《歐盟網(wǎng)絡(luò )與信息系統指令》(簡(jiǎn)稱(chēng)NISD)將于2018年5月9日正式生效，為了敦促各企業(yè)妥善落實(shí)網(wǎng)絡(luò )安全防護措施，英國政府已在不久前警告其國內各重要行業(yè)必須提升自身網(wǎng)絡(luò )安全水平，否則將面臨《歐盟網(wǎng)絡(luò )與信息系統指令》帶來(lái)的巨額罰款。目前，英國相關(guān)部門(mén)將對處置不當的企業(yè)苛以最高 1700 萬(wàn)英鎊(約合人民幣1.51億元)的罰款。

NISD與GDPR于2016年7月6日通過(guò)的《歐盟網(wǎng)絡(luò )與信息系統安全指令》將于2018年5月9日正式生效，并將在各歐盟成員國內得到普及。2018年5月9日同時(shí)也是歐盟《通用數據保護條例》GDPR的生效時(shí)間。企業(yè)如果涉及與歐盟的合作，將不得不參考GDPR、NISD這兩個(gè)文件的要求。

NISD旨在保護GDPR未能涵蓋的網(wǎng)絡(luò )系統類(lèi)別的安全性水平，同時(shí)亦用于保證構成關(guān)鍵基礎設施(例如電力、水供應、醫療衛生以及運輸等)的各個(gè)行業(yè)的安全性。這些企業(yè)或相關(guān)職能實(shí)體在指令中被定義為“基礎服務(wù)運營(yíng)商(簡(jiǎn)稱(chēng)OES)”以及“數字服務(wù)供應商(簡(jiǎn)稱(chēng)DSP)”。

歐盟各國可靈活落實(shí)NISD

由于NISD屬于指令而非規定，因此其在各國的具體實(shí)施方式具有一定的靈活性空間。舉例來(lái)說(shuō)，英國政府此前曾提出，根據該指令執行的罰款額度應該在1000萬(wàn)歐元至2000萬(wàn)歐元(約合人民幣7835萬(wàn)元到1.57億元)之間，或者該企業(yè)全球年營(yíng)業(yè)額的2%至4%之間。而目前已經(jīng)實(shí)施的最高罰款額度為1700萬(wàn)歐元(約合人民幣1.51億元)。

英國方面已經(jīng)明確表示，遭遇安全入侵的基礎服務(wù)運營(yíng)商企業(yè)不會(huì )自動(dòng)觸發(fā)罰款條例，最終結果具體取決于各行業(yè)監管機構或主管部門(mén)的實(shí)際判斷。而判斷的主要依據，則為遭遇安全違規的基礎服務(wù)運營(yíng)商/數字服務(wù)供應商是否具備充分的網(wǎng)絡(luò )安全保障機制。具體來(lái)講，這很可能取決于該公司是否已經(jīng)實(shí)施英國國家網(wǎng)絡(luò )安全中心(簡(jiǎn)稱(chēng)NCSC，隸屬于GCHQ)于上周日發(fā)布的《NIS指令：頂級目標準則》。

英國政府方面同時(shí)指出，新的監管機構亦將能夠評估各關(guān)鍵行業(yè)，旨在確保計劃的健全度水平。

NISD的核心要求歐盟NISD中的核心部分體現在第14條：安全要求與事件通報。其中規定：“各成員國應確�；�礎服務(wù)運營(yíng)商采取適當且適度的技術(shù)與組織措施，從而管理網(wǎng)絡(luò )及信息系統所面臨的安全風(fēng)險�！�

英國國家網(wǎng)絡(luò )安全中心(NCSC)準則指出，上述目標可通過(guò)確保四類(lèi)頂級目標遵循14項安全原則的方式實(shí)現，這四類(lèi)頂級目標包括：

• 管理安全風(fēng)險;
• 抵御網(wǎng)絡(luò )攻擊;
• 檢測網(wǎng)絡(luò )安全事件;
• 最大程度降低網(wǎng)絡(luò )安全事件影響。

在此之后，各項目標又被進(jìn)一步拆分為一系列普適性安全原則。NCSC方面表示：“每一項原則都闡述了需要實(shí)現的強制性安全成果�！�

這四項目標當中，只有一項傳統網(wǎng)絡(luò )安全觀(guān)點(diǎn)——即抵御網(wǎng)絡(luò )攻擊——提到商業(yè)與重要組織之間的差異。對于前者，主要以個(gè)人信息及盈利能力為運營(yíng)動(dòng)機; 對于后者，運營(yíng)連續性(或恢復能力)則更為重要。Mimecast公司安全產(chǎn)品管理總監史蒂夫·馬龍評論稱(chēng)，“這項立法明確強調了這一舉措不再屬于單純的保護性網(wǎng)絡(luò )安全思維。強大的業(yè)務(wù)連續性策略正得到前所未有的重視，旨在確保各組織機構能夠在攻擊期間繼續運行，并在事后快速實(shí)現恢復�！�

抵御網(wǎng)絡(luò )攻擊目標同時(shí)承認，單憑技術(shù)因素并不足以構建起完整的解決方案。舉例來(lái)說(shuō)，其中的B1原則面向政策及程序，B6原則負責處理員工意識與培訓工作。

