隨著網路犯罪的持續增加,並考慮到我們的全球經濟依賴數據驅動的決策,歐盟發布了將對每個企業產生影響的新立法:新的網路和資訊安全(NIS)指令和通用資料保護法規(GDPR)。
NIS 指示純粹關注安全
促進風險管理文化並確保報告最嚴重的事件,並適用於 (i) 「基本服務業者」——提供國家關鍵國家基礎設施要素的組織——即能源、運輸、衛生、銀行等領域的營運商; (ii) 「數位服務供應商」-雲端供應商、網路交易所、線上市場,不屬於微型和小型企業。
GDPR 專注於資料隱私
旨在將資料保護立法帶入現代,適用於所有處理歐盟公民資料的公司,
但員工人數少於 250 人的組織
在記錄保存方面除外,以及一些與國家安全相關的例外情況。
NIS 指令(由於它是歐盟指令,而不是法規,需要在之前在
每個歐盟成員 國作為地
方立法實施)和 GDPR 將在歐盟要求這些立法所涵蓋的組織在此日期之前建立合規性。到那時,組織迫切需要規劃和改進其整體 印度電子郵件列表 安全策略,以遵守或可能發生違規(NIS 對安全事件有通知要求,而 GDPR 對個人資料外洩),實體可能必須捍衛其使用— 或缺乏使用— 一系列技術和程序。
違規行為的處罰是巨大的
其主要效果將是將網路資訊安全和資料保護 回波數據 作為業務風險的關注直接納入董事會。沒有董事會成員願意向股東解釋為什麼利潤和股價因安全或資料外洩而下跌並導致巨額罰款。就 NIS 指令而言,每個歐盟成員國都有責任確定處罰措施,但該指令確 傳真清單資源 實規定處罰必須「有效、相稱和具有勸阻性」。國家情報院授予當局對私人企業涉嫌違規行為進行審計的權力。執法將與相關法規結合,特別是GDPR中包含的處罰和罰款:根據侵權類型,罰款將高達1000萬歐元或全球營業額的2%;或高達 2000 萬歐元或全球年營業額的 4%。
安全要求“最先進的”
NIS 和 GDPR 有不同的規則和範圍,但就其各自對基本服務業者、數位服務提供者、資料控制者或資料處理者提出的安全要求而言,兩項立法均要求公共或私人實體「考慮」1 和「考慮」網路安全的2 個 最新技術(分別為 NIS 和 GDPR)。因此,組織在決定如何投資以減輕與保護依賴於網路和資訊系統的基本服務相關的風險時,必須考慮最先進的安全技術和實踐(在 NIS 指令的情況下) ,並具有資料保護(就GDPR而言)。
然而,兩項立法都沒有明
確定義該術語,也沒有明確要求使用特定技術。原因當然是因為安全能力和 IT 的發展和成熟相對較快,而立法通常是長期的。
由於 NIS 指令要求每個歐盟
成員國在當地實施,也許我們可以期望未來的立法會更加精確。 NIS 指示指出3 成員國應鼓勵使用歐洲或國際公認的與網路和資訊系統安全相關的標準和規範, ENISA應與成員國合作,制定有關技術和資訊安全的建議和指南。就 GDPR 4而言 ,代表控制者或處理者類別的協會和其他機構可以製定行為準則,或修改或擴展此類準則,以明確本法規的應用。您似乎需要持續監控此類標準和行為準則,或遵循 ISO 標準、PCI DSS……以獲得某種指導並遵守規定。