英国成立的独立机构,以维护公众利益为目的的信息权利,促进公共机构的公开和个人的数据隐私。

乍一看

  • NIS旨在为网络和信息系统建立一个共同的安全级别。这些系统在经济和更广泛的社会中发挥着至关重要的作用,NIS的目标是解决来自一系列领域的威胁,尤其是网络攻击。
  • 尽管NIS主要关注网络安全措施,但它也包括物理和环境因素。
  • NIS适用于两组组织:“基本服务运营商”(OES)和“相关数字服务提供商”(RDSPS)。本指南提供了有关RDSPS上的NIS位置的需求的详细信息。虽然针对RDSPS,但它也可能对OES有用。
  • 对于小型和微型企业的数字服务,有一个普遍的豁免,除非它们是较大集团的一部分或由较大组织控制。
  • ico是RDSPS的“主管当局”。我们有一系列权力,我们可以用来强制执行NIS,包括在最严重的案件中发出高达1700万英镑的罚款。

简单来说

nis是什么意思?

'NIS'是“网络和信息系统”的速记。它指的是:

  • 电子通信网络;
  • 自动处理数字数据的设备或互联设备组;或者
  • 以上述任何一种存储,接收或传输的数字数据,以便其操作,使用,保护和维护。

读了关键定义部分更具体的细节。

NIS法规是什么?

NIS规则是2018年网络和信息系统法规该法案于2018年5月10日生效。

该法规打算解决对网络和信息系统的威胁,从而旨在提高数字经济的运作。

网络和信息系统在社会中起着至关重要的作用,其可靠性和安全性对经济和社会活动至关重要。然而,安全事件的规模、频率和影响不断增加,网络和信息系统可能成为有害行为的目标。

除了NIS法规外,整体英国NIS制度还包括数字服务提供商的执行法案。这称为“DSP规则”,并指定某些组织的安全要求和事件报告阈值。

本指南使用单个术语“NIS”参考整体法律框架,包括NIS法规和DSP监管。

NIS是一个网络安全法吗?

NIS主要旨在改善网络安全,但本身并不是一个网络安全法。它涉及任何对服务产生影响的“事件”,影响会产生显着的破坏性效果。它还包括具有“非网络”原因的影响,例如对电源的中断或诸如洪水之类的自然灾害的中断。

例子

NIS范围内的组织在其数据中心的多个服务器上处理信息。这些服务器受到许多技术措施的制约,以防止外部攻击者渗透他们,如防火墙和访问控制等。

然而,某一天,由于数据中心的日常维护,导致其中一台或多台服务器的电源意外中断。除非该组织以多重冗余方式存储其信息,否则存储在断开连接的服务器上的任何信息都将不再可用。这反过来可能导致组织的服务经历重大的破坏性影响;即断开连接的设备上的信息不可用,这反过来会影响服务本身的提供。

这仍然是NIS所定义的“事件”,即使没有网络攻击导致它。

NIS涵盖哪些组织?

NIS适用于两组组织:

  • 基本服务运营商;和
  • 相关数字服务提供商(RDSPS)。

如果您是“相关数字服务提供商”,您是“相关数字服务提供商”:

  • 提供以下一种或多种数字服务:在线搜索引擎、在线市场和云计算服务;
  • 总部在英国,或已提名英国代表;和
  • 不符合微型或小型企业的定义 - 本定义适用于您的工作人员少于50名,年营业额低于1000万欧元的年度营业额或负债表。

ICO监管RDSPs,而不是OES。然而,我们对这两种类型的服务也有监管功能,无论这些机构在哪里处理个人数据。这是因为在许多情况下,OES和RDSPs将是数据控制器,因此数据保护法律也适用于他们。

有豁免吗?

是的。国家统计局对小微企业实行一般豁免。如果您提供数字服务,但员工人数少于50人,年营业额或资产负债表低于1000万欧元,则您不是RDSP,因此NIS不适用于您。

如果您的数字服务是一个更大的组织的一部分,那么在评估NIS是否适用时,您需要计算整个组织的员工和流动率。例如,在自己的数字服务可以满足小型企业免税,但如果这是一个更大的集团的一部分(或由较大的组织)控制,集团已50多名员工,年营业额或资产负债表€1000万以上,然后NIS的数字服务范围。

然而,无论您的规模如何,如果您正在处理与您的服务有关的个人数据,您仍然受英国GDPR的保护。本指南稍后将提供更多关于NIS和英国GDPR之间关系的信息。

进一步的阅读

英国GDPR指南

阅读 '数字服务提供商”和“NIS和英国GDPR章节获取更多信息。

ICO可以采取什么行动来执行NIS?

ICO可以采取几种不同的行动来实施NIS。其中包括执行通知、检查权力和处罚。在最严重的情况下,我们可以处以高达1700万英镑的罚金。

这些力量并不相互排斥。我们将在情况允许的情况下结合使用它们。

有关这些执行权力的更多信息载于本指南的执行部分

这些执行权力与我们根据数据保护法所拥有的权力是分开的。在NIS事件影响个人数据的情况下,我们可以根据NIS和数据保护法采取适当和相称的行动。

这也是NIS事件影响OES的情况。如果该事件也是个人数据违约,或导致个人数据泄露,那么ICO有监管职能。

进一步的阅读

监管措施的政策(PDF)。