背景

2022年6月，欧盟就网络与信息安全指令（NIS）改革达成政治协议。此次改革由技术发展、社会数字化程度不断提高、对信息和安全网络的依赖度增加以及新旧威胁共同推动。与NIS1相比，新NIS2指令扩大了计算机安全事件响应团队（CSIRT）的任务和权限范围，包括任务类型的拓展。

荷兰国家网络安全中心（NCSC-NL）委托蒂尔堡大学就此次改革对其组织及活动的影响进行研究。

研究目标

本研究旨在明确CSIRT在要求和任务方面的变化，以及满足这些要求和执行任务时的"良好实践"和内部组织方式。研究人员考察了六个欧盟成员国的CSIRT组织，包括：荷兰的NCSC、奥地利的CERT.at、法国的CERT-FR、德国的CERT-BUND、爱沙尼亚的CERT-EE以及丹麦的网络安全中心。

研究成果

影响研究的主要结果包括：

• 各国执行CSIRT任务的方式及良好实践存在显著差异。这些良好实践在附带的报告中有详细说明。
• 对大多数CSIRT而言，新NIS2指令带来的主要挑战包括可扩展性、确保新指定部门和组织能够获得CSIRT服务，以及国家系统内多项任务的组织安排。
• 各国差异体现在：国内CSIRT任务组织采取集中式还是分散式方法；使用基于风险或基于部门的方法来识别和应对威胁；信息交换、知识共享的不同自动化形式；以及主动扫描脆弱网络和组织的工具。
• 为NIS2指令范围内部门和组织的扩展获取并保持所需能力和资源是大多数CSIRT面临的主要挑战，尤其是在人员招聘、保留和资金方面。
• 建立可信CSIRT和组织的生态系统有助于国家CSIRT扩大规模，确保NIS2指令范围内的所有部门和组织都能使用CSIRT服务。

后续步骤

NIS2指令将在今年秋季欧洲议会和欧盟首脑理事会投票后正式生效。成员国随后有21个月时间将指令转化为新的或现有的国家立法。荷兰将修订《网络与信息系统安全法》（Wbni），由司法与安全部牵头，NCSC-NL参与其中。在此期间，将决定如何在我国国家立法中解释该指令，本研究结果将作为输入。NCSC-NL将在此过程中向当前及未来可能的成员传达相关事项。

相关出版物

• NIS2影响研究 | 出版物 | 2022年10月12日