伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。
本栏目立足团队在网络安全政策法规方面的日常跟踪,分析筛选国内外近期部分热点政策法规文件,并重点结合网络安全产业发展,对其内容跟和影响等进行简析。栏目分为国内篇和国外篇,本期筛选分析2023年1月国内外发布的热点政策法规。
欢迎共同研讨和批评指正。
本期目录
1
《关于在欧盟全境实现高度统一网络安全措施的指令》正式生效
2
美国CISA宣布联合网络防御协作组织的2023年规划议程
3
工业和信息化部、国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》
4
附录 2023年1月国内外重要政策一览表
✦ +
+
国外篇
1.《关于在欧盟全境实现高度统一网络安全措施的指令》正式生效
【内容概述】2023年1月16日,《关于在欧盟全境实现高度统一网络安全措施的指令》(Directive on measures for a high common level of cybersecurity across the Union)(以下简称《指令》)正式生效。欧盟成员国据此须在2024年10月17日之前发布遵循《指令》的必要措施。
《指令》主要在增强监管和执法力度、加强欧盟成员国合作和网络安全风险管理等方面对《网络和信息安全指令》进行了更新。一是在增强监管和执法力度方面,对违反网络安全风险管理规定的行为实施罚款、建立安全事件报告机制等;二是在加强欧盟成员国合作方面,包括加强信息共享、协调漏洞披露等;三是在网络安全风险管理方面,包括加强关键信息和通信技术的供应链安全、简化事件报告义务等。
原文链接:
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555&qid=1672747885309&from=EN
【导读分析】为应对数字化发展带来的网络安全威胁,欧盟于2016年7月通过关于网络安全的第一部综合性立法——《网络和信息系统安全指令》(《NIS指令》),旨在欧盟范围内实现统一、高水平的网络和信息系统安全,为提升欧盟成员国网络安全水平发挥了指引作用。本次发布的《指令》在《NIS指令》的基础上,扩大了被约束对象的范围,增至包括公共电子通信网络和服务、数据中心服务、医疗卫生和关键产品制造等关键部门与实体。同时该指令还是“欧盟数字战略”的重要组成部分。
近年来,我国建立起了以《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》为纲领的“三法一条例”网络安全法律框架,但在“网络安全事件报告”“供应链安全”等诸多细分领域,尚亟待出台具体的规章制度和管理规范等实施层面的政策文件。《指令》对于我国开展相关制度完善工作具有参考价值。
2.美国CISA宣布联合网络防御协作组织的2023年规划议程
【内容概述】2023年1月26日,美国网络安全和基础设施安全局(CISA)发布了联合网络防御协作组织(JCDC)的2023年规划议程(2023 JCDC Planning Agenda)(以下简称《议程》)。JCDC意图通过将关键行业合作伙伴的能力与政府机构的定制化需求相结合,创建共同合作的方法来对抗恶意行为者和重大网络风险。
JCDC制定的规划议程主要包括以下3个领域:第一,系统性风险,包括解决开源软件,远程监控和管理供应商、托管服务提供商和托管安全服务提供商,能源,水务行业等4个领域的风险。第二,集体网络响应,包括更新国家网络事件响应计划(NCIRP),阐明非联邦实体在组织和执行国家事件响应活动中的具体作用。第三,高风险组织机构,通过与政府和重要行业利益相关者的合作规划,加强对面临更高风险的民间社会组织的保护等。
原文链接:
https://www.cisa.gov/blog/2023/01/26/jcdc-focused-persistent-collaboration-and-staying-ahead-cyber-risk-2023