随着数字化转型的加速,网络安全和产品生命周期安全逐渐成为企业关注的焦点。2024年,一些新的安全立法即将实施,对机器制造商和最终用户提出了更高的要求。今天,我们就来聊聊这些变化以及企业应该如何准备。
NIS 2: 更大的范围 更多的义务
欧盟《网络和信息系统安全指令2》(NIS 2)旨在提升整个欧盟的网络安全水平。与之前的NIS 1相比,NIS 2扩大了应用行业范围,包括制造业、数据处理设备制造商、电子和光学产品、电气设备、汽车及零部件以及其他任何车辆制造业。在这些行业中,员工人数超过50人或年营业额超过1000万欧元的公司都将受到影响。
根据NIS 2,相关公司未来将有义务实施网络安全风险管理措施,如创建信息系统的风险分析和安全概念、保护供应链和人员安全、制定访问控制和工厂管理概念。管理层还必须接受强制培训。在发生重大安全事件时,必须在24小时内发出预警,并在72小时内通知相关监管机构。
违反规定可能会面临高达700万欧元或年营业额1.4%的重罚,甚至可能追究自然人(高级雇员)的责任。该指令已于2022年底由欧洲议会和欧盟理事会通过,欧盟成员国需在2024年10月18日前将其纳入国内法律。
Cyber Resilience Act:产品全生命周期的安全
2022年9月,欧盟委员会提交了一项旨在提高产品网络安全的法规草案,即网络弹性法案(Cyber Resilience Act),旨在加强欧盟数字产品的网络安全,整合现有网络安全监管框架。该法案对包括软件在内的数字产品提出了大量网络安全要求。
根据网络弹性法案,只有保证适当网络安全水平的产品才能上市,且这一要求适用于产品的整个生命周期。专家预计该法规将在不久被采纳。作为欧盟法规,网络弹性法案将在欧盟成员国立即生效。该法案与《网络和信息系统安全指令2》(NIS 2指令)、《网络安全法》、《人工智能法案》和《通用数据保护条例》(GDPR)等有着密切联系,有可能成为最重要的欧盟网络安全法律之一。
企业应对之策
欧盟法规历来是各国法规更新的"风向标",显然网络信息安全越来越受到重视,并且逐步在立法层面有所体现。面对这些即将到来的法律变化,企业需要采取积极措施来确保合规。
作为安全自动化领域的知名品牌,皮尔磁凭借敏锐的行业嗅觉,已在网络信息安全方面投入了很多的资源,在行业内最早提出了"没有信息安全,就没有安全自动化"的概念。对于行业内的用户,就如何应对标准的变化,皮尔磁给大家几点小建议:
1. 了解法律要求
利用各种可能的渠道,了解NIS 2和Cyber Resilience Act的具体要求,评估其对企业运营的影响。
2. 风险管理
建立或更新网络安全风险管理措施,包括风险分析、安全概念等。
3. 培训和教育
为管理层和员工提供网络安全培训,提高他们的安全意识和能力。
4. 合规性评估
定期进行合规性评估,确保企业的操作符合最新的法律法规。
5. 寻求专业支持
考虑与专业机构合作,通过他们提供的培训课程和服务,帮助企业满足法规的要求。
皮尔磁正在密切关注工业信息安全领域的各项法律法规的变化,在培训和咨询的业务中也在逐步引入相应的内容。作为企业而言,需要保持"警觉",积极适应新的安全要求。通过提前准备和采取正确的措施,企业不仅能够确保合规,还能提升自身的网络安全管理和产品安全水平。