注意（合规性）差距：为什么这么多企业仍在与NIS2斗争？：史蒂夫·布拉德福德（Steve Bradford）

NIS2自2024年10月以来可能已经生效，但截至2025年7月，在27个欧盟成员国中，只有14个已将该指令移交给了国家法律。 NIS2最初是为了强迫医疗保健，能源，金融和运输等基本服务提供商来提高其网络安全弹性。但是，对于许多受到过时的系统和孤立操作负担的组织而言，消除网络威胁并不是卑鄙的壮举。

尽管NIS2是欧盟指令，但许多在欧盟运营的英国组织仍将有望证明合规性。而且，由于超过70％的商业领导者预计网络安全事件将在未来12到24个月内破坏其业务，很明显，领导者需要重新检查其网络安全姿势。将网络安全放置在brock燃料上可能会在经济上和声誉上取得灾难性的结果。例如，网络监测中心估计，最近在英国零售袭击的总财务损失在270至4.4亿英镑之间。

赌注如此之高，一件事很清楚。 NIS2不应被视为简单的“盒子滴答”练习。它代表了一个关键的行动呼吁：组织及时创建安全且有抵抗者的运营的机会。让我们看一下需要缩小合规差距的企业的主要障碍，以及可用于解决这些问题的技术。

如果组织不遵守，会发生什么？

NIS2引入后，IT安全经理可能承受着最大的压力，负责成功实施和执行整个组织的指令。而且赌注从未有所更高：不合规会带来重大的法律，财务和声誉后果。对于包括金融机构在内的基本实体，不合规可能会罚款高昂的罚款。

NIS2概述的一个关键要求是，组织必须能够证明其具有强大的访问控制策略。这包括限制基于用户角色和职责的网络和系统访问的能力。没有能力自动化访问控件，组织仍然依赖电子表格，电子邮件或纸质跟踪来管理权限。这些手动流程通常会遇到人为错误，当员工更改角色，离开公司或承包商项目结束时，权限不会及时更新。用户和前雇员需要在需要的很长时间后保留对敏感系统和数据的访问。

这大大增加了内幕威胁的风险 – 无论是偶然的，是由网络罪犯针对的休眠用户帐户，还是故意的，例如不满的员工或前雇员窃取，销毁或改变公司信息以供个人利益。企业和公共部门组织应认真对待内部威胁，这构成了EMEA组织中几乎一半的违规行为（49％）。

管理身份生命周期以推动合规性

幸运的是，今天可以使用该技术来支持组织以实现NIS2的遵守，并同时实现更大的数据安全性。自动化身份管理工具使组织比以往任何时候都更容易接缝，从登机到卸货。

想象一下，一名财务顾问将在一家主要银行签订临时合同，以便在休假时覆盖同事。顾问应只能访问特定的客户帐户和作业所需的财务记录。通过量身定制的角色和访问配置文件，他们可能会获得临时权限，以查看选定的客户端投资组合或交易历史记录。但是，它们将没有管理系统特权，例如，使用内部审计日志，执行仪表板或法规合规性报告以最大程度地降低风险。

经过特定的时间范围（合同结束），顾问将不再能够访问客户信息或公司系统。这个概念“即时特权”，通过基于实时需求授予访问权限，一旦任务完成，就可以撤销零信任。访问仍然是特定角色的，当员工入职或卸下时被授予或废除。对于英国雇主来说，快速，无缝且安全的校外流程正在迅速成为“必备”的过程；特别是对于经历高员工流动率的组织。

显示并讲述：如何演示合规性

除了基于角色的访问之外，NIS2还需要提供“基本服务”的组织，以清楚地记录并保留用户访问权限的记录。
因此，NIS2的影响将在广泛的行业中感受到，包括但不限于金融服务，能源，运输，数字基础设施，公共管理和医疗保健。

手动审查和整理整个组织中现有权限的记录可能是一项令人难以置信的耗时的任务，以及对IT和安全团队资源的大量耗竭。身份安全平台消除了手动记录并搜索访问权限列表的需求。 IT团队可以通过交互式仪表板轻松查看具有特权访问的用户数量，以及出色的访问审查任务的记录。这种“玻璃单窗格”概述使组织可以轻松地查看历史访问更改并了解哪些管理员授予或撤销了访问权限以及何时。

重要的是，通过仪表板的可视化使组织具有在监管检查过程中展示和证明NIS2的能力。仪表板数据实时更新，通过在组织供应链中运行的复杂供应商，承包商和其他第三方的复杂网络中将数据汇总在一起，从而提供了一个真实的来源。

呼吁采取行动，而不是乏味的管理员

组织最初可能将NIS2合规性视为另一个要打勾的监管框。但实际上，它为领导者提供了一个关键的机会，可以重新考虑传统方法来解决其网络安全姿势，并建立更具弹性，安全和敏捷的操作。组织可以将NIS2用作数字化转型的跳板，而不是将其作为负担。

现代身份安全平台可以在这一转变中发挥关键作用。通过在用户，系统和扩展供应链之间提供颗粒状可见性，它们使IT和安全团队能够以更高的速度，准确性和控制力来管理访问权限。 在这个世界上，数字服务几乎支持商业和社会的各个方面，自动身份和访问管理必须构成每种有效的网络安全风险策略的基础。