歐洲議會修訂歐盟網絡安全指令打擊針對關鍵領域的黑客行為
面對紛至沓來的網絡攻擊,歐盟正在要求區域內的關鍵部門加強防衛。週五早些時候,一項新的歐盟網絡安全指令的談判已經獲得進展,將迫使銀行、能源、電信和運輸等敏感行業更好地保護其網絡並投資於網絡安全,以阻止黑客破壞社會的關鍵功能。公共管理部門也受到該指令的影響。
新法律是歐盟更廣泛戰略的基石,以應對伴隨著冠狀病毒大流行、地緣政治緊張局勢以及最近的烏克蘭戰爭而出現的多波網絡攻擊。主要事件包括網絡犯罪”勒索軟件”攻擊,如對美國石油管道運營商Colonial和愛爾蘭醫療保健系統的攻擊,以及對歐盟機構、部門和委員會的網絡間諜活動。
根據新的指令,歐洲重要的公司和組織將必須建立和審計網絡安全響應計劃,在24小時內向當局備案網絡安全事件,並使用最先進的網絡安全技術來防止黑客攻擊,否則將面臨巨額罰款。
歐盟委員會、議會和歐盟理事會的代表在布魯塞爾的深夜會談中就網絡和信息安全指令(NIS2指令)的細節達成一致。
代表歐洲議會領導談判的荷蘭自由黨議員Bart Groothuis說,這項法律”將幫助十幾萬個實體加強對安全的控制,使歐洲成為一個安全的生活和工作場所,如果我們受到了工業規模的攻擊,我們就需要作出工業規模的反應。”
該法律是對歐盟有史以來第一次針對網絡安全立法的修訂,該立法於2016年通過,是讓歐盟當局監督和控製網絡安全的第一步。成員國對這一問題觸動已久,因為它與成員國國家安全密切相關,但過去幾年破壞性的網絡攻擊氾濫,迫使歐盟政府在歐洲層面更緊密地合作。
加強歐洲的網絡安全”涉及許多其他政策的核心,從人工智能、半導體和國防部門的發展,到我們保持燈光和醫院開放的能力,”來自保加利亞的中右翼歐洲議會成員Eva May DELL在一條短信中說。
該法律對公司、組織和公共服務部門提出了一長串要求,包括修補軟件漏洞、準備風險管理措施、共享信息和在24小時內向當局通報事件,以及在三天內提供一份完整報告。議員們敲定,對於違反基本網絡安全保障義務的運營商、組織將面臨營業額1.4-2%不等的罰款,有趣的是,這些數字大致相當於勒索軟件集團在入侵主要組織時通常要求的贖金。
“權衡的結果是。我是支付贖金、支付罰款,還是在被黑之前投資於安全,”牽頭的歐洲議會議員Groothuis說。
談判者還同意將關鍵的公共管理部門納入法律規管的範圍,這意味著許多政府服務部門也必須遵守這些要求。各國政府還必須制定政策,幫助網絡當局開展預防行動,防止黑客和攻擊,而不僅僅是坐等應對危機。
保加利亞議會議員梅德爾說:”這項協議不是銀彈,但這一挑戰的規模意味著我們必須建立一個武器庫,以保護我們的數字網絡免受傷害。”
該法律將需要歐盟成員國和歐洲議會的正式批准。然後將由各國政府來執行這些規則。