NIS2指令下的网络安全治理:董事会必须承担的责任

本文深入探讨欧盟NIS2指令对董事会网络安全治理的要求,分析勒索软件与AI结合、遗留技术、供应链安全等关键风险,并提供实用的治理改进建议和合规指导。

董事会谈论网络安全——但NIS2指令要求他们必须承担责任

最后更新:2025年9月29日

Patrick Kaak

关键要点

  • 董事会越来越多地讨论网络安全,但在向高管有效传达风险暴露方面存在持续差距
  • 欧盟的NIS2指令提高了网络安全治理的法律风险,要求董事会真正理解并拥有网络风险
  • 董事会优先级错位通常导致未解决的漏洞,升级了运营、法律和声誉后果
  • 顶级风险(如AI驱动的勒索软件和遗留技术)需要董事会集中行动以满足监管和业务期望

网络安全终于在董事会中占有一席之地。Ivanti的2025年网络安全状况研究显示:

  • 89%的组织现在在董事会层面讨论网络安全
  • 81%的组织至少有一名具有网络专业知识的董事
  • 88%的组织在战略会议中包括CISO

从纸面上看,这是进步。但是,许多组织难以将董事会层面的关注转化为持续、可衡量的风险降低。

Ivanti的数据揭示了问题的核心:只有40%的安全团队表示风险暴露向高管"非常有效地"传达——这是欧盟NIS2指令下具有法律和财务后果的治理差距。

让我们更深入地研究Ivanti的2025年网络安全状况报告中的数据,看看它告诉我们什么——以及如何将这些见解转化为符合NIS2要求的治理。

为什么NIS2改变网络安全风险管理的一切

NIS2将欧盟的网络安全制度扩展到18个行业,加强监管,并且——最具后果性的是——将直接责任分配给管理机构。董事会和高级领导必须批准、监督并确保措施适合风险且在实践中有有效。

失败会带来后果:审计、有约束力的指示以及最高1000万欧元或全球营业额2%的行政罚款。在严重情况下,领导面临临时禁令或个人责任。

NIS2不是一刀切的清单,而是期望组织证明他们在整个生命周期(分析、事件处理和连续性、安全开发和供应链保证、漏洞管理、培训和安全通信)中以符合最新技术和与业务影响相称的方式管理风险(根据第21条)。

为什么董事会挣扎——以及面临什么风险

当你将风险转化为CVE计数、补丁率和工具清单的仪表板,这些模糊了业务影响时,你的董事会就错过了CISO的关键点。

Ivanti的发现具体化了这种脱节:对话正在进行,但很少有人觉得暴露是以高管可以采取行动的方式传达的。结果是错误的优先级排序、分散的预算和未解决的潜在暴露——这正是NIS2试图防止的情况。

当出现问题时,成本迅速增加。勒索软件造成的运营中断、声誉损害、不断升级的法律暴露和恢复费用通常超过任何行政罚款。在NIS2下,无知不是辩护理由;有效的治理需要理解、沟通和跟进。

需要董事会关注的主要网络安全风险

Ivanti的研究强调了组织准备最不充分和暴露最多的领域:

  • 勒索软件和AI
  • 终止支持的技术
  • 供应链安全
  • 盲点(如影子IT)

以下每个风险都映射到NIS2的治理期望。继续阅读了解它们构成的威胁以及如何在实践中做得更好。

1. 勒索软件 + AI:完美风暴

Ivanti研究的现实:勒索软件仍然主导2025年的威胁格局——而且风险正在上升。超过三分之一的安全专业人员(38%)认为AI将使攻击更加危险,但只有29%的人觉得非常有准备应对。

这个差距反映了一个熟悉的模式:对手通过自动化加速,而防御者则与分散的遥测、手动流程和未经测试的响应手册作斗争。

监管者如何判断准备情况:在NIS2下,弹性不能是理论上的。监管者期望已经演练过的响应和危机计划、在实践中满足的连续性和恢复目标,以及与业务影响一致的预防控制(特别是关键系统的身份和补丁)。

