欧洲同意采用旨在加强网络安全的新NIS2指令

欧洲议会宣布了一项“临时协议”，旨在改善欧盟公共和私营部门实体的网络安全和弹性。

修订后的指令称为“NIS2" (short for network and information systems), is expected to replace the existing legislation on cybersecurity that was established in July 2016.

此次修订制定了基本规则，要求能源、运输、金融市场、卫生和数字基础设施行业的公司遵守风险管理措施和报告义务。

新立法中的规定包括在24小时内向当局通报网络安全事件，修补软件漏洞，准备风险管理措施以确保网络安全，否则可能招致罚款。

欧盟理事会上周在一份声明中表示：“该指令将正式建立欧洲网络危机联络组织网络（EU CyCLONe），支持协调管理大规模网络安全事件。”

这一发展紧随欧盟委员会的计划，即从在线服务提供商（包括短信应用程序）中“检测、报告、阻止和删除”儿童性虐待图像和视频，引发了人们对其可能破坏端到端加密（E2EE）保护的担忧。

NIS2草案明确规定，E2EE的使用“应与成员国的权力相协调，以确保其基本安全利益和公共安全得到保护，并允许根据欧盟法律对刑事犯罪进行调查、侦查和起诉。”

它还强调，“在端到端加密通信中合法访问信息的解决方案应保持加密在保护通信隐私和安全方面的有效性，同时有效应对犯罪。”

尽管如此，该指令将不适用于国防、国家安全、公共安全、执法、司法、议会和中央银行等垂直领域的组织。

作为拟议协议的一部分，欧盟成员国有权在指令生效后21个月内将这些规定纳入其国内法。

理事会在草案中指出：“网络安全事件的数量、规模、复杂程度、频率和影响都在增加，对网络和信息系统的功能构成了重大威胁。”。

“因此，网络安全准备和有效性对内部市场的正常运作比以往任何时候都更为重要。”