核心服务公司不仅需要管理其网络中存在的风险，还需要确保采取适当措施以防止攻击并将攻击成功的潜在风险最小化。

对于建议适用何种安全协议，指令提案只规定该协议应符合当前的技术发展水平。指令提案并未建议任何适当措施，如双重验证或加密。由于技术处于飞速发展之中，明确特定措施会使得指令在几年内即被废除。

指令同时强制要求公司报告具有“重大破坏性影响”的事故。“重大破坏性影响”需根据受该破坏性事故影响的用户数量、事故持续时间、事故的地域传播以及破坏性影响的范围等因素确定。

　　相关信息

通知中须包括所有与事故相关的信息，以使得主管部门或CSIRT确定该事故的跨境影响。通知义务不会使公司承担任何附加责任，但如果其后发现公司知而不报，则会受到处罚。一些公司可能不想暴露其安全已受到威胁，这是由于其品牌形象可能遭受损害。但是如果他们之后被发现未及时通报攻击事件，其声誉会受到更大损失，同时还需缴纳罚款。

非提供核心服务的公司可以自愿报告对其所提供的服务持续性具有重大影响的事故。这一自愿通知行为不会使得公司承担指令项下的任何其他义务。

英国工业联合会代理会长汤姆-萨克雷(Tom Thackray)认为，“采取有效的空间安全(措施)是数字经济成功的基础，所有企业需要保证他们评估其网络风险，并采取强有力的保护措施以保障其资产、知识产权、客户数据及品牌。但是，强制行动或报告可能还不够成熟。在网络安全问题上，应当允许企业自行管理其风险及投资决策。目前，许多企业已采取此做法。”

　　数字服务提供商

指令还规定属于“数字服务提供商”的公司——即提供在线市场、搜索引擎或计算机服务的公司——同样需要确保其“明确并采取合理及适度的技术和组织措施，以应对其运营所使用的网络与信息系统安全中存在的风险。”

指令还适用于提供核心数字服务的第三方公司，该类公司对核心服务供应商服务持续性起到重要作用。任何对核心服务持续条款造成影响的事项都需公布。该责任由争议事项的核心服务运营商承担。

核心服务运营商及数字服务提供商将需接受主管部门审计以确保其网络与信息系统符合最低安全要求。主管部门有权发布具有约束力的命令，要求核心服务运营商对其运营行为进行修正。

大型公司已具备大量《网络与信息安全指令》提案所要求的系统。例如BT公司自信地认为指令将对其运营活动造成极小影响，甚至不会造成任何影响。BT公司发言人称，“我们已经拥有全球计算机事故应急小组(CERT)，目前该小组一直在运作，其规模也在不断扩大。”

　　安全协议

然而，小型公司目前无需广泛的安全协议而采取行动，以符合指令规定。Skyscraper实验室常务董事亚历山大-莫伊谢耶夫(Alexander Moiseev)认为，“根据各公司已采取的措施不同，其所承担的费用也有所不同，如报告、职员以及空间安全战略的制定等。”但是这些短期花费会带来长期回报。他指出，“长远来看，这将会节省时间与金钱。这些预防措施将有助于缓解巨大的空间安全风险，包括数字服务干扰，甚至对重要基础设施的物理攻击等。”而其最大的益处在于可以在事故发生之前就予以阻止。

接下来的两个月将对指令的语言表述是否符合法言法语进行审查，但不会涉及对术语的修改。在此之后，欧洲议会将会通过最终文本，而后再由欧洲议会批准，该指令才得以正式发布生效。

　　国内立法

欧洲议会及欧洲理事会正式通过该指令后，指令的最终文本将由欧盟官方公报正式发布。成员国将在此后的21个月内将该指令转换为国内法，并延长六个月的时间以确定其核心服务的供应商。萨克雷指出，“指令中的许多要求已在英国法中有过规定。因此实施该指令将会相当简单。”该指令将于2018年年中正式生效。届时，所有纳入指令项下的公司都将全面遵循指令规定。

随着恶意攻击数量日益增加，《网络与信息安全指令》旨在通过建立普遍高水平的网络安全以强制公司加强其系统。来自卡巴斯基实验室的莫伊谢耶夫(Moiseev)指出，“由于仅遵循相关规定已不足以应对当前网络威胁所带来的多样性风险，我们相信公司会自行制定并实施明确的网络安全及恢复策略以加强信息安全。”

译自：2016年1月 【英国】www.computerweekly.com

编译：工业和信息化部国际经济技术合作中心 萨楚拉

(责任编辑：安博涛)