董事们“不知道”自己在欧盟新网络指令下的个人责任

《爱尔兰独立报》10月24日报道，爱尔兰董事协会 (IoD) 表示，大量爱尔兰公司董事仍未意识到，根据即将实施的欧盟新规，如果在网络安全事件发生后证明存在重大过失，他们将被追究个人责任。

欧盟于 2016 年首次出台的网络安全规则已由 2023 年生效的 NIS2 指令进行了更新。该指令对现有的法律框架进行了更新，以跟上数字化的发展和不断变化的网络安全威胁形势。新规则旨在使整个贸易区达到共同的高水平网络安全。10月24日发布的一份报告称，41% 的董事并不了解与新规则相关的个人责任。

主要数字服务提供商（例如搜索引擎、云计算服务和在线市场）必须遵守 NIS2 下的安全和通知要求。爱尔兰国家网络安全中心 (NCSC) 估计，NIS2 将适用于3,000 多家爱尔兰组织，并扩大网络合规要求。但 IoD 调查发现，近84%的爱尔兰董事并不完全了解这些将由政府尽快实施的欧盟新规。爱尔兰董事协会首席执行官卡罗琳·斯皮兰 (Caroline Spillane) 指出：“所有董事都有责任确保自己拥有必要的技能和知识，以应对组织面临的风险，并确保遵守所有必要的网络安全法规。”

调查还发现，36% 的董事现在将人工智能视为提高运营效率和推动企业竞争力的重要工具。26% 的董事正在尝试使用生成式人工智能，而 28% 的董事最担心与人工智能相关的数据泄露。

NCSC 建议任何组织都不要因遭受勒索软件攻击而交出钱财。调查还发现，38% 的董事同意，他们的组织已决定在遭受勒索软件攻击时不向黑客支付费用。37% 的受访者并不清楚其组织内部是否已做出是否支付勒索软件要求的决定。