合规要求
随着欧盟指令2022/2555的引入,简称NIS 2,公司合规的要求有所提高。通过NIS 2,欧盟针对网络攻击的威胁作出反应。该指令规定了公司和机构的网络与信息安全。网络攻击如今已被全球视为公司面临的最大商业风险之一。
NIS 2取代了欧盟指令2016/1148 (NIS 1),并致力于提高欧洲联盟的网络安全性及更好保护企业。因此,实施NIS-2指令也对许多公司的风险管理和合规提出了更高要求。如果公司未能相应落实措施,可能导致制裁,正如MTR Legal Rechtsanwälte所言。
欧盟于2023年通过了NIS-2指令,成员国必须在2025年前将其转化为国家法律。哪些企业受到该指令影响,主要取决于其活动性质。该指令扩大到了更多被视为关键(essential)和重要(important)的企业。这导致了更多公司和机构需要履行与信息技术安全局(BSI)相关的法律义务。
关键基础设施受到影响
在已属于NIS-1指令范围内的关键基础设施中,如能源、交通、卫生、金融、水资源管理和数字基础设施,NIS-2指令影响了更多行业。其中包括公共电子服务、更多数字服务如社交平台、废水和废物管理、邮政和快递服务、公共管理或关键产品制造商。据估计,在德国约有29,000家公司跨行业地受到NIS-2指令落实的影响。主要是中型和大型企业将在关键部门中被要求采取适当措施以提高网络安全性并建立高效的合规系统。他们也有义务通报有关当局,倘若发生严重干扰或损害的安全事故。
NIS-2指令也包含监督、执行和自愿同行评审的规定,以增强整个欧盟的互信和网络安全。这也意味着如果未遵守网络安全风险管理措施,管理层负有问责责任。
针对网络安全攻击的反应
随着NIS-2指令的实施,将建立一支计算机安全事件响应团队网络,以交换安全威胁信息并对事件作出适当反应。此外,还将创建欧盟的网络危机联络组织网络。该网络支持成员国与欧盟机构之间的定期信息交换,以应对重大事件和危机。
目前尚不明确NIS 2在德国国内法律中的具体实施细节。由于提前举行的联邦议会选举,实施进程有所推迟。但可以肯定的是,随着实施,网络安全将成为许多中型企业的话题。
公司必须实施安全措施
NIS 2令公司面临挑战,要求其实施必要的安全措施,以保护数据和关键基础设施免受潜在网络攻击的威胁。为此,必须采取必要的技术和组织措施。如果公司成为网络攻击的受害者,必须制定计划以迅速遏制损害并恢复系统。同时,需通知相关主管部门。此外,公司还需定期进行测试,以发现和消除漏洞。网络安全也应存在于供应链内部。因此,这里也必须应对风险。
NIS-2指令的实施意味着相关企业面临高效合规的挑战,尤其是在未能落实必要安全措施的情况下,董事会和高级管理层可能承担个人责任。
MTR Legal Rechtsanwälte协助公司实施高效的合规系统,并确保符合法律要求。 作为一家商业律师事务所,MTR Legal为 合规 和其他经济刑法主题提供咨询。
欢迎您 联系我们 !
