合规要求不断演变,您是否已具备充分的韧性?
NIS2 和 DORA 提高了更多行业的风险水平
十年前,我们作为隐私专业人员的工作重点是确保自己所在的企业在收集个人数据时保持透明和周到,给予个人选择权,精心保护数据,并在个人数据遭到泄露时提供相关义务和最佳实践方面的建议。
如今,我仍然在做这些工作。但是,由于欧盟的网络和信息系统安全指令 2.0(NIS2)等新法规改变了网络安全监管环境,我的职责范围已经扩大,不仅包括保护个人数据隐私,还包括应对威胁这些个人数据所依赖的服务之完整性与可用性的各类风险。这意味着,我需要花费大量时间与 Cloudflare 产品团队和工程团队合作,一起讨论与产品可用性和韧性相关的事务。我们致力于制定用于评估中断影响的方法,确定必须报告哪些事件,并在必要时实际撰写报告和制定响应措施。
我并不是唯一感知到隐私与合规领域正在发生变化的人。根据国际隐私专业人员协会的《2024 年隐私治理报告》,超过 80% 的隐私专业人员承担了超越其传统隐私职责的工作。工作量不断增加的受访者表示,网络安全监管合规已成为他们的第二大最常见新增职责。除了保护隐私之外,我们现在还需要确保所在企业在降低网络风险和增强网络韧性方面取得进展。
应对新法规
隐私专业人员的职责变化体现了数据监管环境的重大转变。在过去两年里,一系列新法规的出台让韧性和风险管理与数据隐私一样,成为确保合规的关键。
从欧盟的《通用数据保护条例》(GDPR) 开始,第一波主要数据隐私和安全法规的重点是保护个人数据免受泄露的危害。遵守 GDPR、《加州消费者隐私法》和其他类似法规,即意味着尊重数据主体的权利,限制机构/组织收集的个人数据量,以及保护这些信息免遭未经授权的披露和恶意行为者的侵害。
自 2023 年以来生效�的三项新 法规代表着合规要求的变化:《网络和信息系统安全指令 2》( NIS2)、《数字运营韧性法案》( DORA),以及美国证券交易委员会 (SEC) 的“网络安全规则”。NIS2 旨在提高欧洲 18 个行业的数字韧性和安全实践,而 DORA 侧重于金融行业的 IT 风险管理。SEC 的新规则提高了美国上市公司的安全和报告标准。
由于 NIS2 涵盖了整个欧洲的众多行业,因此,三者之中它的影响可能最广泛。NIS2 要求企业更全面地评估风险,更迅速地处理事件,并采取更多措施来确保业务连续性。
NIS2 要求企业解决以下问题:
所有 IT 资产的跨环境可视性,从而实现全面的风险评估和主动的事件处理。
为关键系统提供支持的软件供应链安全。
贯穿网络和信息系统整个生命周期的安全。
关键业务 Web 应用易遭受第三方威胁。
针对各种用户类型、设备和系统的加�密、访问控制和身份验证。
与前一版,也就是最初的《网络和信息系统安全指令》(NIS) 相比,NIS2 还将这些安全、隐私和韧性要求应用于更广泛的行业和组织。NIS 适用于作为多个“关键”国家基础设施的行业,包括能源、交通运输、银行和金融、供水,以及医疗保健。NIS2 将废水管理、航天工业、公共行政管理和以及托管的 B2B IT 服务添加到该类别中。它还将六个新的行业添加到“重要”类别,分别是:废物管理、食品加工、研究、邮政和快递服务、化学品生产和分销,以及某些类型的制造业。
这两个类别的公司都面临着相同的基本要求,但 NIS2 要求关键行业的企业主动证明其合规。至关重要的是,NIS2 的要求不仅适用于所涵盖的企业,而且还适用于这些企业使用的第三方数据处理者。
根据 NIS2 的规定,欧盟关键或重要行业的中型企业(员工人数超过 50 人或年营业额超过 1000 万欧元)现在必须遵守严格的安全标准。不遵守标准可能会导致严重后果:“关键”行业的企业将被罚款,最高金额相当于其全球收入的 2%;“重要”行业的企业将被罚款,最高金额相当于其全球收入的 1.4%。屡次不合规可能会导致服务暂停或相关员工被停职。
