去年的Petya和WannaCry袭击影响了电力供应商和医疗机构，提醒人们，当关键基础设施遭到网络攻击时，后果可能很严重。长期以来，欧洲立法者已经意识到有必要对此采取更强有力的联合应对措施。

NIS指令的制定历时四年多，旨在提高欧盟成员国的防范能力，加强跨境合作并建立“跨部门的安全文化，对我们的经济和社会至关重要”。

它涵盖了两种类型的组织…

• 基本服务运营商 （OES）。这涵盖了能源和供水，运输，卫生，金融和数字基础架构，例如DNS服务提供商，顶级域名注册机构和Internet交换点。

• 数字服务提供商 （DSP）。

数字服务在广义上定义为“通常以一定距离，通过电子方式并应服务接受者的个人要求提供有偿服务的任何服务”。

该指令继续描述所涵盖实体的类型...

• 在线市场。 这些被专门定义为买卖双方之间的中介-仅在平台本身实际进行销售的情况下。因此，包括了这个世界的口香糖和电子海湾；常规的电子商务商店不是。

• 在线搜索引擎。 仅捕获那些允许用户搜索整个Web或特定语言网站的服务。

• 云计算服务。 这包括提供b2b软件即服务，基础架构即服务或平台即服务的组织。

• 小型和小型企业不包括在内。即使公司满足以上三个条件之一，但员工少于50人且年营业额少于1000万欧元的NIS指令也将不适用。
​

技术法律往往被广泛地起草-规定了首要原则，而不是关于做什么的蓝图。 NIS指令遵循此模式。

对于OES和DSP，要求成员国确保提供商“识别并承担管理对网络和信息系统安全性构成的风险…”

使用在网络安全法规中大有作为的短语，提供商必须考虑“最先进的制定降低风险的措施时。

那么在现实生活中这将意味着什么呢？好吧，对于OES，这将意味着遵循特定于部门的最佳实践准则。对于DSP，各国政府可能会深化“适当的技术和组织措施纳入更多规范性原则。

例如，英国政府已经概述了DSP遵循的五项安全原则，以确保合规性……

• 对“成比例的保护系统免受攻击或故障的安全措施
• 适当的结构和流程以确保有效 事件管理
• 的能力 减轻事件 -包括服务恢复
• 通过以下方式确保防御措施持续有效 威胁检测
• 为了确保 ”国际公认的网络安全标准坚持。

（注：法律不会告诉您要购买哪个SIEM软件包或如何配置防火墙-由您决定）。

该指令迫使成员国建立全面的报告制度。对于DSP，这包括报告“毫不迟延地”到“主管当局”“对提供服务产生重大影响的任何事件”。

谁是“主管当局”？ 英国的信息专员办公室（ICO）有望成为DSP的主管机构，而特定行业的机构将被赋予监督OES的作用。

什么是具有“重大影响”的事件？ 这完全取决于破坏的程度。将涵盖导致服务不可用的完整中断。运行缓慢的服务也是如此，以至于它们基本上无法使用。可能还会涵盖一系列较短的事件，这些事件会随着时间的流逝而中断。

一个72小时的报告窗口可能会出现。

该指令引入了两级的违规罚款制度。

对于未报告或未与监管机构合作的行为，最高可处以1000万欧元或年营业额2％的罚款。

对于更严重的违规行为（包括未采取适当的安全措施），最高可处以2000万欧元或营业额的4％的罚款。

GDPR关注个人数据的泄露。 NIS指令专注于保持基本服务的运行。

假设SaaS提供商受到DDoS攻击。个人数据不会受到损害-但是该服务将在一整天内无法使用。尽管没有根据GDPR进行报告的义务，但该公司几乎可以肯定需要根据NIS指令通知监管机构。

但是，假设发生服务中断和个人数据丢失的情况。根据NIS指令和GDPR，该公司将面临不同的报告要求。正如英国监管机构所说，“每一项立法的要求都应按照其自身的条件执行”。这就增加了必须针对同一违反向监管机构提交两个报告的可能性！

您不是DSP或OES。那么NIS指令会影响您吗？

假设您为英国，德国和法国的大型医疗机构提供支持服务（例如，数据管理或安全管理）。

作为OES，如果您违反NIS，最终将由您的客户来搬运罐子-因此，他们将寻求履行其供应链中的所有义务。希望大客户仔细研究他们现有的合同安排，包括与您的过失有关的赔偿条款。

检查您的合同，尤其是关于通知要求的合同；如果您遇到的问题会影响客户的服务连续性，则他们需要立即了解该问题。

欧盟成员国必须在2018年5月之前执行该指令。作为一个 指示 相对于 规定，它不会自动生效（每个国家/地区都通过自己的法律）。即将在英国发布最终草案和指南；整个欧盟正在发生的事情。