运营连续性和多危险安全:如何保护欧洲的关键基础设施

admin
admin
admin
138775
文章
114
评论
2024年10月21日09:06:17评论49 views字数 2112阅读7分2秒阅读模式

运营连续性和多危险安全:如何保护欧洲的关键基础设施

https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32022L2557https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32022L2555

欧盟发布了两项关键指令来加强关键基础设施的保护和恢复能力:指令(EU) 2022/2557和指令 (EU) 2022/2555 (NIS2)。这些法规旨在确保对社会和经济运行至关重要的人员的安全,但又针对威胁的不同方面。

指令2557,在意大利通过立法法令第 2557 号实施。2024 年 9 月 4 日第 134 号并在官方公报上发布,重点关注关键主题的运营连续性。然而,第 2555 号指令( NIS2 )是通过第 2555 号立法令实施的。 

2024 年 9 月 4 日第 138 号法令,采用多风险方法,旨在提高信息和网络系统的安全性,使其免受各种威胁,不仅是网络威胁,还包括物理和环境威胁,例如盗窃、火灾、洪水、中断,甚至部分,电信和电力,以及一般未经授权的物理访问 。

指令 (EU) 2022/2557:运营连续性

指令(EU) 2022/2557,在意大利发布,立法法令编号为 2022/2557。134,其主要目标是保证能源、交通、医疗保健、水和公共管理等部门关键基础设施的运行连续性。该指令建立了一个法律框架,以预防、减轻和管理可能损害基本服务提供的物理或环境风险。

主要目标:

预防和复原力:该指令建立了一个统一的框架,以防止和减轻可能影响基本服务提供的干扰,特别关注自然灾害、恐怖袭击和气候变化等实体风险;

管理相互依存关系:欧洲的关键基础设施日益相互关联和相互依存。一个部门的中断可能会对其他部门产生连锁反应,因此采取综合方法来防止基本服务中断至关重要;

抵御自然和环境威胁:该指令涉及提高抵御自然和环境威胁的能力,促进预防措施和恢复计划,旨在确保关键实体即使在发生灾难性事件时也能继续运营;

适用范围:

该指令涵盖了广泛的部门,包括关键的有形基础设施,如能源、交通、医疗保健、食品、饮用水以及为社会提供基本服务的其他部门。

指令 (EU) 2022/2555 ( NIS2 ):信息和网络系统的安全

指令(EU) 2022/2555 (NIS2),根据第 2022/2555 号立法令实施138,重点保护信息和网络系统免受多种威胁,采取多风险方法。这意味着该指令不仅限于防范网络威胁,还考虑到可能影响网络系统安全和功能的其他物理和环境威胁。

主要目标:

综合风险管理:NIS2要求关键实体采取技术和组织措施,不仅要防止和减轻网络攻击,还要保护信息系统免受盗窃、火灾、洪水、电力或连接中断等物理威胁;

多重风险方法:NIS2 指令的独特之处在于其全面涵盖对计算机和网络系统的威胁,其中包括网络攻击(例如恶意软件或勒索软件)和非网络威胁,例如对托管结构的物理损坏支持基础设施服务的网络或中断;

事件报告和管理:该指令的中心点是实体有义务及时报告事件,确保成员国之间协调一致、有效应对,以解决国内和跨境规模的事件;

适用范围:

NIS2 将其覆盖范围扩展到传统上与关键基础设施相关的领域之外,还包括先进的数字领域,例如云服务、DNS 域管理、信任服务和电子通信服务提供商;

两个指令之间的并行性

主要目标:

指令 2557 :在存在物理和自然威胁(例如灾难或物理攻击)的情况下保证关键主体的运营连续性 (业务连续性) 。重点是即使在重大危机期间也能维持基本服务的提供;

NIS2 指令:通过考虑网络和物理威胁的多风险方法提高信息和网络系统的安全性。目标是使基本服务所依赖的 IT 系统更加安全,不仅保护它们免受网络攻击,而且还免受盗窃或自然灾害等物理事件的影响;

面临的风险类型:

指令 2557 :主要解决可能影响实体基础设施和提供基本服务能力的实体和环境威胁,例如恐怖袭击、破坏或自然灾害;

NIS2指令:解决信息系统面临的广泛的多危害风险,包括网络和非网络威胁(例如盗窃、火灾、洪水或停电),从而保护网络的完整性和可用性;

办法和措施:

指令 2557 :制定关键基础设施的运营弹性和物理连续性要求,并采取预防和恢复措施来应对物理威胁;

NIS2 指令:引入多风险网络安全方法,通过风险管理措施和弹性计划保护系统免受各种威胁(无论是网络威胁还是物理威胁);

适用范围:

指令 2557:涵盖主要包括关键实体基础设施的行业,例如能源、交通、医疗保健和食品,重点关注业务连续性(附件 A);

NIS2指令:包括广泛的数字领域,例如云服务、DNS和数字平台,并采取综合方法保护信息系统免受各种物理和网络风险(附件1-2-3-4) ;

指令(EU) 2022/2557和指令 (EU) 2022/2555 (NIS2)相辅相成,从两个互补的角度解决关键基础设施和基本服务的保护问题。2557专注于存在物理威胁时的运行连续性,确保关键实体即使在不利条件下也能继续运行。 

NIS2以其多风险方法,旨在保护信息和网络系统免受更广泛的威胁,包括那些非严格意义上的网络威胁。这些法规共同提供了解决欧洲当前安全和复原力挑战的综合愿景。

原文始发于微信公众号(网络研究观):运营连续性和多危险安全:如何保护欧洲的关键基础设施

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月21日09:06:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   运营连续性和多危险安全:如何保护欧洲的关键基础设施http://cn-sec.com/archives/3293447.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息