对于国际资安态势,在今年2024台湾资安大会上,荷兰资安三角洲(HSD)基金会总监Joris den Bruinen不只在主题演说中,
原因在于,NIS 1主要针对关键基础设施,因此它在荷兰的定义非常狭隘,主要是政府、银行、能源部门,而NIS 2的定义不再狭窄,而是扩及更广泛的重要中大型产业。Joris表示,荷兰大约有6千个组织,包括食品、物流与高科技产业,都将纳入规范。 换言之,我们保护的对象已从「关键」扩大至「必要」。 而且,NIS 2还带来一个不同于过往的意义:现在是要董事会负责并承担责任,不再是IT单位、资安长(CISO)的事。配套上也会成立监管机构,一旦没有即时通报,或是未尽该有防护之责,将会面对罚则。而且,董事会不仅是对自身组织负责,也要对整个供应链负责。 针对金融领域,在2022年底欧盟还有通过数位营运韧性法案(DORA),整体而言,Joris强调,这些资安规范的基本原则就是风险管理,这是一个很好的出发点,不论是董事会要负责,或是尽到该有的资安防护之责。 对于如何算是做到应尽之责,Joris认为,网路卫生相当重要,在既有资安管理上采取更主动且良好的防护方式,就像维持自身健康一般,帮助组织预防与降低网路攻击的风险。 而网路卫生这样的观念,至今也不断被强调著,他举例,今年5月初美国RSA大会上,一位美国官员指出,如果你有良好的网络卫生,可能95%的问题都会被解决。DORA(Digital Operational Resilience Act)