当重大事件发生时,标准很明确:及时的早期警告、在规定窗口内的连贯跟进,以及从遏制到恢复的明显情况掌控。

提升安全态势:将勒索软件视为经常性业务风险,而不是罕见的IT事件。与高层领导、法律和通信部门一起演练前24-72小时,以便能够做出快速、可辩护的决策,并产生监管者要求的证据。

不要只是循环备份——在现实约束下证明优先级服务的可恢复性;将RTO/RPO直接与收入和安全联系起来。对于预防,围绕暴露定位:强化和修补关键资产,并通过强身份验证、分段和最小权限减少爆炸半径。

当董事会要求保证时,以结果回答:“订单到现金在X小时内恢复,季度确认;利益相关者通信与NIS2的分阶段报告一致。”

2. 终止支持的技术:合规定时炸弹

Ivanti研究的现实:超过一半(51%)的组织继续运行终止支持(EOL)软件,三分之一的组织表示其安全受到遗留技术的严重损害。这些遗留盲点造成系统性风险,并破坏任何声称的最新安全。

监管者如何判断准备情况:NIS2不规定版本,但它确实要求你遵循适当性和最新技术原则。这意味着:

  • 你知道EOL在哪里
  • 你有计划退役它
  • 在它保留期间你减轻风险,并在退出服务时安全地停用——包括清理数据

根据第21条,在没有时间限制、有文档记录的缓解措施的情况下,在生产中保留不受支持的技术很难辩护为相称的风险管理。

提升安全态势:将EOL从积压项目转移到董事会拥有的暴露。

  • 维护实时清单,提前一年标记支持状态
  • 使退役路径与业务所有者一致
  • 在延迟不可避免的情况下,批准在网络上的临时隔离、受限访问和增强监控——有明确的结束日期
  • 在处置时通过可验证的数据清理和可审计记录关闭循环

最重要的是,定价风险:“这个遗留平台驱动X%的收入;延长九个月增加€Y预期损失,除非我们按以下方式隔离和监控它…”

3. 供应链安全:你最薄弱的环节

Ivanti研究的现实:近一半(48%)的组织尚未识别其软件供应链中最易受攻击的第三方系统或组件。许多人仍然依赖静态问卷——耗时、自我报告且难以发现实时风险——特别是对于软件组件和托管提供商。

监管者如何判断准备情况:责任不止于边界。监管者将寻找可辩护的方法来评判供应商安全(包括安全开发和漏洞披露)、反映该方法的合同义务、对合作伙伴风险的持续可见性(不仅仅是年度表格),以及当原始暴露位于供应商时检测和响应的能力。

第21条明确说明:供应链安全必须基于风险且相称。供应链中的软件安全应该是共同责任。

提升安全态势:首先将安全要求的深度与供应商引入环境的风险相匹配。

托管关键工作负载的云提供商需要比低影响SaaS工具更严格的控制。对于高风险供应商,要求切实证据——SBOM可用性、补丁和披露节奏、参与协调漏洞披露——并使这些义务在合同中可执行。

用近实时指标取代一次性调查,如利用遥测、修复及时性和供应商攻击面的变化。最后,一起演练供应商起源的事件:确认联系人、证据共享和满足NIS2分阶段通知的公共通信。

4. 盲点:你无法管理的隐藏风险

Ivanti研究的现实:影子IT、遗留系统、非托管设备和第三方依赖是许多组织的持续盲点。

这些差距减慢响应速度,模糊风险,并使组织暴露于违规和合规失败。

监管者如何判断准备情况:第21条期望组织在整个生命周期管理风险——包括资产清单、漏洞管理和供应链保证。

盲点破坏这一任务。监管者会问:你能证明你知道环境中有什么、什么易受攻击以及正在采取什么措施吗?

