文 | 國(guó)家工業(yè)信息安全發(fā)展研究中心 王麗穎
當(dāng)前,網(wǎng)絡(luò)空間已成為繼海、陸、空、天之后的第五大主權(quán)領(lǐng)域空間,不僅事關(guān)經(jīng)濟(jì)安全和社會(huì)穩(wěn)定,更是國(guó)際競(jìng)爭(zhēng)與政治博弈的關(guān)鍵領(lǐng)域。同其他領(lǐng)土主權(quán)一樣,保障網(wǎng)絡(luò)空間安全就是保障國(guó)家安全。關(guān)鍵基礎(chǔ)設(shè)施(以下簡(jiǎn)稱“關(guān)基”)作為網(wǎng)絡(luò)空間的“神經(jīng)中樞”,其功能穩(wěn)定與服務(wù)持續(xù)是維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的核心要素。以歐盟、美國(guó)和日本等為代表的各國(guó)紛紛出臺(tái)相關(guān)戰(zhàn)略規(guī)劃、法律法規(guī)以及實(shí)施方案,進(jìn)一步加大對(duì)關(guān)基的網(wǎng)絡(luò)安全保護(hù)力度。其中,歐盟較早認(rèn)識(shí)到關(guān)基網(wǎng)絡(luò)安全保護(hù)的重要性,陸續(xù)頒布《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃》《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》等一系列政策指令。尤其在協(xié)調(diào)成員國(guó)強(qiáng)化關(guān)基網(wǎng)絡(luò)安全防護(hù)力度方面,歐盟更是加大工作力度。2022 年以來(lái),歐盟又通過(guò)了《關(guān)于在整個(gè)歐盟全境實(shí)現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》《關(guān)于關(guān)鍵設(shè)施彈性的指令》《網(wǎng)絡(luò)彈性法案》、關(guān)基保護(hù)藍(lán)圖、《數(shù)字運(yùn)營(yíng)彈性法案》以及《人工智能法案》等多項(xiàng)政策,這些政策的實(shí)施將進(jìn)一步提升關(guān)基網(wǎng)絡(luò)安全防護(hù)能力和水平。
一、搭建了一套較為完善的關(guān)基網(wǎng)絡(luò)安全防護(hù)法律體系
歐盟全面強(qiáng)調(diào)關(guān)基網(wǎng)絡(luò)安全保護(hù)的重要性,陸續(xù)出臺(tái)多項(xiàng)政策,實(shí)行以風(fēng)險(xiǎn)管理為基礎(chǔ)的網(wǎng)絡(luò)安全治理策略。
一是 NIS 2 指令是歐盟關(guān)基網(wǎng)絡(luò)安全防護(hù)的“基準(zhǔn)線”。2022 年 12 月,歐洲議會(huì)和理事會(huì)共同通過(guò)了《關(guān)于在整個(gè)歐盟全境實(shí)現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》(NIS 2 指令),確定了整個(gè)歐盟關(guān)基的網(wǎng)絡(luò)安全法律框架。NIS 2 指令作為歐盟關(guān)基網(wǎng)絡(luò)安全防護(hù)的核心法規(guī),構(gòu)建了一套基于分級(jí)分類原則的網(wǎng)絡(luò)安全防護(hù)體系。根據(jù)關(guān)基實(shí)體的重要性和規(guī)模上限要求,NIS 2 指令明確十類基本實(shí)體和六類重要實(shí)體,清晰界定受管轄范圍和具體對(duì)象。針對(duì)不同類別的實(shí)體規(guī)定不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和事件報(bào)告要求,提高了關(guān)基網(wǎng)絡(luò)安全防護(hù)的針對(duì)性,并規(guī)定了違規(guī)行為的具體懲罰措施,通過(guò)制定極高的罰款金額,倒逼關(guān)基實(shí)體提高對(duì)內(nèi)生網(wǎng)絡(luò)安全的重視。
