Avast BusinessTeam 2024年8月20日

欧盟收紧对关键基础设施和服务的网路安全要求，推出了新的NIS2指令这对小企业意味著什么？

网路安全是任何企业都须重视的重要问题。然而，并非所有企业面对相同程度的网路威胁或监管责任。在本篇文章中，我们将解释什么是NIS2指令，它适用于谁，以及小企业是否需要采取行动。

什么是NIS2指令？

NIS2指令是全欧盟范围内的网路安全立法。它提供了法律措施，以提升欧盟整体的网路安全水平。从2024年10月开始，营运某些列举的基本服务或关键基础设施的企业需要遵守NIS2指令的网路安全要求。

NIS2指令主要针对中型和大型企业。然而，如果您经营的是小型企业，这项举措对您有何影响？

什么是“小型企业”？

欧盟委员会的建议2003/361/EC明确将小型企业定义为员工少于50人且年度收入或年度资产负债表少于1000万欧元的企业。

我是一家小型企业，是否需要遵守NIS2指令？

NIS2指令对中型和大型企业影响较大，只有极少数小型企业需要遵守其要求。特定经营关键和基本服务的小型企业，以及提供电子通讯网络或公开可用电子通讯服务的提供商、信任服务提供商和顶级域名TLD注册机构，无论规模大小都必须遵守NIS2指令。

我是一家中型企业，是否需要遵守NIS2指令？

根据欧盟的定义，雇用人数介于50至250人之间，且年度收入不超过5000万欧元或年度资产负债表少于4300万欧元的公司被归类为“中型企业”。

但即便是中型企业，只有在您所属的行业明确列在指令附录中的关键行业中活跃，您才会受到NIS2指令的影响。

如果法律告诉我不需要，那么为什么安全供应商会建议我考虑遵守NIS2指令？

专为帮助企业遵守NIS2指令而设计的网路安全解决方案可能会更加复杂，并需要安全专业知识来实施和管理。因此，这类产品的购买和运营成本也可能更高。通常，它们是为内部网路安全团队或管理安全服务提供商MSSP设计的。

然而，对于没有IT人员和/或网路安全专业知识的小企业来说，系统越复杂，配置错误的可能性就越高，可能导致安全解决方案的效果不如预期。

此外，没有任何单一的软体解决方案能确保完全遵守NIS2指令，因为该指令的指导方针不仅限于部署网路安全软体，还要求企业采取附加的组织和操作措施并遵循广泛的文档义务。

值得指出的是，NIS2指令中的安全措施要求描述非常概括。关于满足NIS2指令要求所需的具体安全措施的更多细节，将在欧盟委员会的授权行为以及各成员国在实施NIS2指令时采纳的当地法律中阐明，这些信息目前尚未完全公开。

符合NIS2指令的网路安全解决方案有什么特别之处？

尽管NIS2引入了重要的网路安全和韧性措施，但大多数企业无论大小并不符合其严格要求，这主要取决于行业和风险特征。然而，理解和自愿采用其中一些最佳实践仍然可以帮助小企业提高其网路安全状态并建立客户信任。

企业级的网路安全产品是为安全专业人士或管理安全服务提供商设计的。它们通常拥有比小企业用户所需的功能更多的能力。因此，考虑购买一项产品或服务来满足某项指令，但对您的业务并不相关且拥有您永远不会使用的功能，是否合理值得深入思考。

如需更多有关NIS2指令的信息，请访问：https//eurlexeuropaeu/eli/dir/2022/2555