ZCyberNews
English
行业动态4 分钟阅读

欧盟因NIS2网络安全法延迟起诉四个成员国

欧洲委员会对爱尔兰、西班牙、法国和荷兰提起法律诉讼,因其未能将NIS2指令转化为关键基础设施网络安全的国内法律,20...

EU flag and Court of Justice of the European Union building in Luxembourg

执行摘要

欧洲委员会于周三向欧洲联盟法院提起法律诉讼,针对爱尔兰、西班牙、法国和荷兰未能将NIS2指令转化为国内法律,该指令是欧盟针对关键基础设施的旗舰网络安全法。这四个成员国已经超过原定的2024年10月最后期限20多个月,导致医院、能源网络、运输运营商和公共行政机构没有得到强制的最低安全标准。委员会寻求一次性罚款和持续的每日罚款,直到每个国家正式通知完全转化,尽管实际上很少收取此类罚款。

技术分析

NIS2(指令(EU)2022/2555)取代了2016年的网络和信息安全指令,将覆盖范围从少数几个部门扩展到包括医疗保健、能源、运输、数字基础设施和公共行政在内的18个关键部门。该指令引入了原法律所缺乏的强制性风险管理措施、事件报告义务和供应链安全要求。它还建立了一个国家计算机安全事件响应小组(CSIRTs)网络,支撑着欧盟的网络弹性法案,其漏洞报告义务将于2027年开始适用。

截至2025年1月,欧盟27个成员国中只有六个国家将NIS2转化为国内法律。委员会的法律行动针对的是进展最小的四个国家。根据负责部长的说法,爱尔兰的国家网络安全法案预计将在2026年底前通知,该法案将转化NIS2并将国家网络安全中心置于法定基础上。截至撰写本文时,西班牙、法国和荷兰尚未发布可比的时间表。

该文件与ENISA对截至2025年6月的一年内影响欧盟集团的数千起网络安全事件的警告相吻合。根据ENISA的数据,公共行政是最受攻击的关键部门,占事件的38%,其次是运输占7.5%。2月在慕尼黑发言的欧洲委员会技术负责人Henna Virkkunen警告说,欧盟再也不能对对手关闭关键基础设施的能力“天真”,他引用电网、医院和金融系统作为日益暴露的例子。

缓解措施与建议

在上述四个成员国运营的组织应监控国家立法进展,并在转化接近时准备NIS2合规要求,即使有所延迟。关键基础设施部门的防御者应在可能的情况下自愿实施指令的核心风险管理和事件报告框架,因为ENISA数据显示,无论法律转化状态如何,这些部门都在积极受到攻击。委员会单独提出修改NIS2以获得更大法律清晰度的建议可能会进一步减轻合规负担,但尚未为这些修正设定时间表。

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。

标签:#nis2#eu-cybersecurity#critical-infrastructure#enisa#european-commission

相关文章