歐盟新版網路安全法規10/17生效 多國企業看新規「霧煞煞」
【編譯黃惠瑜/綜合外電】歐盟(EU)為其成員國的企業制定了更新的網路與資訊安全法規,對風險管理、透明度等提出更嚴格的要求,新規定於週四(10/17)生效,但由於法規似乎不夠清楚,也預備得太倉促,目前大多數歐盟成員國尚未開始執行新法規。
歐洲新聞台(Euronews)17日報導,歐盟更新的網路與資訊安全法規「NIS 2」今天開始實施,但大多數歐盟成員國都錯過了最後期限,相關組織也擔心各國法規的實施不一致。
根據歐洲新聞台上週的報導,歐盟執行委員會(European Commission)僅收到比利時和克羅埃西亞執行NIS 2的確認。委員會一位發言人16日表示,截至本週,義大利和立陶宛也已部分實施這些規則。
德國、荷蘭、瑞典和捷克等國家則仍在等待草案立法,愛爾蘭、希臘和西班牙等國的進度則更落後。
這些規則於2022年獲得批准,旨在保護關鍵實體免受重大網路事件的影響,例如能源、交通、銀行、水資源和數位基礎設施。根據歐盟執行委員會表示,原先的指令「NIS 1」將被廢除,因為未能改善在歐盟營運企業的網路韌性,也未能促進共同的危機應對。
更新的法規NIS 2引進新的事件報告時間表,當公司面臨重大營運中斷時,必須在24小時內發出警告,並在72小時內提交事件報告。
合規的困難
一些政府警告說,許多受新指令規範的公司對於新法規缺乏認識,而且受影響的範圍也擴大了。根據NIS 1,涉及的實體有500個,但在新規定NIS 2之下,可能有1萬5000個實體受到影響。
另一方面,企業擔心新法實施不一致,在眾多市場營運的供應商將面臨合規挑戰。
軟體遊說團體表示,「有一些重大的擔憂。歐盟執行委員會仍未發布有關『事件報告』的實施規定,這是NIS 2一個重要的組成部分。沒有明確的指引,企業很難完全理解要求」。
歐洲數位中小企業聯盟(European DIGITAL SME Alliance)表示,「關於企業應該怎麼保護他們的供應鏈缺乏明確指導。沒有清楚的指導,企業很難做好準備」。
