了解適用於OT網路安全的NIS2指南

歐洲聯盟委員會於2023年頒布網路與資訊系統指令2 (NIS2)，工業網路安全的改善因此有了重大進展。

儘管成員國工業組織的安全需求可能要到2025年或之後才會生效，但工業組織現在就應該開始準備。NIS2合規性的準備工作可能需要額外的OT安全人才和外部專業知識，但隨著合規性截止日期接近，這些資源將會受到限制。

以下是洛克威爾自動化彙整的20多個實用的NIS2資源和建議的後續步驟，以協助工業組織開始為NIS2合規性做好準備。這些資源可以分為兩個類別：

NIS2聚焦及工業網路安全基礎
合規性準備的策略及最佳實務

聚焦NIS2

於2023年1月生效的NIS2指令取代了2016年通過的原始NIS法規。新法規將適用範圍擴大，並將歐盟(EU)的法律架構現代化，以因應數位化和不斷變化的威脅形勢。成員國必須在2024年10月17日前將NIS2納入國家法律，另有新聞報告指出部分成員國已經推出相關法案。此後，工業組織將有21個月的時間使其運作完全符合規範。

NIS2適用於下列企業組織：

提供對歐盟的健康、安全或穩定而言必要或很重要的服務
僱用至少50名員工或創造至少1,000萬歐元(約1,081萬美元)
在歐盟有工業或製造業務(無論總部位於何處)
在歐盟提供特定服務，例如DNS服務、託管安全(MSP和MSSP)、雲端運算及資料中心

工業組織必須了解哪些資訊

NIS2擴大了許多先前指令的需求。例如，該指令將其他產業分類為關鍵基礎設施，總計達到11個。

其他值得注意的變更包括：

擴大安全性及事件回報的義務
更強的供應鏈安全性
更重視國際合作與資訊交流
更高額的罰款(高達1,000萬歐元，或該實體前一會計年度至少2%的全球年營業總額)
公開揭露違法行為和應負責任的企業實體

不遵守NIS2指令也可能會增加罰金。公開揭露需求可能會讓公眾監督回報事件的組織，如此可能也會影響品牌商譽。

NIS2 合規性基礎

雖然有關如何遵循法規的完整細節持續改變，但工業組織可以透過使用該指令的最低網路風險管理措施作為一般指引，以提供關鍵重點領域的見解開始著手。這10項主要規定包括：

風險分析和資訊系統安全
事件處理
業務連續性措施(例如備份與災害復原)
供應鏈安全
系統及網路安全(包括弱點管理)
風險管理和分析的原則與程序
基本網路安全衛生與員工培訓
密碼編譯和加密原則
人力資源安全(例如存取控制原則)
多重要素驗證及安全緊急通訊

NIS2建議一種符合IT和OT最佳安全實務的風險導向方法。若要了解風險，工業組織必須先瞭解其環境中的弱點，以及這些弱點對組織的重要性。這些知識可以確認防護中的差距、確定優先順序，並且有助於確定可以協助保護IT和OT環境並改善NIS2準備工作所需採取的對策。

符合網路安全架構

對任何企業組織而言，網路安全架構是其網路安全策略的核心部分。採用網路安全架構也為NIS2合規性提供藍圖，因為NIS2指令可以對應到多個已建立的架構。

常用的安全架構包括：

NIST網路安全架構(CSF)。CSF是由美國國家標準暨技術研究院(NIST)為解決CI安全問題所開發，獲全球私人和公共實體認可為預防、偵測和回應網路威脅的全方位資安方法。
ISA/IEC 62443。這一系列來自國際自動化協會(ISA)和國際電工委員會(IEC)的全球標準，可以為傳統IT環境和SCADA或生產現場建立工業安全架構。
ISO 27001。這些標準是由國際標準組織(ISO)所建立，涉及安全和風險管理的基本面。

NIS2 資源

下列資源可以協助受NIS2影響的組織更深入了解。

NIS2指令(指令(歐盟) 2022/2555)網站包含NIS2制定法案的相關資訊，可以協助企業組織的網路安全達到整個歐盟的共同高水準。
歐盟的常見問題集。歐洲聯盟委員會回答關於關鍵NIS2組成、執行和其他高階更新的問題。
歐盟網路安全局(ENISA)的NIS2政策指令網頁也提供關於該指令的詳細資訊，以協助改善整個歐洲的網路安全。
愛爾蘭的快速參考指南。愛爾蘭的國家網路安全中心提供全歐盟範圍內的產業和實體、事件通知需求、罰款等概要。

特定國家的網站：

法國常見問題集網頁。法國國家資訊系統安全局提供常見問題的國家更新和解答。
比利時NIS2部落格。比利時網路安全中心會在NIS2更新可供使用時發佈文章。
捷克CISA網站。捷克國家網路及資訊安全局網站也有概要與國家更新。
芬蘭TCA NIS2工作小組。芬蘭運輸及通訊管理局發佈國家進度更新與文件。

額外資源

IT基準保護概要(IT-Grundschutz)。德國聯邦資訊安全辦公室(BSI)建立的這個架構，可以為IT、OT和IoT網路安全提供一種系統性、風險導向、與成熟度相關的方法。
歐洲關鍵基礎設施防護參考網路。這個實體為歐洲聯盟委員會聯合研究中心的一部分，提供CI標準、最佳實務和指南，其中包括一系列其他IT與網路安全架構及指南。
關鍵基礎設施韌性新聞稿。歐盟委員會發佈的新聞稿，和CI利害關係人分享最佳實務、資訊及指南。
MITRE ATT&CK ICS技術。此知識庫和矩陣圖包含關鍵基礎設施專屬的「以實際觀察對手的戰略和技巧」相關戰略資訊。
關鍵實體韌性指令建立了一個整體架構，可以解決關鍵實體對於所有類型危害(無論是自然或人為、意外或刻意危害)的韌性問題。
歐盟網路韌性法案強化網路安全法規，以確保更安全的硬體和軟體產品。

外部專家也有助於應對NIS2的需求，並提供針對您業務和目標量身打造的指南。利用值得信任的工業網路安全合作夥伴所提供的專業知識來實施強大的網路安全計畫，並協助持續監控與緩解網路安全風險。

尋求洛克威爾自動化來協助實現NIS2合規性

如果您正在尋找工業網路安全方面的專業知識與建議來協助您滿足NIS2合規性的需求，洛克威爾自動化可為您提供協助。我們提供評估、設計、實施和管理工業基礎設施等廣泛的服務。透過涵蓋全球和超過一世紀經驗的策略合作夥伴，我們可以提供策略和戰術能力，以協助保護您的營運並確保您的未來順利發展。

洛克威爾自動化隨時準備協助您實現NIS2合規性。請聯絡我們立即開始。

已發佈 2024年3月25日

Maria Else

Sr. Global Product Manager, Cybersecurity Services, Rockwell Automation

Maria joined Rockwell Automation in 2009. Since then, she has been focused primarily on bringing cybersecurity services and solutions to market as part of our Lifecycle Services organization. Maria is passionate about helping customers achieve their desired goals and outcomes for a more secure industrial environment.