2022年3月,美国参众两院通过了《加强美国网络安全法案》,以确保关键基础设施实体在遭到网络攻击后具备快速恢复能力。5月,欧洲议会和欧盟成员国就欧盟委员会新修订的《关于在欧盟范围内实施高水平网络安全措施的指令》(又称NIS2指令)达成政治协议,以帮助成员国应对愈发严峻的网络安全威胁,这两项新立法均针对关键基础设施安全保护做了诸多规定。赛迪研究院网络安全研究所对这两项新立法的异同进行了分析比较,并提出了加强我国关键基础设施网络安全防护的建议。
一、美欧新立法对比分析
两项立法均对关键基础设施运营商施加了强时效性网络安全事件报告义务。“网络事件报告义务”是《加强美国网络安全法案》的重点内容之一,也是欧盟NIS2指令着重修订的部分。《加强美国网络安全法案》要求关键基础设施运营商在网络安全事件发生后72小时内向CISA作报告,在支付勒索软件攻击赎金后24小时内向CISA作报告,以提升美国对网络安全事件的响应能力。欧盟NIS2指令规定,关键基础设施运营商在识别出具有威胁的网络安全事件后24小时内向国家主管部门或CSIRT提交事件的初步报告,并在一个月内提交最终报告。
在主体方面,美国对关键基础设施主体统一管理,欧盟则进行分级分类管理。美欧两项立法针对的主体均为关键基础设施实体或运营商,涵盖范围包括能源、交通运输、水利、金融、医疗健康和信息通讯等多个领域。不同之处在于,《加强美国网络安全法案》将这些领域内的实体统一归为“涵盖实体”进行整体性管理;欧盟NIS2指令则先按照“规模上限原则”将未达到一定规模门槛的实体排除在管理范围之外,再按照这些实体规模的大小、所在领域和重要程度,将其分为基本实体和重要实体两类,并对不同类别的实体规定不同的网络安全风险管理和事件报告要求。
在执法方面,美国未对违法行为规定具体惩罚措施,欧盟则制定了极高的罚款金额。对违反法律要求未履行及时报告义务、未实施网络安全风险管理措施的实体,美国并未在其《加强美国网络安全法案》中提及相应的违法惩罚举措。欧盟NIS2指令则规定,违法的基本实体将面临高达年营业额 2%的罚款或400万欧元的罚款,重要实体面临高达年营业额1%的罚款或200万欧元的罚款,二者均以较高者为准。值得注意的是,上述罚款与实体遭受勒索攻击时需支付的赎金金额基本一致,欧盟希望通过此举加大关键基础设施实体对内生网络安全的重视。
在认证方面,美国侧重云安全认证,欧盟注重ICT供应链安全认证。对信息技术产品和服务进行安全认证已成为美欧等国家和地区加强网络安全保护的重要手段,美欧两项立法均提出通过实施网络安全认证等计划来强化关键基础设施安全,但侧重领域有所不同。《加强美国网络安全法案》将旨在认证云安全的联邦风险和授权管理计划(FEdRAMP)编入法案,强调要对云计算产品、云服务和联邦云运营商进行安全评估、认证与监管。NIS2指令则提出欧洲网络安全认证计划,强调确保ICT供应链技术、产品和服务的安全可靠。
二、几点启示
进一步完善我国关键基础设施防护法律体系。当前,以关键信息基础设施为目标的网络攻击不断升级,而我国关键信息基础设施安全防护却面临风险评估制度不完善、风险监测和预警机制较弱等问题。下一步,可借鉴美欧等国家和地区的成功做法与经验,加紧制定关键信息基础设施安全相关制度规范,提升安全防护能力。比如,对《关键信息基础设施安全保护条例》中要求的网络安全信息共享、监测预警、检查检测等措施进一步制度化,并进行常态化推动和完善;加紧制定各行业、各领域关键信息基础设施识别认定规则及清单,在网络安全等级保护基础上,明确关键信息基础设施安全重点保护要求,进一步细化保护范围和对象。
推进网络安全事件报告响应标准化机制建设。我国《关键信息基础设施安全保护条例》提出要“按照规定报告网络安全事件和重要事项”,但在报告流程等方面尚没有具体规定。可借鉴美欧两项立法,研究制定关于我国网络安全事件报告响应机制及流程的相关指南文件,明确报告时限、报告内容和负责机构等,并参考欧盟NIS2指令,探索对关键基础设施运营商进行分级分类管理。
扎实推进网络安全产品服务认证工作。我国网络安全认证认可体系在近20年的发展中日趋成熟完善,但仍存在评价能力较弱、评价结果有效性不足等问题。未来,应进一步开展网络安全专用产品和网络关键设备的认证工作,不断更新和完善认证认可制度体系,使其与网络安全审查工作充分衔接,切实提升我国网络安全产品和服务水平。同时,积极开展国际认证认可合作,努力推动我国与发达国家或地区的网络安全认证结果互认,提升我国网络安全认证的国际化水平。
以上是部分内容,完整版观点,点击赛迪观点: 美欧关键基础设施保护法制建设新举措及启示查看