關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 資安管理
顯示分類
2025.12.19
標準與框架/資安管理
NIS2 合規性:如何正確設定密碼和多因素身份驗證

歐盟的NIS2指令正敦促各組織認真對待網路安全,這意味著需要仔細檢視存取權限的管理方式。如果您負責一家受NIS2指令約束的公司的安全工作,您可能會問:關於密碼和身份驗證,我究竟需要做些什麼?讓我們來分析 NIS2 對您的身分和存取控制意味著什麼,以及如何建立一個真正有效的實用路線圖。

什麼是NIS2?哪些人必須遵守NIS2

NIS2(網路和資訊安全指令)於 2023 年 1 月取代了原始 NIS 指令,歐盟成員國被要求在 2024 年 10 月之前將其轉化為國內法。該指令適用於 18 個關鍵領域的中大型組織,包括能源、交通、銀行、醫療保健、數位基礎設施和公共管理。

如果您的組織在這些行業擁有 50 名以上員工或年收入超過 1000 萬歐元,則很可能需要遵守相關規定。違規處罰非常嚴厲:關鍵實體將面臨最高 1,000 萬歐元或全球年營業額 2% 的罰款,而重要實體將面臨最高 700 萬歐元或營業額 1.4% 的罰款。

必要與重要:實體詳解

  1. NIS2 將組織分為兩類:
  • 關鍵實體:指能源、銀行、醫療保健和數位基礎設施等高風險產業的大型機構。這些機構將面臨積極監管,包括定期審計,最高罰款可達1,000萬歐元或全球年營業額的2%,以較高者為準。
  • 重要實體:其他關鍵產業的組織,例如郵政服務、廢棄物管理和食品生產。這些組織將面臨事後監管(僅在違規行為被舉報後進行監控),最高罰款可達700萬歐元或全球年營業額的1.4%。

兩類違規行為都必須滿足相同的網路安全要求。差別在於監管力道和處罰等級。

  1. 為什麼身分和存取控制在NIS2下如此重要

NIS2明確將身分和存取管理列為核心安全措施,第21條要求組織實施存取控制策略,明確指出弱身份驗證不再被接受。此外,如果攻擊者能夠憑藉竊取的密碼輕鬆入侵,那麼你採取的其他安全措施就顯得無關緊要了。

  1. 制定正確的密碼策略

強大的密碼策略是您的第一道防線,但隨著我們邁入 2026 年,「強大」究竟意味著什麼?

  • 複雜度與長度:強制用戶創建“P@ssw0rd123!”這種舊模式已經過時了。 NIST指南現在建議優先考慮密碼長度而非複雜性。像「coffee-mountain-bicycle-sky」這樣的15 個字元的密碼短語比「Tr0ub4dor&3」更安全,也更容易記住。
  • 為符合NIS2標準,請實施以下基本要求:

―          密碼長度至少 15 個字符

―          使用已知洩漏資料庫篩選密碼

―          阻絕常見模式和字典詞彙 (Block common patterns and dictionary words)

―          禁止在關鍵系統中重複使用密碼

  1. 密碼輪換問題

過去,強制每 60-90 天輪換一次密碼是標準做法。但現在不再如此。強制輪替會促使使用者進行可預測的變更(例如,「密碼 1」變成「密碼 2」),或把密碼寫下來。

目前最佳實踐:除非有證據表明密碼遭到洩露,否則不要強制輪換密碼。相反,應該加大對洩漏事件的監控力度,並在用戶憑證出現在已知的資料外洩事件中時提示使用者更改密碼。

  1. 密碼安全中的人為因素

技術控制措施只有在使用者能夠真正遵守的情況下才有效,如果你的策略過於嚴格,以至於人們只能使用「password123」這種稍加變化的密碼,那麼你並沒有提高安全性,而只是勾選了一個選項而已。

  1. 多因素身份驗證:從可選到必需

NIS2 指令文本中沒有明確規定必須進行多因素身份驗證,但各國的實施情況和 ENISA 指南都明確指出:特權存取需要進行多因素身份驗證,強烈建議所有訪問關鍵系統的用戶都進行多因素身份驗證。然而,並非所有 MFA 方法都一樣有效:優先考慮那些能夠抵禦網路釣魚和即時訊息轟炸的因素至關重要。

您的 NIS2 合規路線圖

以下是一份實用的清單,可協助您將身分驗證控制與 NIS2 保持一致:

  1. 政策基礎
  • 審核您目前的密碼策略,並將其更新為符合現代標準。
  • 部署一個能夠強制執行密碼長度和複雜度要求的密碼管理解決方案
  • 建立特權帳戶的定期存取權限審查機制
  1. 基於憑證的攻擊防禦
  • 使用工具持續掃描您的 AD,尋找數十億個已洩漏的唯一密碼。
  • 首先從特權使用者開始部署防釣魚的多因素身份驗證 (MFA)
  • 啟用基於風險調整要求的條件存取策略
  1. 使用者賦能
  • 在推出新的密碼策略時,請遵循最佳實務。
  • 對使用者進行密碼最佳實務訓練(密碼短語、密碼管理器)
  • 闡明新要求背後的「原因」;當使用者理解風險時,合規性才能更好地發揮作用。
  1. 持續的合規運營
  • 監控身份驗證日誌以發現可疑活動
  • 每季檢討和更新政策
  • 每年測試事件回應程序
  • 將所有事項記錄下來,以備審計。
  1. 使用合適的工具使其發揮作用

NIS2 合規性並非意味著購買市面上所有的安全產品,而是要做出明智的選擇,在不給團隊造成過重負擔的情況下提升安全性。 NIS2 提供了一個框架,用於建立真正能夠保護組織的身份驗證控制。從密碼策略入手,新增防釣魚的多因素身份驗證 (MFA),並建立可擴展的流程。


資料來源:https://www.bleepingcomputer.com/news/security/nis2-compliance-how-to-get-passwords-and-mfa-right/
 

解析歐盟 NIS2 指令對企業身份驗證的嚴格要求。我們針對密碼安全、抗網路釣魚 MFA、服務帳號管理及 Active Directory 硬化等關鍵合規領域,提供專業的技術指引與執行框架,協助企業在 2026 年前達成資安轉型並符合國際法規標準。