导言：新的 IT 安全模式

‍

NIS2 指令于 2023 年 1 月 17 日（意大利为 10 月 16 日）生效，与之前的 NIS 指令相比发生了深刻变化。该监管框架旨在为所有欧盟成员国制定共同的网络战略，主要目标是提高整个欧盟数字服务的安全水平

‍

欧洲 NIS2 指令的实施季已正式开始，这意味着信息安全管理方法将发生重大变化。

‍

国家网络安全局（NCA）将镇压和制裁程序置于促进积极参与的次要位置，这一点值得赞赏，但落实指令目标的过程显然不能仅仅通过对安全管理系统的正式服从（即通常所说的 "纸面安全"）来解决，而是需要做出大量努力，以确定具体和可持续的安全目标。

周边的扩展：谁参与了 NIS2

NIS2 指令标志着欧洲在提高网络安全和复原力方面迈出了重要一步。说到法规和指令，许多公司将合规视为终极目标：通过满足最低要求来遵守。然而，这应被视为实现更高水平网络安全的起点。

NIS2 指令源于对 NIS 的重大改革，标志着向全面界定欧洲网络战略迈出的又一重要步骤，为成员国提供了充分的协调和创新对策，以确保在发生安全事件时数字服务的连续性。

‍

与之前的《国家信息安全指令》相比，《国家信息安全指令 2》大大拓宽了适用范围，包括废物管理、运输、食品工业、饮用水供应和分配、数字基础设施、公共管理、药品和医疗器械的生产、研究和开发以及航天领域等关键部门。

‍

第 138/2024 号法令将 NIS2 指令转化为意大利法律，其中规定这些条款将从 2024 年 10 月 16 日起适用。

‍

该法规不适用于小型企业，除非该实体被确定为《RCE 指令》意义上的 "关键 "实体、公共电子通信网络提供商、信托服务提供商，或属于其他被认为至关重要的特定类别。

‍

NIS2 也适用于雇员少于 50 人的公司，前提是这些公司在某成员国提供基本服务，其服务对公共安全、安保或健康至关重要，或者这些公司是某基本或重要公司供应链的一部分。

‍

企业面临的主要关键问题

‍

1.分层模型和分类问题的复杂性

意大利立法者选择的 "分层 "模式反映了这种操作的复杂性。第一层是标准层，即超过小企业规模限制的基本或重要主体。第二层是那些无论其规模或营业额如何，都属于特定规定类别的实体。

‍

一个重要的问题涉及规模的实际衡量，因为 "附属企业 "的概念在商业世界中并不总是 绝对清晰的。

‍

从理论上讲，两家或多家公司之间的联系与组建真正正规集团的意图无关，其结果是将那些即使单独考虑也达不到规则规定的规模限制的实体排除在中小型公司集团之外。

‍

2.经济和组织负担

当我们从这一进程的意识形态转向具体做法时，问题就大不一样了，因为它与一个基本 结构由大量中小型企业组成的国家的经济规模相冲突。这对实施 NIS2 构成了重大挑战，因为这可能会给较小的现实造成过重的负担。

‍

NIS2 指令》旨在加强欧盟的网络安全，其惩罚措施纯属行政和刑事性质。基本运营商最高可被处以 1000 万欧元或全球总营业额 2% 的行政罚款。而主要运营商则可能被处以最高 700 万欧元或全球总营业额 1.4%的罚款。

‍

3.管理责任

该法令引入了一个确定性：管理机构和理事机构将承担责任。公司的管理机构将被要求在遵守立法方面发挥积极作用，他们必须批准安全风险管理措施的实施，监督立法规定的义务的履行，并对违规行为负责。

4.事件报告和风险管理

移植法令加强了事件报告要求，规定必须向意大利 CSIRT 报告对服务提供有重大影响 的事件，不得无故拖延。通知程序规定了严格的时限：24 小时内预通知，事件发生后 72 小时内通知，事件发生后一个月内提交最终报告。

‍

NIS2 指令规定了一系列组织必须满足的主要要求，以确保高水平的网络安全。这些要求包括：风险分析和信息系统安全政策、评估风险管理措施有效性的战略，以及基本的数字卫生实践和网络安全培训。

‍

5.关注供应链

由此可见，将 NIS2 指令转化为法律的立法不仅关注被视为高度关键或重要的部门，而且还高瞻远瞩地关注其供应商，从而大大增加了可能受该法令实施影响的主体数量。

‍

NIS 2 指令规定，有义务的实体必须采取适当和相称的技术、运营和组织措施，以管理对信息系统和网络构成的安全风险，同时考虑供应链安全，包括涉及每个实体与其直接供应商或服务提供商之间关系的安全方面。

‍

需要遵守的主要期限

于是，一场必须在 2026 年 10 月之前完成的合规竞赛拉开了序幕。到 2025 年初，被确定为 NIS2 主体的企业必须实施所有计划措施，包括 IT 安全管理系统和管理责任。到 2025 年 5 月，企业必须更新机构平台中的数据。2026 年 1 月，及时报告重大事件的正式义务生效，到 2026 年 9 月，各组织必须实施所有必要的安全措施。

‍

自 2024 年 10 月 16 日起，新的网络与信息安全（NIS）法规开始生效。ACN 是网络与信息安全（NIS）主管机构和单一联络点。从 2024 年 12 月 1 日至 2025 年 2 月 28 日，适用新法规的大中型企业（某些情况下也包括小型和微型企业）和公共行政部门必须在 ACN 服务门户网站上注册。

‍

结论：必要但具有挑战性的范式转变

社会日益互联互通和数字化，使机构、企业和公民越来越容易受到网络威胁。

‍

国家网络安全局高层已公开承诺使这一进程可持续发展，这将真正成为国家应对日益增长的威胁能力的转折点。显然，这是一个深刻的文化转折点，而且直观地看，它既不会一蹴而就，也不会 "不计成本"，我们有必要拭目以待，看看国家的生产和行政结构将如何应对这一转折点。

‍

因此，适应 NIS2 不仅仅是遵守标准的问题，也是在公司中引入安全文化以及技术和组织最佳做法的良机，这可以大大提高 IT 安全水平。不过，重要的是要立即开始准备适应计划，以便通过适当的定期培训周期，分阶段使公司的各种资产和人员与标准保持一致。

即使您不是必须遵守 NIS2 指令的公司之一，开设网络风险意识课程对于保护企业的未来也非常重要。

‍

因此，NIS2 对意大利公司来说是一项复杂但必要的挑战。虽然它规定了看似繁琐的新义务和责任，但同时也提供了一个机会，让我们重新思考 IT 安全问题，将其作为一项战略要素，而不仅仅是一项成本。