NIS安全法规证明有效,但更多的工作要做
网络和信息系统(NIS)网络安全和风险法规的数字,文化,媒体和体育(DCMS)的实施后审查(PIR)已得出结论,他们在努力组织采取措施方面取得了相对成功为确保和改进网络和IT系统的安全性,但仍有改进余地。
NIS法规于2018年5月10日在2016 - 2002年国家网络安全战略的主持下生效,目的是通过建立适当的网络风险的适当监管框架来改善安全,以适当管理在英国经济上的适当监管框架。它们旨在通过“基于结果的规则”来提高关键部门的安全标准,即“使方法能够始终如一地适应快速发展的环境”。
该条例限定了临界部门,因为扰乱的那些会对公民,企业和国家基础设施造成重大的经济和社会损害,例如数字基础设施和服务,能源,健康,运输和水资源。
被指定的主管当局在国家网络安全中心(NCSC)的支持下实施和强制执行,该法规迫使这些组织采取“适当和比例”措施,以确保其网络和信息系统的安全,无论是通过管理风险和最小化任何破坏性影响;根据许多预定标准,通知相关的主管当局对其网络安全产生负面影响的任何事件。
在报告中,政府表示,判断法规的长期影响为时尚早,但有关组织一直努力实现合规性,并评估这一行动确实导致对必要的风险减少依赖于网络和信息系统的服务和数字服务。
但是,该报告发现,虽然正在制定数据建议的改进,但在规定范围内明显需要组织,以加速其改进。
“社会和经济在大量依赖于条例范围的服务范围,以及这些部门的网络和信息系统的失败或妥协是他们提供的服务的系统风险,”在其序言中写了报告的作者。对规定范围的行业仍然存在重大威胁,并干预以降低该领域的风险仍然合适。“
审计师评估了“比例和有针对性”的法规完全适当,并考虑到近几个月的范围威胁,尤其是在医疗保健部门急剧上升。政府现在表示计划对监管制度进行一些技术变更,以确保其仍然是占比例和目标,并将考虑一些待采取的修正案。
这些变化可能会使成本恢复为中心,以更好地使主管当局能够进行监管活动;植入改进的吸引力机制;更广泛的执法制度掩盖;支持支持对组织供应链的风险;引入最佳实践共享;在BREXIT过渡期结束后或可能可能成为可能需要的任何更改的措施。
律师事务所现场菲尔菲尔斯技术团队的董事Kuan Hon表示,迄今为止,基于报告中提出的统计数据,迄今为止已经非常有限,没有罚款,没有罚款,报告的事件较少对于监管机构而言预期的DCM。但是,她补充说,合规性和事件报告成本远远高于首次预期。
“鉴于Brexit,它也将审查报告事件的门槛,该监管机构建议的情况太低,因此英国OESS [Essent Services的运营商]和DSPS [数字服务提供商]可能需要报告更多事件比目前的目前,“她说。
“此外,他们可能面临更高的成本,因为DCMS正在考虑允许监管机构在调查/检查成本上恢复其执法成本,以反对相关的奥塞/ DSP。英国已经拥有最艰难的NIS指令制度,即潜在的罚款(最高1700万英镑)和成本恢复,因此奥塞和DSP可能很好地抵制任何此类改变,如果发布关于更广泛审查的规定。
“这特别鉴于执法制度似乎并不是迄今为止驾驶安全改进的关键因素;相反,GDPR似乎是更大的司机,“Hon说。
完整的报告可以从政府的网站下载。