提升安全态势:将可见性视为治理优先级,而不是技术细节。

  • 进行定期攻击面评估
  • 整合IT和安全数据
  • 使用自动化关联和规范化资产信息
  • 标记影子IT、BYOD和遗留系统供董事会层面审查

最重要的是,将可见性差距与业务影响联系起来:“我们缺乏X%端点的补丁合规数据,这影响SLA交付和监管态势。”

缩小沟通差距:CISO和董事会必须做什么

40%的安全团队表示IT不理解其组织的风险容忍度——这是网络安全治理的红旗。董事会没有业务影响的清晰度就无法挑战、确定优先级或分配资源。

根据NIS2法规,管理机构需要行使知情的监督。补救措施始于CISO将暴露转化为董事会认可的场景:

“如果我们在48小时内不更新这些系统,违规的可能性很高,所有客户健康数据将容易被提取。这将损害我们的品牌,在法庭上产生索赔,并使我们的服务停止数天。”

强有力的简报提供时间框架,并将投资与顶级暴露的减少联系起来(那些会实质性损害收入、安全或合规的漏洞利用)。

董事会应坚持优先事项的紧凑列表,在经济条款上同意风险偏好,并季度重新审视进展。随着时间的推移,这种纪律取代了以工具为中心的更新,共享关于攻击面如何缩小和弹性如何改善的叙述。

每个董事会演示文稿应回答这三个简单问题:

  • 什么可能出错真正重要?
  • 我们正在做什么?
  • 我们如何知道它有效?

将测量锚定于结果——隔离时间、恢复时间和前十大暴露的变化——而不是原始补丁或警报计数。当讨论技术债务时,附加价格标签:“再保留这个EOL集群一个季度保留功能,但增加€X预期损失,除非我们隔离和监控它。“这是NIS2期望在会议纪要和决策中看到的治理语言。

培训董事会:NIS2的必要条件

董事会只有在真正了解主题时才能缩小沟通差距。NIS2编纂了许多人已经认识到的:管理机构需要定期的网络安全培训以履行职责。

有效的计划是务实的:他们向董事介绍不断发展的威胁(如AI启用的勒索软件和受损软件供应链),澄清分阶段报告和潜在责任,并通过现实的桌面练习实践决策。

优先安排教导董事以业务术语阅读网络指标(例如,暴露情况对连续性、客户和合规的影响)以及如何询问计划直到可信的会议。

将培训转化为能力。使董事会教育成为持续能力,而不是一次性研讨会。使用建立流畅性的简短、重点模块(例如,一个季度关于暴露优先级排序,下一个关于供应商监督和CVD,然后一个关于事件报告机制)。

每个会话基于真实场景,如AI辅助勒索软件或恶意供应商更新,并捕获董事必须做出的具体决策。将这些决策转化为具体的治理改进(更新的政策、合同条款或指标),使培训显示可追踪的提升而不是勾选框。

为NIS2准备缩小意图和影响之间的差距

Ivanti的研究显示鼓舞人心的意图——董事会讨论网络安全,预算在增长,CISO在桌边有席位。但是,意图不等于影响。

同样的数据揭示了勒索软件的预备差距、减慢响应和削弱态势的顽固孤岛、终止支持技术的长尾,以及使实质性暴露留在账上的不透明供应链风险。

NIS2将标准从对话提高到责任:管理机构必须确保措施相称、最新技术和有效——并且他们必须在事件发生时证明它。

缩小沟通差距、按计划退役或隔离遗留系统,并用证据和演练取代仅问卷监督的组织将发现他们不仅合规,而且有弹性。

常见问题

什么是NIS2指令? NIS2指令是欧盟的一项法规,为运营关键基础设施和基本数字服务的组织设定了更严格的网络安全要求和责任标准。

NIS2如何影响董事会和高级管理层? NIS2使董事会和高级管理层对其组织的网络安全、实施强大的风险管理措施以及向监管者证明合规负有法律责任。

对董事会有意义的网络安全指标是什么? 有意义的网络安全指标关注业务结果,如从事件中隔离或恢复的时间以及顶级漏洞暴露的变化,并理想地将风险转化为财务术语。

关于Patrick Kaak

Patrick Kaak是一位经验丰富的IT专业人士,在终端管理和安全方面拥有超过19年的经验。作为Ivanti的终端安全和终端管理首席销售工程师,Patrick在支持金融、医疗、政府

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次