普华永道爱尔兰风险与监管主管Neil Redmond建议,公司只有几个月的时间为网络与信息系统指令2 (NIS2)做准备。
雷德蒙德表示,这项范围广泛的欧盟新网络安全法将彻底改变行业自我保护的方式。
NIS2将于10月18日生效,它是欧盟网络安全战略的关键组成部分,符合欧盟委员会让包括爱尔兰在内的欧洲适应数字时代的优先事项。NIS2覆盖了欧洲约16万家组织,其中包括爱尔兰的4000多家。
雷德蒙德表示:“NIS2为关键服务和基础设施的运营商引入了更高的网络安全标准(更严格的监管措施和报告时间表)。”“特别是,NIS2将更多这类服务纳入范围,如运输、能源公用事业、电信、供水服务和卫生服务。
“实体根据其规模、所在行业以及对公众利益的重要性被分为‘必要’和‘重要’两类。大中型企业可被视为“重要实体”。这些企业是在高度关键的行业中,员工人数超过250人,年收入超过5000万欧元的企业。
" NIS2涵盖的一些'基本实体'包括能源、运输、卫生、银行和公共管理等部门的实体,而'重要实体'包括作为主要经济活动的废物管理和邮政服务等,"他补充说。
普华永道(PwC)最近的调查显示,新立法对爱尔兰企业来说恰逢其时。普华永道最近的数字信托调查指出,53%的爱尔兰商业领袖预计GenAI将在未来一年引发灾难性的网络攻击。
与此同时,在普华永道最近的风险调查中,只有25%的爱尔兰受访者表示,他们计划投资升级关键的网络安全系统,而全球这一比例为30%。在企业如何规划网络安全方面,爱尔兰落后于全球同行。
普华永道最近对爱尔兰首席执行官的调查显示,90%的爱尔兰商业领袖担心他们的组织面临网络风险。
他说:“随着人工智能等技术的进步,他们的担忧是正确的。”“NIS2是一个里程碑式的立法,涵盖的范围远不止IT,而且对其他业务领域也有影响。我们将看到网络安全被提升到一个新的高度,包括公司如何管理其业务面临的威胁和风险。不符合新标准可能会被处以巨额罚款。”
雷德蒙德表示,新的NIS2规则设定了一个全新的合规标准。一个重要的实体是提供服务的公司,这个国家作为一个整体需要24/7有效。
“NIS2管辖下的公司必须对其网络安全控制进行定期测试,并展示强大的事件响应和报告系统以及危机管理流程,”他说。“董事会需要意识到并批准组织网络安全风险管理措施的充分性。他们不能只是接受别人告诉他们的,他们必须挑战并理解他们为什么要采取行动。”
爱尔兰家庭的宽带价格正在上涨
根据NIS2,国家网络安全中心(NCSC)将采用更积极主动的方法,更定期地进行审计和检查。例如,在爱尔兰,国家网络安全中心(NCSC)将能够定期要求组织提供信息。
一旦2024年10月的最后期限过去,国家核安全委员会将定期进行审计和检查,并威胁对不遵守规定的人进行制裁和处罚。
“随着更严格的监管即将出台,我们没有自满的余地,”尼尔·雷德蒙德(Neil Redmond)说。“爱尔兰政府、欧盟和NCSC都看到,企业可能并不一定了解网络安全如何支持经济或他们的业务。
“因此,试图鼓励公司遵守NIS2,可以推动他们回到自己的董事会和利益相关者那里,解释其重要性。
他说:“根据我们的经验,一些公司没有达到履行新NIS2义务所需的成熟程度。”“他们确实需要专注于企业范围内的计划,包括所有业务部门,这样他们才能持续进行审计并保持网络安全弹性。
“NIS2的到来为董事会带来了更大的责任,以充分了解其公司的数据是如何处理的,以及他们的技术是如何使用的。透明度是关键,知识就是力量。利益相关者真的需要了解他们的组织正在发生什么。”