二是 CER 指令是歐盟關(guān)基網(wǎng)絡(luò)安全防護(hù)的“配套法則”。2022 年 12 月,歐盟通過(guò)了《關(guān)于關(guān)鍵設(shè)施彈性的指令》(CER),該指令明確歐盟地區(qū)的關(guān)基領(lǐng)域主要涉及 11 個(gè)領(lǐng)域,并明確識(shí)別關(guān)基實(shí)體的考慮因素和安全義務(wù)。CER 指令是 NIS2 指令的“配套法則”,根據(jù) CER 指令被確定為關(guān)基實(shí)體的重點(diǎn)行業(yè)企業(yè)和機(jī)構(gòu)也將受到 NIS 2 指令的網(wǎng)絡(luò)安全義務(wù)約束。同時(shí),CER 和 NIS 2 指令下的國(guó)家主管部門(mén)必須定期合作和交換相關(guān)信息,如網(wǎng)絡(luò)和非網(wǎng)絡(luò)風(fēng)險(xiǎn)、威脅和事件等。
三是 CRA 法案是歐盟關(guān)基網(wǎng)絡(luò)安全防護(hù)的“產(chǎn)品檢驗(yàn)法”。2022 年 9 月,歐盟委員會(huì)發(fā)布《網(wǎng)絡(luò)彈性法案》(CRA),該法案規(guī)定,特定關(guān)基實(shí)體必須使用經(jīng)安全認(rèn)證的信息和通信技術(shù)產(chǎn)品,進(jìn)一步加強(qiáng)關(guān)基中數(shù)字產(chǎn)品的網(wǎng)絡(luò)安全。CRA 法案是歐盟關(guān)基實(shí)體中軟硬件等數(shù)字產(chǎn)品的“檢驗(yàn)法”,根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別的不同,數(shù)字產(chǎn)品被劃分為 I 類和 II 類,為產(chǎn)品制造商、進(jìn)口商和分銷商等主體設(shè)定了不同的網(wǎng)絡(luò)安全評(píng)估要求,確保不同主體在數(shù)字產(chǎn)品供應(yīng)鏈的網(wǎng)絡(luò)安全中承擔(dān)起各自的責(zé)任。
四是關(guān)基保護(hù)藍(lán)圖是歐盟關(guān)基網(wǎng)絡(luò)安全防護(hù)的“國(guó)際協(xié)作指南”。2023 年 9 月,歐盟委員會(huì)提出“協(xié)調(diào)聯(lián)盟層面行動(dòng)以應(yīng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施中斷造成重大跨境影響的規(guī)劃藍(lán)圖”(以下簡(jiǎn)稱“關(guān)基保護(hù)藍(lán)圖”)。該藍(lán)圖旨在通過(guò)落實(shí)國(guó)內(nèi)協(xié)調(diào)聯(lián)動(dòng)措施,提升國(guó)際聯(lián)合應(yīng)對(duì)能力,實(shí)施關(guān)基網(wǎng)絡(luò)安全事件分類分級(jí)管理,以改善關(guān)基網(wǎng)絡(luò)安全等危機(jī)造成的破壞性跨境影響,加大智能化響應(yīng)能力,強(qiáng)化關(guān)基復(fù)原力,確保關(guān)基恢復(fù)的時(shí)效性和有效性。
五是 DORA 法案及 AI 法案等是歐盟關(guān)基網(wǎng)絡(luò)安全防護(hù)的“細(xì)分法則”。為配合 NIS 2 指令的落地與實(shí)施,歐盟在金融等特定關(guān)基領(lǐng)域中,制定了更為細(xì)致的法則。在金融領(lǐng)域,2022 年 11 月,歐盟理事會(huì)通過(guò)了《數(shù)字運(yùn)營(yíng)彈性法案》(DORA),主要針對(duì)金融領(lǐng)域中的關(guān)基實(shí)體,該法案由 DORA 主管部門(mén)與 NIS 2 指令下設(shè)的單一聯(lián)絡(luò)點(diǎn)(SPOCs)和計(jì)算機(jī)安全事件應(yīng)急響應(yīng)小組(CSIRT)協(xié)商并共享安全信息,以預(yù)防和減輕針對(duì)金融領(lǐng)域的網(wǎng)絡(luò)威脅,確保金融實(shí)體的彈性運(yùn)作。同時(shí),就關(guān)基領(lǐng)域中的 AI 技術(shù)使用問(wèn)題,2022 年 6 月,歐洲議會(huì)通過(guò)了《關(guān)于“歐洲議會(huì)和理事會(huì)條例:制定人工智能的統(tǒng)一規(guī)則(人工智能法案)并修訂某些聯(lián)盟立法”的提案》(簡(jiǎn)稱“AI 法案”)。該法案將關(guān)基領(lǐng)域中的 AI 應(yīng)用風(fēng)險(xiǎn)列為高風(fēng)險(xiǎn),作為重點(diǎn)監(jiān)管對(duì)象,并提出了具體的監(jiān)管措施。
二、明確關(guān)基實(shí)體范疇并確立分類分級(jí)的關(guān)基實(shí)體清單
