歐盟觀察｜預(yù)警：歐委會提出新網(wǎng)絡(luò)安全政策方案【走出去智庫】

走出去智庫（CGGT）觀察

當?shù)貢r間1月20日，歐盟委員會提出《網(wǎng)絡(luò)安全法案》修訂案等提案，計劃在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域逐步淘汰來自“高風險”國家企業(yè)的零部件和設(shè)備。若該提案生效后，歐盟各國移動運營商將強制在所謂“高風險供應(yīng)商”名單公布后36個月內(nèi)逐步淘汰關(guān)鍵組件。

走出去智庫（CGGT)觀察到，該提案涉及18個“關(guān)鍵領(lǐng)域”，包括探測設(shè)備、聯(lián)網(wǎng)和自動化車輛、電力供應(yīng)與儲存系統(tǒng)、供水系統(tǒng)以及無人機和反無人機系統(tǒng)，同時，云服務(wù)、醫(yī)療設(shè)備、監(jiān)控設(shè)備、航天服務(wù)和半導體也被歸類為“關(guān)鍵領(lǐng)域”。目前，該提案在歐盟內(nèi)部分歧顯著，如西班牙、匈牙利等國仍依賴中國設(shè)備。歐盟電信游說團體Connect Europe警告，提案將加重行業(yè)負擔。

歐委會新提案將帶來哪些影響？今天，走出去智庫 (CGGT) 刊發(fā)歐盟中國商會的文章，供關(guān)注歐盟網(wǎng)絡(luò)安全政策的讀者參閱。

要點

1、該框架在評估技術(shù)安全風險的同時，也將供應(yīng)商依賴程度和外部干預(yù)風險納入考量，并兼顧經(jīng)濟影響和市場供應(yīng)穩(wěn)定性。

2、針對《關(guān)于在整個歐盟全境實現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》（《NIS2指令》）的定向修訂將提高法律清晰度，預(yù)計將減輕28700家企業(yè)的合規(guī)成本，其中包括6200家小微企業(yè)。

3、修訂版法案將提升歐盟網(wǎng)絡(luò)安全局（ENISA）協(xié)助歐盟及其成員國理解、預(yù)防、應(yīng)對網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)安全事件的能力，并通過發(fā)布網(wǎng)絡(luò)威脅和安全事件的預(yù)警信息，進一步為歐盟運營企業(yè)和相關(guān)方提供支持。

正文

歐盟委員會1月20日提出一攬子新的網(wǎng)絡(luò)安全政策方案，核心內(nèi)容包括一項修訂版《網(wǎng)絡(luò)安全法案》提案，稱擬提升歐盟信息與通信技術(shù)（ICT）供應(yīng)鏈安全、完善歐洲網(wǎng)絡(luò)安全認證框架，降低企業(yè)網(wǎng)絡(luò)安全合規(guī)成本，并強化歐盟網(wǎng)絡(luò)安全局（ENISA）職能。該修訂法案等如落地，或?qū)ξ以跉W企業(yè)帶來廣泛影響。

一、加強歐盟ICT供應(yīng)鏈安全

根據(jù)委員會提出的修訂版《網(wǎng)絡(luò)安全法案》，歐盟將建立一個基于協(xié)調(diào)一致、比例適當、以風險為導向的可信ICT供應(yīng)鏈安全框架。該框架覆蓋歐盟18個關(guān)鍵行業(yè)，在既有的5G安全工具箱基礎(chǔ)上，推動對歐洲移動通信網(wǎng)絡(luò)中來自高風險第三國供應(yīng)商的強制“去風險化”。

該框架在評估技術(shù)安全風險的同時，也將供應(yīng)商依賴程度和外部干預(yù)風險納入考量，并兼顧經(jīng)濟影響和市場供應(yīng)穩(wěn)定性。

二、簡化歐洲網(wǎng)絡(luò)安全認證框架

在產(chǎn)品和服務(wù)監(jiān)管層面，修訂版《網(wǎng)絡(luò)安全法案》將更新歐洲網(wǎng)絡(luò)安全認證框架（ECCF）。該框架將帶來更清晰的規(guī)則和更簡化的程序，原則上可在12個月內(nèi)制定完成認證方案。同時，新框架將引入更靈活、透明的治理機制，通過公開信息和公眾咨詢，促進相關(guān)利益方參與。

該認證體系由ENISA管理，企業(yè)可自愿使用，以證明其符合歐盟要求，進而降低合規(guī)成本。除ICT產(chǎn)品、服務(wù)、流程及托管式安全服務(wù)外，企業(yè)和機構(gòu)還可對自身的網(wǎng)絡(luò)安全整體能力進行認證，以滿足市場需求。

三、便利企業(yè)遵守網(wǎng)絡(luò)安全規(guī)則

該方案提出多項措施，以簡化在歐盟運營企業(yè)對網(wǎng)絡(luò)安全規(guī)則和風險管理要求的合規(guī)流程，并與數(shù)字綜合方案（Digital Omnibus）中提出的事件報告單一入口機制形成互補。

針對《關(guān)于在整個歐盟全境實現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》（《NIS2指令》）的定向修訂將提高法律清晰度，預(yù)計將減輕28700家企業(yè)的合規(guī)成本，其中包括6200家小微企業(yè)。同時，新設(shè)立的小型中型企業(yè)（small mid-cap）類別將為另外22500家企業(yè)降低合規(guī)成本。

相關(guān)修訂還將簡化管轄規(guī)則、優(yōu)化勒索軟件攻擊數(shù)據(jù)的收集流程，強化ENISA協(xié)調(diào)職能，促進對跨境實體的監(jiān)管。

三、提升ENISA協(xié)調(diào)與應(yīng)對能力

修訂版法案將提升ENISA協(xié)助歐盟及其成員國理解、預(yù)防、應(yīng)對網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)安全事件的能力，并通過發(fā)布網(wǎng)絡(luò)威脅和安全事件的預(yù)警信息，進一步為歐盟運營企業(yè)和相關(guān)方提供支持。在與歐洲刑警組織（Europol）及計算機安全事件響應(yīng)團隊（CSIRTs）的合作下，ENISA將協(xié)助企業(yè)應(yīng)對和恢復勒索軟件攻擊。

此外，ENISA將制定統(tǒng)一的歐盟漏洞管理方案，并負責運營數(shù)字綜合方案中提出的事件報告單一入口機制。

四、后續(xù)步驟

根據(jù)歐盟立法程序，修訂后的《網(wǎng)絡(luò)安全法案》及配套的《NIS2指令》修訂案將提交歐洲議會和歐盟理事會審議。相關(guān)立法一旦通過，成員國將有一年時間完成國內(nèi)轉(zhuǎn)化并向歐盟委員會通報實施情況。

來源：CCCEU（歐盟中國商會微信公眾號）

免責聲明

本文僅代表原作者觀點，不代表走出去智庫立場。

延展閱讀

▌地緣政治風險:

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競爭:

▌品牌聲譽管理: