如果您在经营一家管理企业IT运营和/或网络安全业务，则很有可能得关注一系列法规准则。在传统监管行业里从事医疗保健或其他相关行业的您会面临同样的挑战，因为美国的《健康保险便携性和责任法案》（HIPAA）等长期法律要求您保护病患的信息隐私安全。如果您销售产品或服务给消费者，您同样可能面临欧盟《通用数据保护条例》（GDPR）等法规制度下的审查，该条例要求您采取广泛措施保障消费者个人资料的安全性。

面对日新月异的安全威胁，各政府及相关部门需要不断完善法律法规，确保企业遵守，并在合规的道路上披荆斩棘。就如欧盟即将推出的新版本网络安全指令(NIS 2)将要求企业提供更深入、全面的信息安全措施，以应对网络和信息技术领域不断发展的挑战与威胁。

为了符合欧盟成员国的法律规定，必须在2024年10月之前完成地方法规的更新，并为此要求企业实施新的网络防御措施以快速恢复受损的数据。此外，为应对近期的网络攻击，医疗保健行业的《健康保险预付法案》也需要进行一系列承诺已久的改进，并将致力于改善患者访问和管理其个人医疗信息的能力。在全球范围内，许多行业和国家都在计划执行类似的法规更新流程。

这些新规定是基于几个关键动向发展而制定的：

网络犯罪分子的组织更为严密、技术更为先进、活动范围更广

网络犯罪已经演变成一个比以往效率更高的行业了，在未来三年里，每天会创造出27万个新的恶意软件程序。现在，黑客的活动规模与全球2000强SaaS公司相当，他们模仿这些公司的分销和软件开发技术，以日益复杂的攻击方式瞄准更广泛的受众目标。

人工智能降低了准入门槛

恶意软件制造商以及作为其传播者的一系列低技能犯罪分子现在都开始利用诸如ChatGPT等自动化和生成式人工智能工具来扩大规模并提高运营效率。GenAI工具在电子邮件钓鱼攻击方面发挥了关键作用，可以将其内容设计得紧迫且具有说服力，并能使用数十种语言实现完美语法和拼写，深度伪造的音频和视频被用于欺诈目的，已经导致数亿美元的资金流失

云应用服务和存储、物联网设备以及全球供应链日益增多的互连提供了新的目标，对于那些网络犯罪分子而言是一个新攻击面。这些犯罪分子以前是国家情报组织的主要攻击对象，现在已经转向了网络犯罪活动，他们采用隐身式持续性、权限提升以及横向移动等复杂手段，这完全是为了获取经济利益。

这些因素促发了全球范围内的网络犯罪活动，并预计到2027年，这一损失将会从现在的8400亿美元增长到高达23000亿以上。私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596因此，合规机构必须根据不断变化的威胁环境更新法规来应对网络犯罪，欧盟的新制定的NIS 2就是这样的例子。

扩展

它已扩展至关键基础设施以外的制造业和食品生产等多个行业。相比以前，NIS还涉及了规模较小的私营企业：如今，只有雇员超过50名或年收入达到100万欧元以上的企业才会被要求遵守规定。因此，许多原先无需满足NIS 1.0标准的公司现在必须按照NIS 2.0的标准进行合规性评估和监管。

加强风险管理与治理的重要性

企业应当建立更严格的措施来识别评估和控制网络风险。而且还需要明确指定管理人员负责监督这些建立的计划，并且要确定主要负责人承担一旦计划失败将会面对的法律责任与经济责任。此外，还应将所有员工定期安排进行安全教育训练。

强调及时做出反应

企业应制定、记录和定期测试事件响应计划，并明确网络事件的升级、控制和恢复程序。相关的业务连续性计划和灾难恢复计划也被确定为要求。

提供明确的技术指南

合规机构对企业的技术要求变得更为清晰和详细，特别是必须实施最小权限策略及多重身份认证机制用于访问控制，并对数据进行传输层和静态数据加密保护。此外，他们还需更有效监控可疑活动、不合法行为和非正常状态变化等异常情况。

关于供应链安全、事件报告以及安全审计的需求

供应链安全性首次受到高度关注。企业应仔细审视并有效管控从其信息技术提供商、服务提供者及软件开发生命周期中的网络风险。

此外，该规定也要求企业定期执行安全性审计与差距评估，并包含漏洞检测及渗透测试等内容，目的是检验其网络安全防护力。

此外，企业在提交可疑事件或已知事件给政府部门之前，也必须遵守更为严格的规则，并且需要鼓励其积极加入信息安全共享网络，与他人分享关于安全威胁、漏洞以及最佳做法的相关信息。

这是一个实例，全世界所有的合规机构都在对它们的法律法规做出相似调整。对于中小企业而言，尤其在面对有限的网络安全资源时，该如何应对变化呢？以下是可行的方法：

《》不要拖到新政策出台的时候才开始实施

您企业的技术、策略与员工能力均需至少数月的时间来实现全面合规。小型企业可能在应对法律约束上比大公司更有优势，因为他们通常能更早地遭受巨额罚款和处罚，并给其他私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596企业树立一个令人震惊的范例。然而，在某些情况下，仅一次违反法规可能会让您的企业面临重大损失。

使用安全网络架构

互联网安全中心CIS发布的关键安全控制指南以及美国国家标准与技术研究院NIST开发的安全框架CSF，可以作为企业评估其当前网络防御和应急响应机制的有效工具，且提供了大量有用的工具文件和最佳实践的指导性文件。针对上述趋势，NIST近期更新了NIST CSF版本2.0

考虑更新电子邮件安全性堆栈作为一个辅助措施。

在所有的成功网络攻击中，大概有70%到90%是通过欺诈性的电子邮件作为第一阶段进行的。然而，一种新的人工智能工具正在帮助增强这一手段的有效性，从而增加其威胁程度。因此，在减少进入用户收件箱中的恶意电子邮件数量上应该采取首要行动。

如果你还没开始实施EDR的话，这可能是您最好的时机了

有些法规要求采用端点防护技术（Endpoint Protection），比如许多合规法律法规强制所有组织必须对网络安全负责。大多数小型企业在学习如何部署这种先进设备方面遇到困难，由于它们多为大型企业提供服务，所以设计这些工具的目的是为了帮助解决小企业的人力资源问题。因此，考虑到使用此类解决方案，因为该方案被设计用来提高安全性能并解决人员技能缺乏的问题。

实现漏洞扫描及补丁管理自动化

企业的补丁安装所需时间从收到供应商的补丁到安装大约需要花费90多天。实施这项预防网络犯罪分子利用这些漏洞的方法是一项简单的常识性措施。通过自动化应用在漏洞扫描和补丁管理流程中的过程可以缩短企业暴露于已知漏洞的时间窗口。

重审企业的当前备份与灾难恢复策略和技术架构

新的监管标准都更注重恢复网络攻击后的数据完整性，这些仍是确保关键数据和快速恢复正常运营的重要工具。如果您之前觉得实施灾难恢复工作过于繁琐、费用昂贵而犹豫不决的话，现在可以选择使用云灾备服务来替代，这类服务特别为小型企业设计，价格合理且易于管理。

提及网络保险的必要性，并给出立即采取相应措施的理由。

行业也正在为想要获得或继续保险的网络保险公司发布更为严格的安全和恢复标准。这些要求看起来非常相似，尤其是对目前希望拥有的EDR、MFA、自动漏洞管理、更好的备份和正式事件响应计划的要求。通过满足合规性的要求将有助于企业获取到新的网络保险单，或是续保资格，同时也能够获得在谈判中更为优惠的保费。