安全意識培養仍是重中之重Cyber Rik Aware公司創(chuàng )始人兼CEO斯蒂芬·伯克表示強烈支持“運營(yíng)連續性”。他指出，關(guān)鍵基礎設施的主要威脅來(lái)源為民族國家攻擊者，而不僅僅是普通網(wǎng)絡(luò )犯罪分子。民族國家通常會(huì )利用‘人’這一因素進(jìn)行攻擊，例如沙特石油公司曾因攻擊者入侵而導致35000臺設備遭到影響，而其根源僅僅是一位該公司員工點(diǎn)擊了一封魚(yú)叉式釣魚(yú)郵件中的鏈接，因為這項不經(jīng)意的操作，令全球約十分之一石油供應陷入風(fēng)險之中。這再次強調了一項事實(shí)，即無(wú)論機構規模多么龐大，無(wú)論現有防御技術(shù)多么復雜，其仍然需要幫助員工意識到自身所面臨的網(wǎng)絡(luò )風(fēng)險，并了解攻擊者究竟如何突破層層防范�！�

《歐盟網(wǎng)絡(luò )與信息系統指令》(NISD)關(guān)注的并不只有網(wǎng)絡(luò )攻擊與數據丟失。英國政府宣稱(chēng)，NISD“還將涵蓋對IT體系造成影響的其它威脅，包括電力中斷、硬件故障以及環(huán)境危害等等。根據新的措施，網(wǎng)絡(luò )與信息系統(簡(jiǎn)稱(chēng)NIS)指令將涵蓋WannaCry以及近期出現的一系列高關(guān)注度系統故障事件。這些事件必須被上報至監管機構，并由監管機構評估受影響組織是否擁有適當的安全措施，且有權發(fā)布具有法律約束力的指令，從而提高安全性并在適當情況下處以罰款�！�

這就帶來(lái)了新的問(wèn)題。大多數重要行業(yè)擁有客戶(hù)數據庫，因此可能需要遵循GDPR、NISD以及其它各類(lèi)現有行業(yè)內特定法規。ThinkMaarble公司CEO安迪·麥爾斯警告稱(chēng)：根據這項新的立法，企業(yè)可能同時(shí)受到GDPR、政府以及監管機構的處罰，這意味著(zhù)其中存在雙重甚至是三重風(fēng)險。

英國政府在答復文件中規定了不同重要部門(mén)的對應監管機構(主管部門(mén))。這一角色通常由政府本身扮演，即對應部長(cháng)——不過(guò)其中數字服務(wù)供應商的主管部門(mén)與GDPR同樣為指定為英國信息專(zhuān)員辦公室(ICO)。這意味著(zhù)一旦部長(cháng)人選有所變化，很有可能導致混亂及一致性缺失; 此外，政治形勢的變化也可能對執法水平造成直接影響。麥爾斯建議稱(chēng)，NCSC應與信息專(zhuān)員開(kāi)展合作，帶著(zhù)制定制裁性措施，監管機構則負責為其提供反饋信息才是理想的職能分配方式，而非二者顛倒。

企業(yè)還需做大量工作NISD還面臨著(zhù)被GDPR所覆蓋的危險。更令人擔憂(yōu)的是大多數相關(guān)組織還沒(méi)有做好在2018年5月的最后期限之內迎接新法令的準備。麥爾斯警告稱(chēng)，“27%的受訪(fǎng)者(政府咨詢(xún)期間)表示沒(méi)有計劃實(shí)施更進(jìn)一步的安全措施，31%的受訪(fǎng)者不知道所在組織是否會(huì )做出相應改變。這意味著(zhù)對企業(yè)的安全教育還有大量工作要做，特別是強調保護其自身免受網(wǎng)絡(luò )攻擊影響的重要意義。

思科公司EMEAR數據保護與隱私官勞瑞娜·馬西亞諾在接受采訪(fǎng)時(shí)表示，隱私成熟度不高的組織所遭受的損失要遠遠大于具備成熟隱私制度的組織，這意味著(zhù)遵循NISD規定“不應只是一種出于逃避罰款的行為，而應代表著(zhù)相關(guān)組織機構愿意采取更為嚴格的準則，從而保障自身長(cháng)期經(jīng)濟利益并保護客戶(hù)數據�！�

這意味著(zhù)英國國家網(wǎng)絡(luò )安全中心(NCSC)準則應被視為重要行業(yè)的行為基準，甚至采取高于這一水平的保障舉措。而相關(guān)工作的第一步，無(wú)疑在于分析現有安全控制措施與NCSC準則要求之間的差距。

Context Information Security公司網(wǎng)絡(luò )安全首席咨詢(xún)師羅伯特·奧評論表示，重要的是，要想滿(mǎn)足《歐盟網(wǎng)絡(luò )與信息系統指令》這(NISD)四項目標與14項原則，則必須實(shí)現一定程度的網(wǎng)絡(luò )成熟度。而這樣的網(wǎng)絡(luò )成熟度要求遠遠超出規定性的、基于合規要求的實(shí)踐方針。即指令涵蓋下的各職能實(shí)體將需要以等同于GDPR的態(tài)度高度重視NISD，至少二者罰款金額都比較大。這就要求各基礎服務(wù)運營(yíng)商與數字服務(wù)供應商評估其現有網(wǎng)絡(luò )安全與適應能力，找出自身與NISD要求間的差距，同時(shí)制定改進(jìn)計劃以彌補這么差距，最終逐步實(shí)現網(wǎng)絡(luò )安全水平的超越。