合規性正在演變——您的韌性準備好了嗎?
NIS2 和 DORA 法規提高更多產業的合規門檻
十年前,我們的重點在於確保組織在收集個人資料時保持透明與謹慎,讓使用者能夠對自身資料的處理方式擁有選擇權,並且細緻地保護這些資料。當個人資料發生外洩時,我們也負責提供相關義務說明與最佳做法建議。
如今,我仍然在做這些事情。但隨著像《第二版網路與資訊安全指令》(NIS2) 這類新法規的出現,網路安全監管環境已經改變,我的職責範圍也不斷擴大。我現在不僅要確保個人資料的隱私權,還需應對處理這些資料的服務在完整性與可用性方面所面臨的威脅。這意味著我花費大量時間與 Cloudflare 的產品與工程團隊合作,處理與產品可用性及韌性相關的議題。我們共同研究如何衡量服務中斷的影響、釐清哪些事件必須通報,並在必要時實際參與通報內容的擬定與回應策略的制定。
面對隱私與合規領域的這種轉變,我並不孤單。根據國際隱私專業人員協會 2024 年《隱私治理報告》,超過 80% 的隱私專業人員現在的工作範圍已超越傳統的隱私職責。對於那些職責不斷擴大的從業者而言,「網路安全合規」已成為他們新增工作中最常見的責任之一。如今,除了保護個人隱私權之外,我們還需要確保組織能夠有效降低網路風險,並增強整體營運韌性。
應對新法規
隱私權專業人員角色的變化反映了資料監管環境的重大轉變。過去兩年,一系列新法規的推出使得資料韌性和風險管理與資料隱私權一樣,成為合規性的關鍵。
從歐盟的《一般資料保護規定》(GDPR) 開始,第一波主要資料隱私和安全法規的重點是保護個人資料免受洩漏的危害。遵守 GDPR、《加州消費者隱私法案》和其他類似法規意味著尊重資料主體的權利,限制機構收集的個人資料量,並保護這些資訊免於未經授權的揭露和不良行為者的侵害。
自 2023 年以來生效的三項新法規代表了合規性的變化:《網路和資訊安全 2.0》(NIS2) 指令、《數位營運韌性法案》(DORA) 以及美國證券交易委員會 (SEC) 的《網路安全規則》。在歐洲,NIS2 旨在提高 18 個產業的數位韌性和安全做法,而 DORA 則專注於金融業的 IT 風險管理。美國證券交易委員會的新規提高了美國上市公司的安全和報告標準。
由於 NIS2 涵蓋了整個歐洲的眾多產業,其影響範圍可能是三者中最為廣泛的。 NIS2 要求組織更全面地評估風險、更快速地處理事件,並採取更多措施確保業務連續性。
NIS2 要求組織解決以下問題:
對各個環境中所有 IT 資產的可見度,以支援全面的風險評估和主動的事件處理。
支援關鍵系統的軟體供應鏈的安全性。
在網路和資訊系統的整個生命週期中確保安全。
任務關鍵型 Web 應用程式對第三方威脅的脆弱性。
加密、存取控制和驗證適用於各種使用者類型、裝置和系統。
相比其前身——最初的《網路和資訊安全指令》(「NIS」),NIS2 提出了更廣泛的產業和組織安全、隱私和韌性要求。NIS 適用於多個作為關鍵國家基礎設施的產業,包括能源、交通、銀行和金融、水利和醫療保健。NIS2 將廢水管理、航太工業、公共行政以及託管式 B2B IT 服務新增至此類別。它還將六個新產業新增到「重要」類別:廢棄物管理、食品加工、研究、郵政和快遞服務、化學品生產和分銷以及某些類型的製造業。
這兩個類別的公司都面臨相同的基本要求,但 NIS2 要求關鍵產業的組織主動證明其合規性。關鍵的是,NIS2 的要求也適用於受涵蓋組織所僱用的第三方資料處理商。
根據 NIS2,歐盟關鍵或重要產業的中型組織(員工人數超過 50 人或年營業額超過 1000 萬歐元)現在必須遵守嚴格的安全標準。不遵守標準可能造成破壞性的後果:「關鍵」產業的公司將被處以高達全球收入 2% 的罰款,「重要」產業的公司將被處以 1.4% 的罰款。持續不合規可能導致服務暫停或相關員工被停職。
