聽說過將在2018年進入歐盟成員國法律體系中的《網絡與信息安全指令》(NIS)嗎?或許你真沒聽過。過去2年間，全世界對IT安全立法的關注和胃口，都已經被《通用數據保護條例》(GDPR)給占滿了，這位GDPR的小表弟身上分到的輝光少得可憐。

但是，盡管不受關注，無論其適用對象知道還是不知道它的存在，該指令的要求都對其適用對象產生深遠的影響。

關于NIS指令，其與GDPR的差異，其要求與應用，你應該知道如下幾條：

1. 這是指令，不是規(guī)定

伴隨著GDPR引發(fā)的各種熱議，很多人最近都將刷新他們的歐洲法律詞匯表，注意到NIS是個指令，而非規(guī)定。與原汁原味吸收到成員國法律體系中的規(guī)定或條例不同，指令只是要求成員國政府按照指令中的精神，實現(xiàn)其自有法律。英國即將廢止的98版《數據保護法案》，就是1995年《歐洲數據保護指令》的產物。

2. 英國脫歐無甚影響

關于英國脫歐及其談判期間對立法的影響，我們已有諸多定論。與GDPR相同，NIS將在2018年生效——在英國正式脫歐之前。盡管存在灰色地帶，英國政府已確認，就算未來尚未可知，NIS也將在預期的時間框架內置換為本土法律。

3. NIS目的為何?

NIS指令的目標，是提升國家層面的網絡安全能力，培育歐盟成員國之間更好的溝通。這將涉及每個成員國都要設立國家戰(zhàn)略，達成網絡和信息系統(tǒng)基礎服務的高水平網絡安全。

4. 專門性強

相比GDPR，NIS的適用范圍更窄，專注在關鍵垂直產業(yè)——有時候又稱為CNI(關鍵國家基礎設施)。包括：能源、交通、銀行、金融市場基礎設施、醫(yī)療、供水，以及數字基礎設施。

NIS的目標企業(yè)分為兩類：

基礎服務運營商(OoES)：成員國需在2018年第4季度之前識別出OoES。鑒別標準是：是否提供對關鍵社會/經濟活動維持十分重要的服務，該服務的提供是否依賴網絡和信息系統(tǒng)，安全事件是否會對該基礎服務的提供造成重大破壞。

數字服務提供商(DSP)：遠程提供數字服務的人或公司，一旦該服務OoES不可用，會造成大面積中斷。NIS指令中特別提到的有在線市場、云計算服務、在線搜索引擎。

5.安全義務和事件通告

與GDPR類似，OoES和DSP有義務實現(xiàn)先進技術以管理自身網絡與系統(tǒng)的安全風險，發(fā)生大規(guī)模/重大事件時必須向國家主管部門(NCA)和計算機安全事件響應小組(CSIRT)報告。

6. 委任NCA

指令要求每個成員國委任1個或多個NCA，在國家層面上監(jiān)管NIS的應用。多個NCA的情況下，每個NCA將被委派1個或多個產業(yè)以達到清晰的管轄。無論哪種情況，每個成員國都需要提名單點聯(lián)系人(SPoE)，代表所有NCA與其他成員國和CSIRT聯(lián)系。

7. CSIRT

計算機安全事件響應小組(CSIRT)負責監(jiān)視事件，提供威脅早期預警，進行事件響應。與NCA相同，每個成員國可指派多個CSIRT。另外，NIS指令設立CSIRT網絡，每個成員國CSIRT都必須參加。該網絡的職責包括：交換安全事件信息，在跨境事件解決上為成員國提供支持。

8. 執(zhí)行是相對的

與GDPR不同，對違規(guī)行為的懲罰取決于各成員國。該指令允許NCA從DSP和OoES處強行要求信息，以評估他們對NIS的實現(xiàn)并要求整改。然而，涉及到懲罰的時候，該指令允許成員國自行決定，只要這些制裁都是恰當有效和勸誡性的。

9. 治外法權

DSP和OoES接受其總部所在地的NIS指令管轄。如果不在歐盟或歐洲經濟區(qū)(EEA)，但提供區(qū)域內服務，也必須遵從該指令，并指派一名代表常駐歐盟或EEA成員國。

10. 下一步?

該指令設立了明確的時間框架供成員國遵循?；诂F(xiàn)有的信息，該指令預期將在2018年第2季度引入成員國法律。一旦置換成國家法律，成員國將有最多6個月的時間識別出自己的本土OoES。

NIS VS. GDPR

考慮到時機，及其對網絡和信息安全系統(tǒng)的關注，在NIS指令和GDPR之間做對比是一件很自然的事。然而，各種角度看，NIS之于GDPR是既窄又寬。

舉個例子，NIS指令涉及系統(tǒng)級防御和風險緩解，而不僅僅是個人信息及其收集與處理——此為寬。然而，它又只針對特定公司，尤其是那些執(zhí)行或提供關鍵服務的公司——此為窄。無論哪種情況，某些公司勢必二者都需遵從，未來2年里合規(guī)官員們的工作將很難做。

我們很容易指向無所事事的歐洲政客，說他們又在引入繁文縟節(jié)和開銷大的各種要求，但我們已經見識過關鍵服務不可用的嚴重后果。比如英國航空公司計算機系統(tǒng)數天無法操作導致的大范圍中斷，以及NHS因WannaCry勒索軟件爆發(fā)而造成的病人無法收治。

今日世界，軍隊再強大，移民政策再嚴格，圍墻再高，都無法保證安全。我們所倚賴的基礎服務的網絡彈性才是關鍵。