NIS2：为什么公司难以遵守？

快速阅读: 据《ITProPortal》称，ENISA报告指出，NIS2实施面临挑战，尤其在IT、医疗等领域。跨境协作与行业指导不足影响合规。部分国家立法滞后，英国正调整法规以对接NIS2。专家建议加强风险评估与供应链管理。

据欧洲网络安全局（ENISA）最新报告，自欧盟《网络与信息系统2号指令》（NIS2）生效以来，许多组织仍在努力满足其要求。ENISA在审查六个关键国家基础设施领域后发现，这些领域在执行NIS2方面存在明显不足。报告指出，信息技术服务管理、航天、公共行政、海事、天然气和医疗保健等行业在落实NIS2要求上面临较大挑战。

ENISA强调，需要在每个NIS行业中实现跨境要求的统一，通过社区建设活动及各层面的合作来加强协作。报告指出，部分行业明显落后，主要原因是复杂的过时基础设施、缺乏行业特定指导以及对网络安全措施的投资不足。

Sharp UK和欧洲的信息安全总监Matt Riley表示，某些行业一开始就未准备好应对NIS2的网络安全要求。Kiteworks的主管John Lynch指出，复杂的供应链涉及众多第三方数据交换，导致敏感数据在实体间流动的可见性有限，实施安全数据共享的治理控制困难重重。

Alcatel-Lucent Enterprise首席技术安全官Vincent Lomba特别提到，信息技术服务管理因跨境性质和多样化实体参与，面临巨大挑战。医疗保健行业同样面临困境，由于复杂且相互连接的供应链、广泛使用的遗留系统和安全措施不足的医疗设备，合规难度大增。此外，医疗保健行业还常受预算紧张和资源不足的影响。

相比之下，电力、电信和银行业等行业的网络安全实践表现出较强的韧性和成熟度。这些行业得益于长期投资、严格监管和强大的公私伙伴关系，采取了积极的网络安全方法，如定期风险评估、持续监控和信息共享，使其在NIS2合规上准备更为充分。

在国家层面，法规问题也阻碍了NIS2的实施。目前仅有比利时、克罗地亚、匈牙利、意大利、拉脱维亚和立陶宛等少数成员国采用了国家立法来转译NIS2指令，其他成员国仍处于不同实施阶段。政府的能力限制和优先事项竞争导致了这一过程的延迟。

英国虽已脱欧，但仍需遵守NIS2对在欧盟开展业务的公司的影响。英国正加强自身的NIS法规，以与NIS2原则保持一致。Taylor Wessing UK的数字恢复力专家Clare Reynolds表示，英国的制度预计不会比NIS2更严格，只需少量额外政策即可符合双方要求。

针对NIS2合规，专家建议组织首先获得对其资产、系统、关键功能和网络风险暴露的清晰认识。FTI Consulting网络安全实践的高级董事总经理Ollie Gower建议采取以风险为导向的方法，注重快速成果和明确优先处理最突出的差距。短期内，公司应任命专人负责NIS2，进行全面的风险评估，并实施基本的网络安全卫生措施。长期来看，组织应建立符合国际标准的网络安全框架，进行持续监控和定期审计，确保有专门资源具备必要的技能和能力。

对于供应链风险，高风险行业需更严格地评估第三方供应商，确保合同中有明确的网络安全要求。同时，建立有效的事件响应计划并在危机时刻发挥关键作用。

(以上内容均由Ai生成)