犯罪黑客、民族国家和其他恶意行为者不断改变他们的目标和方法。然而，立法通常需要数年时间才能起草，在与新兴网络安全威胁保持同步时，执法部门处于不利地位。不过，欧盟(EU)正在以相对较快的速度向欧盟制定新的通用网络安全法规。网络和信息系统指令(NIS2)由欧盟委员会于2020年12月提出。本月，拟议规则获得了欧盟议会和欧盟成员国（通过部长理事会）的临时批准。据欧盟委员会称，NIS2为“在整个欧盟范围内采取高水平的网络安全措施”铺平了道路。一旦NIS2获得欧洲委员会和欧洲议会的批准，欧盟国家将有21个月的时间将该指令转变为国家法律。NIS2将补充于2018年生效的原始网络和信息系统指令。措施包括要求欧盟成员国采用国家网络安全战略，以及要求对法规涵盖的公司实施网络安全法规，包括24小时事件报告义务。

NIS2还呼吁加强成员国之间的合作和信息交流，以及该指令所涵盖的公司之间更多的信息共享。NIS2涵盖两类组织或“实体”：“基本”实体，包括能源、交通、健康、水、空间、公共管理、数字基础设施以及银行和金融市场，以及“重要”实体，包括邮政服务、制造和食品生产等。

尽管小公司将被排除在法规之外，但基本和重要部门的大多数公司都将被涵盖，这使NIS2的范围比其前身要广泛得多。

Jon France，(ISC)2的首席信息安全官:
“NIS2作为NIS的演进举措受到欢迎，特别是考虑到许多行业的快速数​​字化及其对通信基础设施的日益依赖。NIS2带来了最新的东西，其中包含了许多额外的技术，例如电信和部门，所有这些都支持良好的安全结果。

在未来几个月和几年内，它将在各个欧盟成员国中通过立法，这将进一步嵌入网络安全考虑和要求，以造福所有欧盟公民。”

Steve Cottrell，威胁检测和响应公司Vectra的EMEA首席技术官:
“根据之前的NIS指令，各个州在定义哪些组织属于基本服务运营商类别时能够行使一定程度的自由裁量权。这导致各国采用和应用不同的解释，这反过来又使整个欧盟难以达到网络成熟度的标准基线。NIS2指令直接解决了这一问题，因为它列出并详细说明了规模上限标准，以确保中型和大型组织都在范围内。

“在任何大规模的网络事件中，至关重要的是，欧盟国家和整个大陆的当局必须有能力有效地协调努力并尽可能接近实时地共享信息。看到该指令要求建立EU-CyCLONe[网络危机管理中心]，这是非常积极的，它将协调其成员国对重大泛欧盟网络事件的有效管理。”

Prism Infosec创始人Phil Robinson:
“[The]NIS2指令将扩展原始立法，以包括对维持健康的经济和正常运转的社会至关重要的[组织]。NIS2还将通过确保在这些流程中管理风险来专注于提高供应链和供应商关系的弹性。

“网络安全立法的发展值得欢迎。它将推动监管和合规，并确保风险识别和管理在董事会议程上占据重要位置。也就是说，重要的是要确保合规流程适当且务实，并继续发展以应对组织面临的不断变化的网络安全威胁。”

AMR Cyber​​Security网络安全总监Martin Walsham:
“NIS2提案对NIS指令进行了系统性和结构性的改变，扩大了其职权范围内的组织范围。它在实施过程中提供了更好的监督和更高的一致性，旨在提高欧盟的网络弹性。

“在国家层面，NIS2的优点对于成员国和相关行业的行业来说应该是显而易见的，[创建]一个稳定、安全、有弹性的数字生态系统，以应对日益敌对的网络威胁环境。

Trevor Dearing，Illumio关键基础设施欧洲、中东和非洲地区总监:
“令人鼓舞的是，欧盟国家和立法者承认成功的网络攻击对跨行业造成的灾难性影响，同意对大型能源和运输公司、数字供应商和医疗设备制造商等企业实施更严格的网络安全规则。

“既然NIS2指令已经获得同意，下一步就是将其纳入每个成员国的法律。这不应该花太长时间，因为理论上它只需要更新每个国家的网络安全战略。但是，由于NIS2可能不会同时在所有国家/地区成为法律，因此新法规的执行可能会出现暂时的不一致，这些国家将不得不进行调整。

“积极的一面是，NIS2包括让高级管理层对其组织内的网络安全更加负责，并确保进行适当的风险分析。将责任归咎于每个单独的组织应鼓励更严格地遵守法规，因为疏忽会导致罚款和声誉受损。

“此外，虽然NIS2是欧洲[联盟]指令，但英国正在同时更新其规则。”

ISACA首席全球战略官Chris Dimitriadis:
“欧盟议会和理事会的临时协议是朝着最终确定新指令的立法文本迈出的非常积极的一步，该指令既现代化又范围更广。

“根据比例规则扩大范围，既有助于实施涵盖其他部门及其供应链的更全面的方法，同时也有助于在指令的实际实施中保持平衡。

通过制定监管框架的最低规则来协调成员国，以及加强这些成员国之间的合作机制，对于实施以及最重要的是监测整个欧洲实施的成熟度至关重要。还需要强调的是，根据NIS2，检查和监督应由经过培训的专业人员进行。

“在实践中，为了使立法有效，欧洲需要高技能的劳动力来执行NIS2指定的任务。有针对性的内部和独立安全审计、风险评估、网络安全架构设计和实施以及事件管理和报告需要由经过认证的风险、网络安全和审计专业人士执行，他们既了解新兴技术，又了解如何衡量网络成熟度。连续的方式。

“我期待整个安全框架的完成，该框架包含所有更新的法规和指令，包括NIS2、DORA、CER和网络弹性法案，旨在建立一个更安全的欧盟。”