最近发布的《2024 年数据威胁报告》显示，合规性与网络安全结果之间存在直接关联。84% 未通过合规性审计的组织报告称，其历史上曾发生过数据泄露事件。相比之下，通过合规性审计的组织中，只有 21% 有过数据泄露历史。通过审计与数据泄露减少之间的这种相关性多年来一直在增强，通过审计后报告数据泄露的组织数量是四年前的一半。

其中一个重要原因是法规更加完善、更加严格、更加详细，从而带来更加完善、更加严格、更加详细的审计，在漏洞被利用之前就将其发现。很快，一项期待已久的网络弹性法规将生效，有望再次提高合规标准。2024 年 10 月 17 日，欧盟成员国必须通过并公布遵守网络和信息安全指令 (NIS2)所需的措施。他们将在第二天开始执行这些措施。

从 NIS 发展到 NIS2

最初的《网络和信息安全指令》（NIS）最初于 2016 年通过，严重依赖各成员国的自由裁量权，缺乏问责制。为了应对日益数字化和网络攻击激增所带来的日益严重的威胁，欧盟采用了 NIS2 来加强安全要求和网络弹性。

NIS2 扩展了原有的 NIS 指令，使其涵盖更多行业部门，并增加了风险管理措施和事件报告义务。它还规定了更强有力的执行。NIS2 在四个关键领域补充了初始指令：

1.扩大范围

NIS 的原始版本仅将医疗保健、交通运输、数字基础设施、供水、银行、金融市场基础设施和能源确定为关键行业。NIS2 将数字服务提供商、废物管理、制药和实验室、空间和公共管理添加到“关键”行业类别中。

NIS2 还增加了“重要”行业类别，包括公共通信提供商、化学品、食品生产商和分销商、关键设备制造商、社交网络和在线市场以及快递服务。下图显示了原始 NIS 行业、扩展的 NIS2 行业以及重要或必要行业的指定。

2. 更严格的安全要求

NIS2 的目标是保护网络和信息系统以及这些系统的物理环境免受事故影响。该指令第 21 条详细说明了组织必须遵守的安全要求，至少包括以下内容：

• 风险分析。

• 事件处理。

• 业务连续性/危机管理。

• 供应链安全。

• 网络与信息系统安全。

• 网络安全风险管理。

• 网络安全卫生实践和培训。

• 密码学和加密。

• 访问控制策略和资产管理。

• 多因素身份验证或持续身份验证解决方案。

3. 强制在特定时间范围内报告事故

NIS2 要求组织报告重大网络安全事件，即可能对组织服务提供产生不利影响的事件。组织必须使用标准化格式和缩短的报告时间（24 小时）提供“预警”报告，然后在首次发现事件后的 72 小时内提供事件通知，并在 30 天内提供最终报告。

4. 通过处罚措施执行：

NIS2 指令对不合规行为施加了更为严厉的处罚，包括增加经济处罚。

• 对于重要实体，行政罚款最高可达 10,000,000 欧元，或该重要实体所属公司全球年营业额的至少 2%，以较高者为准。

• 对于重要实体，行政罚款最高可达700万欧元，或至少相当于该重要实体所属公司全球年营业额的1.4%，以较高者为准。

Thales如何帮助满足 NIS2 合规要求

通过收购Imperva和OneWelcome，Thales的产品组合得到了扩展，这为我们提供了一个平台，帮助我们的客户提高网络弹性、降低网络安全的复杂性，并简化对 NIS2 等法规的遵守。

揽阁信息作为Thales的合作伙伴，我们可以帮助关键实体和重要实体满足第 21 条规定的关键网络安全风险管理要求，并帮助组织制作完整、准确和及时的报告以满足第 23 条的要求。我们通过提供网络安全三个关键解决方案领域的解决方案来实现这一目标：应用安全、数据安全以及身份和访问管理。

• 应用程序安全：在云、本地或混合模型中大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。

  
  

• 数据安全：使用加密标记和密钥管理，发现和分类混合 IT 中的敏感数据，并在任何地方自动保护这些数据，无论是静态数据、动态数据还是使用中的数据。Thales的解决方案还可以识别、评估和确定潜在风险的优先级，以便准确评估风险，以及识别异常行为和监控活动以验证合规性，从而使组织能够确定将精力投入到哪些方面的优先级。

  
  

• 身份和访问管理：为客户、员工和合作伙伴提供无缝、安全且可信的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境，通过精细的访问策略和多因素身份验证来限制其访问权限，从而确保在正确的时间授予正确的用户对正确资源的访问权限。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SOC 2合规性：您需要了解的内容和需要做的事情

• 合规指南：了解印度的数字个人数据保护法

• Thales CipherTrust 2.15 现已推出

• 香港虚拟资产交易平台（VATP）运营商指南

• PCI DSS 4.0：合规倒计时 – 第 1 和第 2 阶段的路线图