最終結果是:更多產業中的公司需要遵循嚴格的安全性和韌性標準。隱私團隊在協助滿足這些要求方面發揮了關鍵作用。
以現有的隱私權投資為基礎
許多受 NIS2 規範的組織,是首次面對嚴格的網路安全法規。他們在這樣做的同時,也必須應對現代 IT 環境中我們所有人都面臨的複雜性——因為他們的營運橫跨內部部署系統、混合雲端環境與邊緣裝置。
NIS2 規定了受涵蓋實體必須採取的十項風險管理措施。這些措施包括評估並規劃各種潛在危害,從供應鏈漏洞、自然災害,到網路中斷與人為錯誤。這些風險複雜地交織於實體與數位世界之間。
但對於受規範的組織,以及正努力確保合規的隱私團隊來說,有一個好消息:他們為建立成熟、全面的隱私計畫所付出的許多努力,都可以用來協助符合網路安全法規的要求。
例如,NIS2 的風險評估要求規定,受涵蓋企業必須盤點其 IT 環境中的所有資產。DORA 也對金融業公司提出相同要求。為隱私目的而建立的現有資料地圖,可讓組織在瞭解其資產集合與所面臨風險方面搶得先機。
隱私團隊在滿足 NIS2 與其他新法規的事件處理要求方面,扮演著關鍵角色。例如,我們協助判斷哪些事件達到通報門檻,並與可觀察性團隊合作,確保我們的組織擁有必須與監管機構及公眾分享的資料。
在不增加複雜性的情況下實現合規性
然而,無論您的基礎有多麼堅實,要滿足 NIS2 的要求仍會帶來新的技術挑戰。對許多組織而言,業務持續性仰賴網頁應用程式的持續可用性。這意味著必須防範來自網路層、傳輸層與應用程式層的分散式阻斷服務 (DDoS) 攻擊。
受規範的企業對其所使用的第三方應用程式以及支撐其技術堆疊的軟體供應鏈也負有全新的安全責任。由於不合規可能面臨嚴厲處罰,網路安全的基本要素比以往任何時候都更加重要:包括預防網路釣魚與惡意程式碼攻擊、存取控制與管理,以及適當使用密碼學、加密技術與多重要素驗證 (MFA)。
沒有任何單一系統或軟體能夠獨力應對這些挑戰。這是一個策略問題,需要綜合運用技術、政策、流程與創意。但工具的選擇確實重要。選擇適合不斷演變的監管環境的安全解決方案,能夠在組織追求合規的過程中,降低複雜性與成本。
以下是您在評估符合 NIS2 要求的網路安全解決方案時,應思考的三個關鍵問題:
這些解決方案是否足夠靈活,能應對複雜的 IT 環境?有些單點解決方案可能適用於 NIS2 合規的個別面向,但若將多個方案整合至混合環境中,可能會增加管理複雜度並產生安全漏洞。
它們是否能簡化可見度?盤點 IT 資產、識別潛在安全問題,以及快速調查威脅,都是 NIS2 合規的要件。適當的安全平台能夠即時提供可見度與報告功能。
它們是否為業務持續性而打造?網頁應用程式的服務中斷會威脅到關鍵服務。請尋找能透過多重防護層級來降低網頁停機時間的解決方案,以抵禦各類攻擊。
Cloudflare 的全球連通雲是一個統一且智慧的安全和網路服務平台,能夠協助組織提升韌性,並符合現行與新興的安全法規要求。此平台提供主動監控與警示功能,這些功能是滿足 NIS2、DORA 與 SEC 網路安全規則中通報要求不可或缺的一部分。Cloudflare 的服務還能協助組織識別其軟體供應鏈中的潛在弱點,並掃描網路流量以偵測敏感資料或惡意使用者。我們的產品皆標配最先進的加密技術,客戶亦可自行設定存取控制、資產管理與驗證機制。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《在歐盟境內履行 NIS2 網路安全風險管理義務》白皮書,進一步瞭解如何滿足 NIS2 合規性的嚴格風險管理要求。
作者
Emily Hancock — @emilyhancock
Cloudflare 隱私長
重點
閱讀本文後,您將能夠瞭解:
隱私在不斷變化的法規中的角色
為什麼 NIS2、DORA 和 SEC 的網路安全規則等政策將韌性提升為合規要求
如何在不增加複雜性的情況下實現合規性