一是清晰界定關(guān)基實(shí)體涉及的 11 個(gè)領(lǐng)域和范疇。歐盟 CER 指令中界定的關(guān)鍵實(shí)體指提供基本服務(wù),維護(hù)關(guān)鍵社會(huì)職能、經(jīng)濟(jì)、確保公眾健康和安全、環(huán)境的機(jī)構(gòu),具體包括能源、交通、銀行、金融市場(chǎng)基礎(chǔ)設(shè)施、醫(yī)療、供水、廢水、數(shù)字基礎(chǔ)設(shè)施、公共管理、太空、食品等 11 個(gè)領(lǐng)域。在這些領(lǐng)域內(nèi),CER 指令要求歐盟成員國(guó)詳細(xì)梳理出本國(guó)的關(guān)基實(shí)體清單,并對(duì)其開(kāi)展全面的安全風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容涉及兩個(gè)主要方面:一是關(guān)基實(shí)體面臨的各種風(fēng)險(xiǎn),包括自然災(zāi)害人為事故、突發(fā)公共衛(wèi)生事件、潛在的敵對(duì)威脅和恐怖主義活動(dòng)等;二是關(guān)基實(shí)體提供的基礎(chǔ)服務(wù)特性,以及這些服務(wù)對(duì)其他領(lǐng)域的依賴程度。一旦實(shí)體發(fā)生安全事件,它可能對(duì)所提供的基本服務(wù)或該領(lǐng)域其他基本服務(wù)產(chǎn)生重大破壞性影響。在梳理安全風(fēng)險(xiǎn)的過(guò)程中,還需考慮關(guān)基實(shí)體提供的基本服務(wù)的用戶數(shù)量、其他部門(mén)對(duì)該服務(wù)的依賴程度、安全事件可能對(duì)經(jīng)濟(jì)、社會(huì)運(yùn)轉(zhuǎn)、環(huán)境和公共安全造成的影響程度和持續(xù)時(shí)間等因素。此外,實(shí)體在基本服務(wù)領(lǐng)域所占的市場(chǎng)份額、可能受事件影響的地理區(qū)域、實(shí)體在維持基本服務(wù)水平方面的重要性,以及其他替代方案的可行性。
二是通過(guò)自主登記制度確定關(guān)基實(shí)體清單。為了進(jìn)一步落實(shí)關(guān)基實(shí)體清單,NIS 2 指令敦促歐盟成員國(guó)在 2025 年 3 月前,通過(guò)基本實(shí)體和重要實(shí)體的自我注冊(cè)機(jī)制,形成關(guān)基管轄范圍內(nèi)的所有實(shí)體清單。該清單詳細(xì)列出每個(gè)實(shí)體的名稱、內(nèi)部下屬部門(mén)和分部門(mén)、地址、電子郵件和電話號(hào)碼等聯(lián)系信息,以及實(shí)體活躍的成員國(guó)名單。因此,NIS 2 指令按照“規(guī)模上限原則”,將未達(dá)到一定規(guī)模門(mén)檻的實(shí)體排除在管理范圍之外。例如,員工數(shù)量少于 10 人、年收入 200 萬(wàn)歐元或以下的小型和微型企業(yè)被排除在外。然后根據(jù)這些實(shí)體的規(guī)模大小、所在領(lǐng)域和重要程度,將他們分為基本實(shí)體和重要實(shí)體兩類,其中基本實(shí)體包括能源、健康、交通、飲用水、廢水、空間、公共政府、信息通信技術(shù)服務(wù)管理(B2B 商家對(duì)商家)、金融市場(chǎng)基礎(chǔ)設(shè)施、銀行業(yè)、數(shù)字基礎(chǔ)設(shè)施(包括互聯(lián)網(wǎng)服務(wù)提供商 ISP 和云)等。這類實(shí)體的員工數(shù)量通常為 250 人,年?duì)I業(yè)額為 50 萬(wàn)歐元或資產(chǎn)負(fù)債表為 43 萬(wàn)歐元。重要實(shí)體則包括數(shù)字供應(yīng)商、研究、郵政和快遞服務(wù)、食品生產(chǎn)與分銷、制造業(yè)、化學(xué)品制造生產(chǎn)和分銷、廢棄物管理等,這類實(shí)體的員工數(shù)量通常為 50 人,年?duì)I業(yè)額為 10 萬(wàn)歐元或資產(chǎn)負(fù)債表為 10 萬(wàn)歐元。
三是根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別劃定關(guān)基中數(shù)字產(chǎn)品的不同類別。關(guān)基中使用的數(shù)字產(chǎn)品涵蓋了各種軟件和硬件產(chǎn)品,以及遠(yuǎn)程數(shù)據(jù)處理解決方案。CRA 根據(jù)產(chǎn)品存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的相關(guān)級(jí)別,分為三類“具有數(shù)字元素的關(guān)鍵產(chǎn)品”,即 I 類、II 類和默認(rèn)類別。其中,關(guān)基中的數(shù)字產(chǎn)品涉及 I 類和 II 類,這兩類產(chǎn)品須滿足不同的網(wǎng)絡(luò)安全要求。