通信网络
为确保欧盟成员做好面对最新网络攻击(cyber attack)的准备,欧盟于2016年8月通过关于网络与信息系统安全的NIS官方指示(NIS Directive)。英国政府除了立法建立裁罚机制,希望藉由高额罚款,促使企业实行保障网络安全的最佳措施,确保关键产业能因应下一波网络攻击,让未来类似WannaCry事件的影响降至最低。
据报导,英国国家网络安全中心(NCSC)已发布NIS官方指示的指引,相关规定将于2018年5月10日生效。政府曾于2017年8~9月份先就适用于各个产业关键服务的罚款措施进行征询。
而在2018年1月的一份官方征询文件中,服务供应商再次获得保证,包括政府与主管单位(Competent Authority;CA),将以合理的方式实施NIS官方指示,并给予各个相关组织足够时间以达到NIS官方指示的要求。
为了保护数码基础建设、能源、健康与运输等关键产业,罚款将是最终手段。企业若未建置适当的网络安全防御措施,实际罚款金额会考量企业与对应主管机关的配合程度、企业所采取的补救措施及是否同时违反其它法律,最高将可被处以1,700万英镑的罚款。
关键服务营运者(OES)将必须向各产业对应所属的政府指定CA报告网络安全事件,而呈报的依据则是政府即将订定的临界值。例如水的供应与配送,将由英国环境、食物暨农村事务部(DEFRA)处理,并由饮用水稽查处支持。
而数码基础建设将由英国通讯传播管理局(Ofcom)负责;至于云端运算服务、在线市集与查找引擎等数码服务供应商,则由英国信息管理部(ICO)主管,不过目前尚未确定是否会采用与OES相同的裁罚系统。
各个产业依照特性认定其关键服务供应者,例如在数码产业,将涵盖网域名称服务(DNS)供应商、互联网交换中心(IXP)营运商、顶级网域(TLD)名称注册机构等。 而在运输业,则将包括每年有超过1,000万旅客的机场营运组织与港务机构、大型旅客与货物船运公司、国际铁道服务商、干线铁道营运者等。
全部0条评论
快来发表一下你的评论吧 !