英国成立的独立机构,以维护公众利益为目的的信息权利,促进公共机构的公开和个人的数据隐私。

乍看上去

  • NIS涉及“网络和信息系统”及其安全。这些是处理用于操作,使用,保护和维护目的的“数字数据”的任何系统。
  • NIS要求这些系统具有足够的安全性来防止任何损害其存储的数据的任何操作,或者他们提供的任何相关服务。
  • NIS适用于两组组织:基本服务(OES)的运营商和相关数字服务提供商(RDSPS)。
  • OES是运营被认为对经济和更广泛的社会至关重要的服务的组织。它们包括关键基础设施(水、运输、能源)和其他重要服务,如医疗保健和数字基础设施。
  • RDSP是提供特定类型的数字服务类型的组织:在线搜索引擎,在线市场和云计算服务。要成为一个RDSP,您必须提供一个或多个这些服务,在英国有您的总部(或提名英国代表),并成为中型企业。
  • •对小型企业的数字服务有一般豁免;如果你的员工少于50人,营业额或资产负债表低于1000万欧元,那么你不是RDSP, NIS不适用。然而,如果您是一个较大的集团的一员,那么您需要评估集团的人员配置和流动率,以确定豁免是否适用。
  • NIS由特定于部门的“主管当局”调节。ICO是RDSPS的主管当局。
  • 国家网络安全中心(NCSC)还有两个功能:这是英国的“单点联系人”(SPOC),以及“计算机安全事件响应团队”(CSIRT)。

简单来说

什么是“网络和信息系统”?

NIS的第1条定义“网络和信息系统”,如:

(a)2003年通信法第32(1)条的含义内的电子通信网络;

(b)任何互联或相关设备的设备或组,其中一个或多个根据程序,其进行自动处理数字数据;或者

(c)由第(a)点或第(b)点所涵盖的元素为操作、使用、保护和维护而储存、处理、检索或传送的数字数据;

这基本上是任何用于处理“数字数据”的计算机系统。数字数据是以数字形式存储在网络和信息系统中的任何信息。这些信息可以包括个人数据,即使这些数据只是为了网络和信息系统的操作、使用、保护和/或维护而处理的。这也是NIS和英国GDPR相互关系的原因之一。

什么是“网络和信息系统的安全”意味着什么?

NIS的第1条定义如下:

网络和信息系统在给定的信任水平上抵御任何损害存储、传输或处理数据的可用性、真实性、完整性或保密性的行为的能力,或通过这些网络和信息系统提供或访问的相关服务的能力。

从本质上讲,这是指“信息安全”的概念。您必须有适当的安全措施,以确保您的系统及其中的数据不会受到危害。

这与既定标准紧密密切保持着ISO / IEC 27000:2018和着名的指导方针,包括美国国家标准和技术研究所(NIST)特刊800-53:

例子

ISO / IEC 27000:2018标准资讯保安的定义如下:

  • '保护信息的保密,完整性和可用性'

nist sp 800-53(PDF)将信息安全定义为:

  • 保护信息和系统不受未经授权的访问、使用、披露、破坏、修改或破坏,以提供保密性、完整性和可用性。

术语“保密性、完整性和可用性”被统称为“CIA三位一体”,它们是公认的信息安全概念。它们存在于英国GDPR中,因此在法律要求的技术和组织措施方面是相关的。NIS为这三者添加了“真实性”。

这意味着实践中大多数NIS要求都涉及网络安全措施。然而,信息安全性也包括物理和环境因素,例如这样的因素可能会带来损害您的系统的风险。

涵盖了哪些组织?

NIS适用于两个不同的组织组。这些是“基本服务的运营商”(OES)和“相关数字服务提供商”(RDSPS)。

虽然ICO不是规范基本服务的运营商,但最重要的是概述这些是有用的。NIS设想了两组的不同要求,以及OES比RDSP更严格的安全义务和执法制度。

什么是“基本服务的运营商”(OES)?

基本服务是对国家基础设施(例如水,能源,运输)至关重要的服务,或者对经济和更广泛的社会如卫生服务和数字基础设施非常重要。

NIS规则1将基本服务定义为:

对维持重要的社会或经济活动至关重要的服务

“基本服务运营商”(OES)是指提供基本服务的组织,包括:

  • 服务提供取决于网络和信息系统;和
  • 任何事件都会在该服务上具有“显着的破坏性影响”。

2018年NIS法规第3部分涉及OES的识别和他们有义务遵循的安全要求。这些超出了本指南的范围。如果您是OES并想了解更多关于这些义务的信息,我们建议您咨询主管当局产生的指导,以及NCSC的指导。

什么是“相关数字服务提供商”(RDSP)?

如果您提供某些类型的数字服务,那么您就是“数字服务提供商”(DSP)。然而,NIS并不适用于所有数字服务。为了被覆盖,您的数字服务必须是以下一个或多个:

  • 在线市场;
  • 在线搜索引擎;或者
  • 云计算服务。

如果您为这些,单独或组合提供任何一个,那么您是提供NIS涵盖的一种数字服务。根据“数字服务提供商”部分,这些部分有更多详细信息。

但是,NIS要直接向您申请,您必须:

  • 在英国有总部,或在英国提名代表;和
  • 不符合微型或小型企业的定义 - 本定义适用于少于50人的工作人员和年营业额低于1000万欧元的年度营业额或负债表。

如果您符合这些条件,那么您就是RDSP,必须符合NIS要求。

NIS法规2018的第4部分详细说明了这些要求。这些包括一个附加的执行法案,2018/151规定,它专门针对RDSPS,并在本指南中称为“DSP调节”。

本指南的以下部分将进一步详细介绍NIS的第4部分。

然而,即使您的服务不是RDSP,您也有可能是英国GDPR下的数据控制器和潜在的数据处理器,因此您需要确保您处理的任何个人数据符合数据保护法。

什么是“主管当局”?

“主管当局”是NIS中用于监管机构的术语。有多个主管部门负责国家信息系统覆盖的不同部门。

ICO是RDSPs的主管当局。在这方面,我们必须:

  • 审查NIS对RDSPS的应用;
  • 为RDSPS做好准备并发布指导;
  • 与其他有关机构,如执法部门、其他主管当局及非公务员合约委员会谘询及合作;和
  • 在适当的情况下进行执法行动。

其他主管当局列表发布附表1.NIS。

什么是“单点联系人”(SPOC)?

国家情报院建立了“单点接触”(SPOC)。SPOC的角色涉及跨境合作,例如在任何对其他成员国产生影响的事件中。主管当局向SPOC提供事件通知的年度摘要,SPOC反过来向欧洲一级的“合作小组”以及欧盟委员会报告。

GCHQ是英国SPOC,在NIS下的功能下进行了国家网络安全中心(NCSC)将是英国spoc。我们提供了有关SPOC作用的更多信息在本指南中

什么是“计算机安全事件响应小组”(CSIRT)?

NIS建立一个CSIRT,用于监控并响应其通知的事件。CSIRT还具有其他功能,提供警告,警报,公告和传播有关风险和事件的信息。有权当局需要尽快与CSIRT共享事件通知。

GCHQ是英国CSIRT,在NCSC执行的NIS下的功能。我们提供了有关CSIRT的角色的更多信息在本指南中