NIS 2 指令

NIS 2 指令是歐盟指令，旨在確保歐盟內具有普遍高水準的網路資安。其取代自 2016 年起的原始 NIS 指令，並增強資安要求、解決供應鏈的資安問題，並引入協調罰則。NIS 2 指令於 2022 年底由歐洲議會和歐盟理事會通過，並已自 2024 年 10 月 18 日起在歐盟適用。成員國必須將該指令轉置為國內法律。

NIS 2 主要述及對於公司的要求：

儘管 NIS 1 指令主要適用於關鍵基礎設施以及相關數位服務的供應商，但 NIS 2 指令將範圍擴展成包含生產貿易，尤其是：工程、資料處理裝置的製造商、電子與光學產品、電氣設備、機動車輛及機動車輛零件，以及任何其他車輛建構。在這些產業中，擁有超過 50 位員工或 1,000  萬歐元以上年營業額或年度資產負債表的公司將受到影響。

為達成 NIS 2 合規性，受到影響組織必須採取幾項措施，包含：

• 風險管理：實行識別和評估風險的程序。
• 資安措施：引入技術與組織措施以降低風險。
• 回報事件：建立向主管機關回報資安事件的流程。
• 監控與審核：定期對資安措施進行回顧和評估。

NIS 2 將由負責監控和確保符合該指令的歐盟成員國的國家主管機關執行。在德國，主管機關是聯邦資訊安全局（BSI）。

執行措施：

1. 回報義務：公司必須回報資安事件。NIS 2 引入三級回報系統，以改善透明度和反應能力。
2. 監管措施：德國聯邦資訊安全局（BSI）已擴展權力進行審核和檢測，以驗證是否符合資安要求。
3. 罰則：不遵守該指令可導致處罰，這依侵害的嚴重程度而定。

支援與建議：
BSI 可為受到影響公司提供支援和建議，以促進 NIS 2 的實行。公司應採取積極措施改善其 IT 資安，並為新要求做好準備。 歐盟網路安全局（ENISA）可提供有關網路資安的大量有用資訊。

NIS 2、網路韌性法案及機械規則是全方位歐盟監管架構的一部分，可增強網路資安和韌性。儘管 NIS 2 著重於網路、資訊系統及企業級要求的資安，但網路韌性法案旨在改善具備數位元件產品的網路資安。機械規則藉由明確說明對於機械設備和工業產品的資安要求完善這些措施。

• 附加工業資安規範（包含 IEC 62443）
• 歐盟網路安全局（ENISA）