走出去智库(CGGT)观察
当地时间1月20日,欧盟委员会提出《网络安全法案》修订案等提案,计划在关键基础设施领域逐步淘汰来自“高风险”国家企业的零部件和设备。若该提案生效后,欧盟各国移动运营商将强制在所谓“高风险供应商”名单公布后36个月内逐步淘汰关键组件。
走出去智库(CGGT)观察到,该提案涉及18个“关键领域”,包括探测设备、联网和自动化车辆、电力供应与储存系统、供水系统以及无人机和反无人机系统,同时,云服务、医疗设备、监控设备、航天服务和半导体也被归类为“关键领域”。目前,该提案在欧盟内部分歧显著,如西班牙、匈牙利等国仍依赖中国设备。欧盟电信游说团体Connect Europe警告,提案将加重行业负担。
欧委会新提案将带来哪些影响?今天,走出去智库 (CGGT) 刊发欧盟中国商会的文章,供关注欧盟网络安全政策的读者参阅。
要点
1、该框架在评估技术安全风险的同时,也将供应商依赖程度和外部干预风险纳入考量,并兼顾经济影响和市场供应稳定性。
2、针对《关于在整个欧盟全境实现高度统一网络安全措施的指令》(《NIS2指令》)的定向修订将提高法律清晰度,预计将减轻28700家企业的合规成本,其中包括6200家小微企业。
3、修订版法案将提升欧盟网络安全局(ENISA)协助欧盟及其成员国理解、预防、应对网络威胁与网络安全事件的能力,并通过发布网络威胁和安全事件的预警信息,进一步为欧盟运营企业和相关方提供支持。
正文
欧盟委员会1月20日提出一揽子新的网络安全政策方案,核心内容包括一项修订版《网络安全法案》提案,称拟提升欧盟信息与通信技术(ICT)供应链安全、完善欧洲网络安全认证框架,降低企业网络安全合规成本,并强化欧盟网络安全局(ENISA)职能。该修订法案等如落地,或将对我在欧企业带来广泛影响。
一、加强欧盟ICT供应链安全
根据委员会提出的修订版《网络安全法案》,欧盟将建立一个基于协调一致、比例适当、以风险为导向的可信ICT供应链安全框架。该框架覆盖欧盟18个关键行业,在既有的5G安全工具箱基础上,推动对欧洲移动通信网络中来自高风险第三国供应商的强制“去风险化”。
该框架在评估技术安全风险的同时,也将供应商依赖程度和外部干预风险纳入考量,并兼顾经济影响和市场供应稳定性。
二、简化欧洲网络安全认证框架
在产品和服务监管层面,修订版《网络安全法案》将更新欧洲网络安全认证框架(ECCF)。该框架将带来更清晰的规则和更简化的程序,原则上可在12个月内制定完成认证方案。同时,新框架将引入更灵活、透明的治理机制,通过公开信息和公众咨询,促进相关利益方参与。
该认证体系由ENISA管理,企业可自愿使用,以证明其符合欧盟要求,进而降低合规成本。除ICT产品、服务、流程及托管式安全服务外,企业和机构还可对自身的网络安全整体能力进行认证,以满足市场需求。
三、便利企业遵守网络安全规则
该方案提出多项措施,以简化在欧盟运营企业对网络安全规则和风险管理要求的合规流程,并与数字综合方案(Digital Omnibus)中提出的事件报告单一入口机制形成互补。
针对《关于在整个欧盟全境实现高度统一网络安全措施的指令》(《NIS2指令》)的定向修订将提高法律清晰度,预计将减轻28700家企业的合规成本,其中包括6200家小微企业。同时,新设立的小型中型企业(small mid-cap)类别将为另外22500家企业降低合规成本。
相关修订还将简化管辖规则、优化勒索软件攻击数据的收集流程,强化ENISA协调职能,促进对跨境实体的监管。
三、提升ENISA协调与应对能力
修订版法案将提升ENISA协助欧盟及其成员国理解、预防、应对网络威胁与网络安全事件的能力,并通过发布网络威胁和安全事件的预警信息,进一步为欧盟运营企业和相关方提供支持。在与欧洲刑警组织(Europol)及计算机安全事件响应团队(CSIRTs)的合作下,ENISA将协助企业应对和恢复勒索软件攻击。
此外,ENISA将制定统一的欧盟漏洞管理方案,并负责运营数字综合方案中提出的事件报告单一入口机制。
四、后续步骤
根据欧盟立法程序,修订后的《网络安全法案》及配套的《NIS2指令》修订案将提交欧洲议会和欧盟理事会审议。相关立法一旦通过,成员国将有一年时间完成国内转化并向欧盟委员会通报实施情况。
来源:CCCEU(欧盟中国商会微信公众号)