尚未实施NIS指令的荷兰企业

一般数据保护法规（GDPR）在欧洲遭到了很多关注，但荷兰有另一个关于网络安全的法律，这是较少的知名度 - 网络和信息系统安全性。

这是欧洲NIS指令的衍生品，并于去年11月生效，荷兰公司。“不要等到最后一分钟 - 开始看看这项法律如何影响你的组织，”安全专家Anshe Klebsch在应用风险上表示。

欧洲NIS指令旨在确保欧盟国家保护其重要基础设施。“与GDPR的巨大差异是，隐私法例已在欧洲集中采用，但适用于每个成员国，”Klebsch说。

但是，NIS是一个指令，由此国家可以通过自己的立法申请该指令的目标。这意味着规则不仅可以从国家/地区因国家而异，但立法并没有以同样的步伐实施，就像GDPR一样。“

Dennis'T Jong，The Dutch Telecom Agency的专业检查员，指出了另一个差异：“GDPR旨在保护公民的隐私，并在保护组织的网络恢复力方面。”

NIS指令是第一个在欧洲水平实施的网络安全立法。其指导方针表示，网络和信息系统对于维护各种重要服务至关重要，例如能源，供水和医疗保健。

荷兰在其网络和信息系统安全法案中锚定了NIS指令，旨在提高国家的数字恢复力。它特别侧重于重要的国家基础设施，中央政府和数字服务提供商的提供者。

“此时，荷兰仍处于探索性阶段，”该领域各种组织的顾问Klebsch说。“人们现在主要是绘制各种系统和潜在风险。我们不是在谈论典型的IT应用，而是关于工业控制系统。

“此外，人们应对的是最有趣的主题，这意味着它有时被解雇只是必须满足的另一个安全要求。但公司展示法律要求以及它们如何影响当前的工作方式是重要的。这不是一个组织一个组织，一个组织逐一实施所有措施，但了解如何正确保护其系统以增加他们的数字恢复力。“

除了重要基础设施的供应商，荷兰法律还规定了数字服务提供商的要求 - 荷兰数字基础设施部门的发言人Michiel Steltman表示，这是一个更复杂。“这是最不可能的，”标准是特殊的，“他说。

数字服务提供商被定义为搜索引擎，在线市场和云服务的供应商，拥有超过50名全职员工或超过10米的营业额。“这是一个谜，为什么欧盟得出结论，有49名员工的组织在组织中泄漏了很少的问题，但那些有50名员工的问题可能会突然出现，”荷兰博客中的斯特克曼说。

Steltman也批评了法律的一般措辞，他说没有明确究竟是公司需要做的事情。

'T Jong同意，补充说：“法律规定，重要的基础设施的数字服务提供商和供应商必须采取”适当的比例技术和组织措施“。这种开放标准确实非常好，但既依赖许多因素则适当和相称措施。“

由于事件发生时适用的报告程序也被困扰。如果事件发生，组织必须通知两个政府机构，电信代理机构和计算机安全事件响应团队，这些机构使用不同的程序。“显然，发现如何通过一站式商店协调这一点，这太难以协调，”斯特格曼说。

Klebsch表示，报告也没有明确的时间表，这使得组织难以知道该怎么做。 “你有义务尽快报告事件，但没有规定的时间表，因此很难知道”尽快“实际上是什么意思。”

在实践中，据说，这是首先重点修复失败的服务，并尽量减少事件造成的损害。“然后，您可以提交一份报告，并且很重要，您不保留任何信息，”她说。“背后的想法是政府在各种事件中获得了解，因此它可以为未来事件做好更好。”

此知识也可以与其他欧盟国家共享。毕竟，这也是NIS指令的一部分 - 欧洲政府层面的合作。通过交换知识，其他国家可以更好地防止可能的攻击。

“但是仍然太早说了那些合作，”Klebsch说。“成员国必须首先建立唯一立法来实施NIS指令。只有这样，我们可以看看下一步，协作和分享信息。“

虽然荷兰仍处于探索性阶段，但尚未进行审计和检查，但重要的是强调公司采取行动遵守法规。

“合规只是需要时间，”Klebsch说。“所以不要等到最后一分钟，但开始看看这些要求以及它们如何与您当前的工作方式相关。考虑评估和检查现在，因为您稍后不想被审计感到惊讶。“