面对纷至沓来的网络攻击,欧盟正在要求区域内的关键部门加强防卫。周五早些时候,一项新的欧盟网络安全指令的谈判已经获得进展,将迫使银行、能源、电信和运输等敏感行业更好地保护其网络并投资于网络安全,以阻止黑客破坏社会的关键功能。公共管理部门也受到该指令的影响。
新法律是欧盟更广泛战略的基石,以应对伴随着冠状病毒大流行、地缘政治紧张局势以及最近的乌克兰战争而出现的多波网络攻击。主要事件包括网络犯罪”勒索软件”攻击,如对美国石油管道运营商Colonial和爱尔兰医疗保健系统的攻击,以及对欧盟机构、部门和委员会的网络间谍活动。
根据新的指令,欧洲重要的公司和组织将必须建立和审计网络安全响应计划,在24小时内向当局备案网络安全事件,并使用最先进的网络安全技术来防止黑客攻击,否则将面临巨额罚款。
欧盟委员会、议会和欧盟理事会的代表在布鲁塞尔的深夜会谈中就网络和信息安全指令(NIS2指令)的细节达成一致。
代表欧洲议会领导谈判的荷兰自由党议员Bart Groothuis说,这项法律”将帮助十几万个实体加强对安全的控制,使欧洲成为一个安全的生活和工作场所,如果我们受到了工业规模的攻击,我们就需要作出工业规模的反应。”
该法律是对欧盟有史以来第一次针对网络安全立法的修订,该立法于2016年通过,是让欧盟当局监督和控制网络安全的第一步。成员国对这一问题触动已久,因为它与成员国国家安全密切相关,但过去几年破坏性的网络攻击泛滥,迫使欧盟政府在欧洲层面更紧密地合作。
加强欧洲的网络安全”涉及许多其他政策的核心,从人工智能、半导体和国防部门的发展,到我们保持灯光和医院开放的能力,”来自保加利亚的中右翼欧洲议会成员Eva MayDELL在一条短信中说。
该法律对公司、组织和公共服务部门提出了一长串要求,包括修补软件漏洞、准备风险管理措施、共享信息和在24小时内向当局通报事件,以及在三天内提供一份完整报告。议员们敲定,对于违反基本网络安全保障义务的运营商、组织将面临营业额1.4-2%不等的罚款,有趣的是,这些数字大致相当于勒索软件集团在入侵主要组织时通常要求的赎金。
“权衡的结果是。我是支付赎金、支付罚款,还是在被黑之前投资于安全,”牵头的欧洲议会议员Groothuis说。
谈判者还同意将关键的公共管理部门纳入法律规管的范围,这意味着许多政府服务部门也必须遵守这些要求。各国政府还必须制定政策,帮助网络当局开展预防行动,防止黑客和攻击,而不仅仅是坐等应对危机。
保加利亚议会议员梅德尔说:”这项协议不是银弹,但这一挑战的规模意味着我们必须建立一个武器库,以保护我们的数字网络免受伤害。”
该法律将需要欧盟成员国和欧洲议会的正式批准。然后将由各国政府来执行这些规则