欧盟层面:
增进成员国间合作与国际合作
为了增进成员国之间的战略合作与信息共享,NIS指令要求设立一个合作团体,主要发挥四大作用:制定工作计划;指导网络安全相关工作开展;分享网络安全风险等信息以及最佳实践;总结并报告工作经验。该合作团体由成员国代表、欧盟委员会、欧盟网络与信息安全局组成。此外,NIS指令要求设立一个计算机安全事故响应组,以促进操作层面的合作,同时加强网络安全领域的国际合作。
成员国层面:
制定网络安全国家战略
NIS指令要求各成员国制定网络安全国家战略,在其中应当明确战略目标、合理政策以及监管措施。该战略应当包括下列内容:战略目标和重点工作;实现这些目标和重点工作的治理框架,包括政府机构以及其他相关参与者的角色和责任;明确相关的应对、防范以及恢复措施,包括政府机构与私营部门之间的合作;与网络安全国家战略有关的教育以及意识增强、培养项目;与网络安全国家战略有关的研究与发展计划;相关风险评估计划;实施网络安全国家战略的多方参与者。在具体制度安排方面,NIS指令要求成员国确定至少一个主管机构,负责监督并实施NIS指令;确定至少一个联络处,进行网络安全相关合作事宜;确定至少一个计算机安全事故响应组(CSIRT),负责国家层面的网络安全事故监测,就网络安全风险和事故向相关利益方提供早期预警、警报、通知、信息传递等,应对网络安全事故,以及提供动态的网络安全风险和事故分析。
系统层面:
明确网络风险管理
NIS指令适用于基础服务运营者的网络与信息系统。根据NIS指令第4条,网络与信息系统包括:2002/21/EC指令中界定的电子通信网络;按照某一程序自动化处理数字数据的设备、一组关联设备或者一组相互连接的设备:对上述要素进行存储、处理、检索或者传输的数字数据,目的在于运作、使用、保护以及维护这些数据。
基础服务包括能源、交通、银行业、金融市场基础设施、健康产业、饮用水供给、数字基础设施。根据NIS指令第5条,基础服务运营者的认定标准有三个:所提供的服务对于重要的社会、经济活动是必需的;该服务的提供依赖于网络与信息系统;一旦发生网络安全事故,将对该服务的提供产生重大的破坏性影响。
根据NIS指令第14条,基础服务运营者需要履行三项义务:第一,应当采取适当的技术和组织措施管理网络安全风险,这些措施应当确保一定程度的网络安全;第二,应当采取恰当的措施防止、削弱网络安全事故的影响;第三,应当将具有重大影响的网络安全事故通知主管机构。
在确定网络安全事故的影响的重大程度时,基础服务运营者应当考虑下列三项因素:受影响的用户数量;该事故的持续时间;该事故波及的区域范围。此外,为了监督基础服务运营者履行义务,主管机构可以要求基础服务运营者提供用于评估网络安全的信息,提供证据证明其已经采取了有效的安全政策。
NIS指令同时适用于部分数字服务提供者的网络与信息系统。这些数字服务包括网上市场、网络搜索引擎以及云计算。数字服务提供者亦需履行三项义务:第一,数字服务提供者应当采取适当的技术和组织措施管理网络安全风险,所采取的措施应当确保一定程度的网络安全;第二,应当采取措施防止、削弱网络安全事故的影响;第三,应当将具有实质影响的网络安全事故通知主管机构。
在确定某个网络安全事故是否具有实质影响时,这些数字服务提供者应当考虑下列五项因素:受影响的用户数量;事故的持续时间;事故波及的区域范围;对所提供的服务的破坏程度;对经济和社会活动的影响程度。此外,为了监督数字服务提供者履行义务,主管机构可以对未达到要求的数字服务提供者采取措施,可以要求其提供用于评估网络安全的信息并采取补救措施。