洲数字战略制定了许多法案和规定，如《数字市场法》和《数字服务法》等。就NIS2达成的此项政治协议，是欧洲数字战略的另一个重要突破，是为确保公民和企业受到保护并信任基本服务做出的更大努力。

信息来源 / Source of Information

• https://www.infosecurity-magazine.com/news/eu-cybersecurity-legislation/ 
• https://www.reneweuropegroup.eu/news/2022-05-12/nis2-deal-ensures-a-modernised-and-enhanced-common-european-cybersecurity-space

文章来源：苏州信息安全法学所