最终结果:更多行业的更多企业需要遵守严格的安全和韧性标准。而隐私团队在帮助满足这些要求方面发挥着关键作用。
在现�有隐私投资的基础上,提高韧性
NIS2 监管范围内的许多企业首次面临严格的网络安全法规。在此过程中,这些企业还需要管理我们所有人在现代 IT 环境中面临的复杂性,因为其运营跨本地系统、混合云部署和边缘设备。
NIS2 确定了所涵盖的实体必须采取的 10 项风险管理措施。这些措施包括评估各种风险并制定相应的计划,例如供应链漏洞、自然灾害、网络中断,以及人为错误。这种复杂的风险组合交错存在于现实世界与数字世界中。
不过,对于受监管的企业和努力确保合规的隐私团队来说,也有一个好消息:他们为构建成熟、全面的隐私计划所做出的许多努力,可用于帮助企业遵守网络安全法规。
例如,NIS2 的风险评估要求,受监管的公司对其 IT 资产进行全面盘点。对于金融公司来说,DORA 也发挥相同的作用。为确保隐私合规而开发的现有数据图,让企业能够抢先了解其资产集合及当前面临的风险。
隐私团队在满足 NIS2 和其他新法规的事件处理需求方面发挥着重要作用。例如,我们会帮助确定在怎样的情况下,事件达到报告阈值,并与可观察性团队合作,确保企业拥有必须与监管机构和公众共享的数据。
实现合规,且不增加复杂性
不过,无论企业的基础多么坚固,满足 NIS2 要求会带来新的技术挑战。对于许多企业来说,业务连续性取决于 Web 应用是否持续可用。这意味着,需要在网络层、传输层和应用层抵御可能发生的分布式拒绝服务 (DDoS) 攻击。
受监管企业还对其使用的第三方应用及其技术栈底层软件供应链的安全性承担新的责任。违规行为将面临严厉的处罚,这使得网络安全的基本原则比以往任何时候都更加重要,例如:预防网络钓鱼和恶意软件攻击、访问控制和管理,以及妥善使用密码学、加密和多因素身份验证 (MFA)。
没有任何单个系统或软件可以充分应对这些挑战。这是一个战略问题,融合了技术、策略、流程和创新。但工具确实至关重要。选择可以适合不断变化的监管环境的安全解决方案,可以降低企业在追求合规过程中遇到的复杂性和成本。
在评估 NIS2 网络安全解决方案时,您需要思考以下三个关键问题:
这些解决方案是否足够灵活,能够适应复杂的 IT 环境?有些单点解决方案可能非常适合 NIS2 合规的个别要求,但将多个解决方案整合到混合环境中可能会增�加管理的复杂性,并留下安全漏洞。
这些解决方案是否简化了可见性?盘点 IT 资产、识别潜在的安全问题,并快速调查威胁,这是确保 NIS2 合规的关键。适当的安全平台可以按需提供可见性和报告。
这些解决方案是否能够确保业务连续性?Web 应用中断会威胁关键服务的可用性。寻找能够通过多层攻击防护的解决方案,缩短 Web 停机时间。
Cloudflare 全球连通云是一个统一、智能的安全和网络服务平台,让企业能够增强韧性并遵守现有和新兴的安全法规。此平台提供安全事件的主动监测和警报,可有效满足 NIS2、DORA 和美国证券交易委员会 (SEC) 网络安全规则的报告要求。Cloudflare 服务还有助于企业识别其软件供应链中的潜在漏洞,并扫描 Web 流量以检测敏感数据泄露或恶意用户。Cloudflare 产品标配先进的加密技术,客户可以配置访问控制、资产管理和身份验证。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《在欧盟遵守 NIS2 网络安全风险管理义务》白皮书,进一步了解如何满足 NIS2 合规的严格风险管理要求。
作者
Emily Hancock - @emilyhancock
Cloudflare 首席隐私官
关键要点
阅读本文后,您将能够了解:
隐私在不断变化的法规中的作用
为什么像 NIS2、DORA 和 SEC 网络安全规则这样的策略将韧性升级成一项合规 要求
如何实现合规,且不增加复杂性