隨著數字化轉型的加速,網絡安全和產品生命周期安全逐漸成為企業關注的焦點。2024年,一些新的安全立法即將實施,對機器制造商和最終用戶提出了更高的要求。今天,我們就來聊聊這些變化以及企業應該如何準備。
NIS 2: 更大的范圍 更多的義務
歐盟《網絡和信息系統安全指令2》(NIS 2)旨在提升整個歐盟的網絡安全水平。與之前的NIS 1相比,NIS 2擴大了應用行業范圍,包括制造業、數據處理設備制造商、電子和光學產品、電氣設備、汽車及零部件以及其他任何車輛制造業。在這些行業中,員工人數超過50人或年營業額超過1000萬歐元的公司都將受到影響。
根據NIS 2,相關公司未來將有義務實施網絡安全風險管理措施,如創建信息系統的風險分析和安全概念、保護供應鏈和人員安全、制定訪問控制和工廠管理概念。管理層還必須接受強制培訓。在發生重大安全事件時,必須在24小時內發出預警,并在72小時內通知相關監管機構。
違反規定可能會面臨高達700萬歐元或年營業額1.4%的重罰,甚至可能追究自然人(高級雇員)的責任。該指令已于2022年底由歐洲議會和歐盟理事會通過,歐盟成員國需在2024年10月18日前將其納入國內法律。
Cyber Resilience Act:產品全生命周期的安全
2022年9月,歐盟委員會提交了一項旨在提高產品網絡安全的法規草案,即網絡彈性法案(Cyber Resilience Act),旨在加強歐盟數字產品的網絡安全,整合現有網絡安全監管框架。該法案對包括軟件在內的數字產品提出了大量網絡安全要求。
根據網絡彈性法案,只有保證適當網絡安全水平的產品才能上市,且這一要求適用于產品的整個生命周期。專家預計該法規將在不久被采納。作為歐盟法規,網絡彈性法案將在歐盟成員國立即生效。該法案與《網絡和信息系統安全指令2》(NIS 2指令)、《網絡安全法》、《人工智能法案》和《通用數據保護條例》(GDPR)等有著密切聯系,有可能成為最重要的歐盟網絡安全法律之一。
企業應對之策
歐盟法規歷來是各國法規更新的"風向標",顯然網絡信息安全越來越受到重視,并且逐步在立法層面有所體現。面對這些即將到來的法律變化,企業需要采取積極措施來確保合規。
作為安全自動化領域的知名品牌,皮爾磁憑借敏銳的行業嗅覺,已在網絡信息安全方面投入了很多的資源,在行業內最早提出了"沒有信息安全,就沒有安全自動化"的概念。對于行業內的用戶,就如何應對標準的變化,皮爾磁給大家幾點小建議:
1. 了解法律要求
利用各種可能的渠道,了解NIS 2和Cyber Resilience Act的具體要求,評估其對企業運營的影響。
2. 風險管理
建立或更新網絡安全風險管理措施,包括風險分析、安全概念等。
3. 培訓和教育
為管理層和員工提供網絡安全培訓,提高他們的安全意識和能力。
4. 合規性評估
定期進行合規性評估,確保企業的操作符合最新的法律法規。
5. 尋求專業支持
考慮與專業機構合作,通過他們提供的培訓課程和服務,幫助企業滿足法規的要求。
皮爾磁正在密切關注工業信息安全領域的各項法律法規的變化,在培訓和咨詢的業務中也在逐步引入相應的內容。作為企業而言,需要保持"警覺",積極適應新的安全要求。通過提前準備和采取正確的措施,企業不僅能夠確保合規,還能提升自身的網絡安全管理和產品安全水平。
