您的OT軟體是否存在風險？以下說明如何判斷

您的OT資安策略是否包含例行的軟體和硬體更新？如果沒有，您可能面臨EUR10000000或全球年營業額2%罰款的風險¹。

為什麼？很簡單。到2024年10月，所有歐盟成員國都必須將歐盟修訂版網路與資訊系統安全指令（NIS2）納入法律。新指令明確規定，違反其規則的組織將面臨EUR10000000或全球年營業額2%罰款。其中一項規則明確指出，受該指令約束的組織必須制定資安政策，內容包括： 

「……包含一套共同基準實務的網路衛生政策，包括軟體和硬體更新……」

比以往更多的組織受到更新指令的規範。這包括全新產業，如電信、化學、廢水處理和食品——這些都被視為對歐盟安全和經濟生活「必要」或「重要」的產業。NIS2第7條進一步強調，將有更多組織受到新指令的影響： 

「國家資安策略應包括強化中小企業的網路韌性與網路衛生基準，特別是那些被排除在本指令範圍之外的企業……」

結論？幾乎每個在歐盟運營操作技術的組織現在都需要開始思考如何因應NIS2，否則將面臨違規的後果。  

為什麼軟體更新在NIS2下是一項風險？ 

操作技術（OT）組織，無論是製造商還是基礎設施提供者，現場通常有數百甚至數千台設備。麥肯錫最近的一份報告估計，部分能源設施擁有多達30000台連網設備²。

這些設備中，許多也可能包含智慧連網元件，包括變頻器、工業交換器、可程式控制器、工業PC等。所有這些元件也可能有其專屬的軟體和硬體。

即使是規模較小的設施，包括生產環境相對較小的，也可能有數百台OT設備未經映射與管理。如果這些設備中哪怕只有一台運行過時軟體，導致資料外洩、營運中斷或其他重大問題，這就可能構成NIS2違規，並面臨後續罰款。

如何降低風險並符合網路與資訊系統安全指令（NIS2）

降低過時軟體所帶來風險的最簡單方法，就是與IT資安專家合作。最佳做法是選擇涵蓋維護與更新的訂閱服務。

透過合適的維護訂閱，您可獲得：

• 即時存取與推送安裝最新軟體和韌體更新，有助於掌握動態OT資安威脅態勢。即時存取最新軟體和韌體更新至關重要，因為能確保安全修補與增強功能在可用時立即套用。這種即時性可大幅縮短網路攻擊者利用已知漏洞的機會窗口。推送安裝進一步簡化此流程，透過自動化更新部署，確認OT環境內所有設備皆維持最高安全狀態，無需人工介入。 
• 來自業界領先安全工程師與顧問的支援：OT系統的複雜性與特殊性需高度專業知識以應對其獨特安全挑戰。取得業界領先OT安全工程師與顧問的支援，能為組織帶來豐富知識與經驗。這些專家可提供量身建議，從策略規劃到事件回應，協助確保安全措施不僅符合網路與資訊系統安全指令，亦與最佳實務及最新研究接軌。他們的支援對於識別潛在漏洞、建議緩解策略及提升OT環境整體韌性至關重要。
• 讓尋找與保護所有設備變得簡單快速的工具：這些工具協助組織維護OT資產的最新清單、即時監控狀態，並迅速識別可能顯示安全漏洞的異常。簡化OT設備保護流程，這些工具不僅提升營運效率，也確認網路中所有元件與設備，無論角色或位置，皆獲得充分保護。 

為協助您因應網路與資訊系統安全指令，合適的OT/IT顧問將協助您稽核網路，找出任何硬體、韌體或軟體風險，並與您合作補足這些缺口，記錄您的安全與合規作業，使您達到網路與資訊系統安全指令的要求。 

Rockwell Automation是市場上領先的OT安全、合規與風險管理服務供應商之一。我們的專家、顧問與工程師具備協助您因應網路與資訊系統安全指令所需的工具、經驗與技術，涵蓋從制定合規政策與程序、全網路快速發現與更新過時軟體和韌體，到強化與記錄您的安全狀態以符合法規要求的所有工作。 

如需了解Rockwell Automation如何協助您的資安維護，包括讓軟體與韌體保持最新，以及針對網路與資訊系統安全指令強化OT資安狀態的多項措施，歡迎立即與我們聯繫。

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact