網絡安全政策法規月月談(第3期)

  ddos防御     |      2023-03-31 04:26

伴隨數字化和網絡安全深入發展,網絡安全市場的政策性特征日漸顯著,合規需求已與攻防需求一道,成為引領網絡安全產業發展的兩大核心驅動力。

本欄目立足團隊在網絡安全政策法規方面的日常跟蹤,分析篩選國內外近期部分熱點政策法規文件,并重點結合網絡安全產業發展,對其內容跟和影響等進行簡析。欄目分為國內篇和國外篇,本期篩選分析2023年1月國內外發布的熱點政策法規。

歡迎共同研討和批評指正。


本期目錄

1

 

《關于在歐盟全境實現高度統一網絡安全措施的指令》正式生效

 

2

 

美國CISA宣布聯合網絡防御協作組織的2023年規劃議程

 

3

 

工業和信息化部、國家互聯網信息辦公室等十六部門聯合印發《關于促進數據安全產業發展的指導意見》

 

4

 

附錄  2023年1月國內外重要政策一覽表

 


?  +

+

國外篇


1.《關于在歐盟全境實現高度統一網絡安全措施的指令》正式生效


【內容概述】2023年1月16日,《關于在歐盟全境實現高度統一網絡安全措施的指令》(Directive on measures for a high common level of cybersecurity across the Union)(以下簡稱《指令》)正式生效。歐盟成員國據此須在2024年10月17日之前發布遵循《指令》的必要措施。


《指令》主要在增強監管和執法力度、加強歐盟成員國合作和網絡安全風險管理等方面對《網絡和信息安全指令》進行了更新。一是在增強監管和執法力度方面,對違反網絡安全風險管理規定的行為實施罰款、建立安全事件報告機制等;二是在加強歐盟成員國合作方面,包括加強信息共享、協調漏洞披露等;三是在網絡安全風險管理方面,包括加強關鍵信息和通信技術的供應鏈安全、簡化事件報告義務等。


原文鏈接:

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555&qid=1672747885309&from=EN


【導讀分析】為應對數字化發展帶來的網絡安全威脅,歐盟于2016年7月通過關于網絡安全的第一部綜合性立法——《網絡和信息系統安全指令》(《NIS指令》),旨在歐盟范圍內實現統一、高水平的網絡和信息系統安全,為提升歐盟成員國網絡安全水平發揮了指引作用。本次發布的《指令》在《NIS指令》的基礎上,擴大了被約束對象的范圍,增至包括公共電子通信網絡和服務、數據中心服務、醫療衛生和關鍵產品制造等關鍵部門與實體。同時該指令還是“歐盟數字戰略”的重要組成部分。


近年來,我國建立起了以《網絡安全法》《數據安全法》《個人信息保護法》和《關鍵信息基礎設施安全保護條例》為綱領的“三法一條例”網絡安全法律框架,但在“網絡安全事件報告”“供應鏈安全”等諸多細分領域,尚亟待出臺具體的規章制度和管理規范等實施層面的政策文件?!吨噶睢穼τ谖覈_展相關制度完善工作具有參考價值。



2.美國CISA宣布聯合網絡防御協作組織的2023年規劃議程


【內容概述】2023年1月26日,美國網絡安全和基礎設施安全局(CISA)發布了聯合網絡防御協作組織(JCDC)的2023年規劃議程(2023 JCDC Planning Agenda)(以下簡稱《議程》)。JCDC意圖通過將關鍵行業合作伙伴的能力與政府機構的定制化需求相結合,創建共同合作的方法來對抗惡意行為者和重大網絡風險。


JCDC制定的規劃議程主要包括以下3個領域:第一,系統性風險,包括解決開源軟件,遠程監控和管理供應商、托管服務提供商和托管安全服務提供商,能源,水務行業等4個領域的風險。第二,集體網絡響應,包括更新國家網絡事件響應計劃(NCIRP),闡明非聯邦實體在組織和執行國家事件響應活動中的具體作用。第三,高風險組織機構,通過與政府和重要行業利益相關者的合作規劃,加強對面臨更高風險的民間社會組織的保護等。


原文鏈接:

https://www.cisa.gov/blog/2023/01/26/jcdc-focused-persistent-collaboration-and-staying-ahead-cyber-risk-2023