歐盟觀察｜預警：歐委會提出新網絡安全政策方案【走出去智庫】

走出去智庫（CGGT）觀察

當地時間1月20日，歐盟委員會提出《網絡安全法案》修訂案等提案，計劃在關鍵基礎設施領域逐步淘汰來自“高風險”國家企業的零部件和設備。若該提案生效后，歐盟各國移動運營商將強制在所謂“高風險供應商”名單公布后36個月內逐步淘汰關鍵組件。

走出去智庫（CGGT)觀察到，該提案涉及18個“關鍵領域”，包括探測設備、聯網和自動化車輛、電力供應與儲存系統、供水系統以及無人機和反無人機系統，同時，云服務、醫療設備、監控設備、航天服務和半導體也被歸類為“關鍵領域”。目前，該提案在歐盟內部分歧顯著，如西班牙、匈牙利等國仍依賴中國設備。歐盟電信游說團體Connect Europe警告，提案將加重行業負擔。

歐委會新提案將帶來哪些影響？今天，走出去智庫 (CGGT) 刊發歐盟中國商會的文章，供關注歐盟網絡安全政策的讀者參閱。

要點

1、該框架在評估技術安全風險的同時，也將供應商依賴程度和外部干預風險納入考量，并兼顧經濟影響和市場供應穩定性。

2、針對《關于在整個歐盟全境實現高度統一網絡安全措施的指令》（《NIS2指令》）的定向修訂將提高法律清晰度，預計將減輕28700家企業的合規成本，其中包括6200家小微企業。

3、修訂版法案將提升歐盟網絡安全局（ENISA）協助歐盟及其成員國理解、預防、應對網絡威脅與網絡安全事件的能力，并通過發布網絡威脅和安全事件的預警信息，進一步為歐盟運營企業和相關方提供支持。

正文

歐盟委員會1月20日提出一攬子新的網絡安全政策方案，核心內容包括一項修訂版《網絡安全法案》提案，稱擬提升歐盟信息與通信技術（ICT）供應鏈安全、完善歐洲網絡安全認證框架，降低企業網絡安全合規成本，并強化歐盟網絡安全局（ENISA）職能。該修訂法案等如落地，或將對我在歐企業帶來廣泛影響。

一、加強歐盟ICT供應鏈安全

根據委員會提出的修訂版《網絡安全法案》，歐盟將建立一個基于協調一致、比例適當、以風險為導向的可信ICT供應鏈安全框架。該框架覆蓋歐盟18個關鍵行業，在既有的5G安全工具箱基礎上，推動對歐洲移動通信網絡中來自高風險第三國供應商的強制“去風險化”。

該框架在評估技術安全風險的同時，也將供應商依賴程度和外部干預風險納入考量，并兼顧經濟影響和市場供應穩定性。

二、簡化歐洲網絡安全認證框架

在產品和服務監管層面，修訂版《網絡安全法案》將更新歐洲網絡安全認證框架（ECCF）。該框架將帶來更清晰的規則和更簡化的程序，原則上可在12個月內制定完成認證方案。同時，新框架將引入更靈活、透明的治理機制，通過公開信息和公眾咨詢，促進相關利益方參與。

該認證體系由ENISA管理，企業可自愿使用，以證明其符合歐盟要求，進而降低合規成本。除ICT產品、服務、流程及托管式安全服務外，企業和機構還可對自身的網絡安全整體能力進行認證，以滿足市場需求。

三、便利企業遵守網絡安全規則

該方案提出多項措施，以簡化在歐盟運營企業對網絡安全規則和風險管理要求的合規流程，并與數字綜合方案（Digital Omnibus）中提出的事件報告單一入口機制形成互補。

針對《關于在整個歐盟全境實現高度統一網絡安全措施的指令》（《NIS2指令》）的定向修訂將提高法律清晰度，預計將減輕28700家企業的合規成本，其中包括6200家小微企業。同時，新設立的小型中型企業（small mid-cap）類別將為另外22500家企業降低合規成本。

相關修訂還將簡化管轄規則、優化勒索軟件攻擊數據的收集流程，強化ENISA協調職能，促進對跨境實體的監管。

三、提升ENISA協調與應對能力

修訂版法案將提升ENISA協助歐盟及其成員國理解、預防、應對網絡威脅與網絡安全事件的能力，并通過發布網絡威脅和安全事件的預警信息，進一步為歐盟運營企業和相關方提供支持。在與歐洲刑警組織（Europol）及計算機安全事件響應團隊（CSIRTs）的合作下，ENISA將協助企業應對和恢復勒索軟件攻擊。

此外，ENISA將制定統一的歐盟漏洞管理方案，并負責運營數字綜合方案中提出的事件報告單一入口機制。

四、后續步驟

根據歐盟立法程序，修訂后的《網絡安全法案》及配套的《NIS2指令》修訂案將提交歐洲議會和歐盟理事會審議。相關立法一旦通過，成員國將有一年時間完成國內轉化并向歐盟委員會通報實施情況。

來源：CCCEU（歐盟中國商會微信公眾號）

免責聲明

本文僅代表原作者觀點，不代表走出去智庫立場。

延展閱讀

▌地緣政治風險:

▌出口管制與制裁:

▌跨境數據監管:

▌全球科技競爭:

▌品牌聲譽管理: