NIS2指令要求

什么是NIS2指令？

NIS2指令以最初的网络和信息安全（NIS）指令为基础，建立了全欧盟的网络安全立法。它的主要目标是在所有欧盟成员国中实现网络安全措施的标准化，促进保护数字基础架构的统一方法。NIS2旨在通过推广最佳实践和一致的安全标准，协调整个欧盟的努力，以应对日益增长的网络攻击威胁。

为了遵守NIS2指令，组织必须执行以下章节中讨论的安全要求。

NIS2指令的新组织要求

NIS2指令旨在通过为以下四个主要领域的组织引入新的任务，增强欧洲对当前和新兴网络威胁的复原力：

• 风险管理

  组织必须采取事件管理、加强供应链安全、增强网络安全、更好的访问控制和加密等措施，以尽量减少网络风险。

• 企业问责制

  企业领导层需要监督、批准和参与网络安全培训。如果安全事件没有得到妥善处理，管理团队可能会面临处罚。

• 报表义务

  基本和重要实体必须在NIS2规定的特定通知截止日期内及时报表重大安全事件，例如24小时内的“预警”要求。

• 业务连续性

  组织必须为重大网络事件制定业务连续性计划，包括系统恢复、应急程序和建立危机响应团队。

NIS2指令的10项最低安全措施

除了四个关键要求领域外，NIS2要求基本和重要的实体针对特定网络威胁实施这些基线安全措施：

• 全面风险评估

  组织必须根据其信息系统进行风险评估和安全政策。这些评估应该彻底评估潜在的威胁、漏洞、数据敏感性、系统架构和攻击载体。

• 高级认证

  组织必须根据需要实施MFA、持续身份验证解决方案和文本加密等措施。

• 事件响应计划

  必须制定事件响应计划，以迅速解决潜在的安全漏洞。它应该概述快速行动，以减轻风险并保护敏感资产免受未经授权的访问或泄露。

• 安全有效性

  组织必须制定政策，定期评估其安全措施的有效性。这包括定期审计，以评估安全协议，识别漏洞，并确保安全基础架构的整体强度。

• 访问控制管理

  必须为有权访问敏感数据的员工实施安全程序，并且必须为数据访问制定政策。组织必须保持对所有相关资产的概述，以确保它们得到有效利用和管理。

• 加密策略

  必须创建使用加密和加密来管理敏感数据的策略，概述在静态、传输中和处理过程中保护数据的准则。

• 灾难恢复

  必须制定一个备份和恢复计划，以在安全攻击后维护业务运营。必须进行定期备份，并且必须制定在事件发生期间和之后管理IT系统访问的策略。

• 安全措施

  组织必须确保系统的安全采购、开发和运营，并制定管理和报表可能出现的任何漏洞的政策。

• 供应链风险管理

  组织必须针对每个直接供应商的脆弱性对供应链实施严格的安全措施，并评估所有供应商的整体安全水平。

• 网络安全培训

  组织必须为管理层和员工提供培训，以提高他们对网络安全的理解。

使用ADSelfService Plus满足NIS2指令的要求

ADSelfService Plus的自适应MFA和强密码策略

ADSelfService Plus提供自适应的MFA和强密码策略，确保您的组织身份在全面的零信任环境中得到有效保护。以下是ADSelfService Plus的密码策略执行器和自适应MFA功能的一些亮点：

1. 强制执行密码历史记录和复杂性：通过在 Windows 活动目录用户和计算机 (ADUC) 控制台中的本机密码重置期间强制执行密码历史记录来加强密码。确保密码包含大写、小写、特殊和数字字符。
2. 禁止弱密码：阻止泄露或弱AD密码、模式和回文。
3. 应用程序和端点的MFA：通过为机器、企业应用程序、VPN、RDP和OWA等端点启用MFA来保护用户对组织数据的访问。
4. 多个MFA身份验证器：从一系列20个不同的MFA身份验证器中进行选择，如FIDO密码、生物识别和YubiKey身份验证器，以验证用户的身份。
5. 轻松配置：使用快速注册选项（如电子邮件或推送通知和CSV文件导入）简化管理员和用户的MFA注册流程，并根据OU和组为用户强制执行不同的MFA方法。

使用ADSelfService Plus遵守NIS2要求的好处

• 强大的MFA技术：实施自适应MFA技术，如有条件访问和可定制的信任选项，以根据用户的位置、IP地址和设备类型对用户进行身份验证。
• 精细的灵活性：根据他们的OU或组，为具有不同级别的敏感组织数据访问权限的用户强制执行不同的MFA设置。
• 提高密码安全性：在强密码策略的帮助下，确保全方位保护免受网络攻击，该策略强制执行密码短语并限制密码的常见模式。
• 遵守监管标准：确保您的组织不仅遵守NIS2指令，还遵守NIST SP 800-63B、HIPAA、PCI DSS、CJIS、SOX和GDPR合规性任务。