NIS2指令下CSIRT能力建设与挑战研究

影响研究：改革后的网络与信息安全指令框架下的CSIRT

背景

2022年6月，关于《网络与信息安全指令》（NIS）改革的政治协议已达成。这项改革由技术发展、社会日益数字化、对信息和安全网络的依赖度提高以及新旧威胁共同驱动。与NIS1相比，新的NIS2指令扩大了计算机安全事件响应团队（CSIRT）的任务和权限范围，既拓展了适用范围，也丰富了CSIRT的任务类型。为此，荷兰国家网络安全中心（NCSC-NL）委托蒂尔堡大学就其自身组织及活动开展影响研究。

研究目标

本研究旨在梳理CSIRT在要求和任务方面的变化，以及在满足这些要求和执行任务过程中的"良好实践"及内部组织情况。研究人员考察了六个欧盟成员国的CSIRT，包括：荷兰的NCSC、奥地利的CERT.at、法国的CERT-FR、德国的CERT-BUND、爱沙尼亚的CERT-EE以及丹麦的网络安全中心。

研究成果

影响研究的最重要结果包括：

各国执行CSIRT任务的方式及良好实践存在显著差异。这些良好实践在随附报告中有详细说明。
对大多数CSIRT而言，新NIS2指令带来的主要挑战包括可扩展性、确保新纳入部门和组织能够获得CSIRT服务，以及国家系统内多项任务的组织协调。
各国差异体现在：采用集中式还是分散式方法来组织国内的CSIRT任务；使用基于风险或基于部门的方法来识别和应对威胁；信息共享、知识传播的不同自动化形式；以及用于主动扫描脆弱网络和组织的工具。
获取并维持必要的资源和能力以覆盖NIS2指令扩展的部门和组织范围，是大多数CSIRT面临的主要挑战，尤其是在人员招聘与保留以及资金方面。
建立并培育一个可信的CSIRT和组织生态系统，有助于国家CSIRT提升规模，确保NIS2指令范围内的所有部门和组织都能使用CSIRT服务。

后续步骤

NIS2指令将在欧洲议会和欧盟首脑理事会投票后于今年秋季正式确定。成员国随后有21个月的时间将指令转化为新的或现有的国内立法。荷兰将修订《网络与信息系统安全法》（Wbni）。司法与安全部将主导此项工作，NCSC-NL将参与其中。在此期间，将确定如何在我国立法中解释该指令。本研究的结果将作为参考依据。NCSC-NL将在此过程中向其现有及潜在的未来成员通报相关事宜。