I 類產(chǎn)品包括 NIS 2 指令中描述的基本實(shí)體使用的集成電路和門(mén)陣列、移動(dòng)設(shè)備和應(yīng)用程序管理軟件、遠(yuǎn)程訪問(wèn)軟件、身份和訪問(wèn)管理軟件、瀏覽器等。這些產(chǎn)品必須堅(jiān)持應(yīng)用標(biāo)準(zhǔn)或完成第三方評(píng)估以證明網(wǎng)絡(luò)安全的符合性。II 類產(chǎn)品包括供 NIS 2 中描述的基本實(shí)體使用的工業(yè)物聯(lián)網(wǎng)設(shè)備、供 NIS 2 中描述的基本實(shí)體使用的工業(yè)自動(dòng)化和控制系統(tǒng)、智能電表、工業(yè)開(kāi)關(guān)、安全元件、硬件安全模塊、工業(yè)用防火墻等,須完成第三方符合性評(píng)估。
三、建立關(guān)基實(shí)體網(wǎng)絡(luò)安全責(zé)任制并明晰具體職責(zé)和義務(wù)
一是確定關(guān)基實(shí)體的風(fēng)險(xiǎn)評(píng)估職責(zé)和義務(wù)。CER 指令規(guī)定,關(guān)基實(shí)體應(yīng)開(kāi)展安全風(fēng)險(xiǎn)評(píng)估,及時(shí)采取技術(shù)和組織等措施增強(qiáng)安全彈性,并向當(dāng)局報(bào)告安全事件。歐盟成員國(guó)當(dāng)局應(yīng)向關(guān)基實(shí)體提供支持,對(duì)跨國(guó)和跨部門(mén)風(fēng)險(xiǎn)、最佳實(shí)踐、方法、跨國(guó)培訓(xùn)和演習(xí)活動(dòng)等方面給予補(bǔ)充支持,并確保國(guó)家當(dāng)局擁有權(quán)力和手段對(duì)關(guān)基實(shí)體進(jìn)行現(xiàn)場(chǎng)檢查,能夠?qū)Σ蛔袷刂噶畹男袨檫M(jìn)行處罰。
二是規(guī)定關(guān)基實(shí)體承擔(dān)網(wǎng)絡(luò)安全管理責(zé)任、風(fēng)險(xiǎn)管理、事故通知等義務(wù)。NIS 2 指令提出了關(guān)基實(shí)體應(yīng)承擔(dān)的具體網(wǎng)絡(luò)安全義務(wù)。在管理責(zé)任方面,基本實(shí)體和重要實(shí)體必須批準(zhǔn)并監(jiān)督網(wǎng)絡(luò)安全措施的實(shí)施,對(duì)違規(guī)行為問(wèn)責(zé),并定期組織網(wǎng)絡(luò)安全培訓(xùn)。在風(fēng)險(xiǎn)管理方面,基本實(shí)體和重要實(shí)體必須加強(qiáng)風(fēng)險(xiǎn)分析與信息系統(tǒng)安全,優(yōu)化網(wǎng)絡(luò)安全事故處理流程,采取備份、災(zāi)難恢復(fù)、危機(jī)管理等確保供應(yīng)鏈安全和業(yè)務(wù)連續(xù)性,實(shí)施加密策略確保網(wǎng)絡(luò)衛(wèi)生。在事故通知方面,簡(jiǎn)化重大網(wǎng)絡(luò)安全事件的報(bào)告義務(wù),基本實(shí)體和重要實(shí)體須在 24 小時(shí)內(nèi)向國(guó)家主管部門(mén)或 CSIRT 報(bào)告重大事件,72 小時(shí)內(nèi)對(duì)事件嚴(yán)重性、影響等進(jìn)行初步評(píng)估,1 個(gè)月內(nèi)對(duì)事件詳細(xì)信息、根本原因等進(jìn)行總結(jié)上報(bào)。
三是規(guī)定關(guān)基中數(shù)字產(chǎn)品制造商、進(jìn)貨商和經(jīng)銷商等主體的不同義務(wù)。CRA 提出,關(guān)基中數(shù)字產(chǎn)品的規(guī)制主體包括制造商、進(jìn)口商、分銷商及其他必須履行法案規(guī)定義務(wù)的自然人或法人,并針對(duì)不同類型的主體施加了不同義務(wù)。其中,制造商對(duì)設(shè)計(jì)、開(kāi)發(fā)和生產(chǎn)的數(shù)字產(chǎn)品需符合 CRA 規(guī)定的網(wǎng)絡(luò)安全要求。經(jīng)質(zhì)量評(píng)估和網(wǎng)絡(luò)安全評(píng)估后,制造商必須為產(chǎn)品張貼 CE 標(biāo)志,并提供清晰、易懂、可理解和易讀的產(chǎn)品隨附信息和說(shuō)明,以確保用戶安全地安裝、操作和使用。進(jìn)口商需確認(rèn)數(shù)字產(chǎn)品符合質(zhì)量和網(wǎng)絡(luò)安全要求,并在產(chǎn)品包裝或隨附文件中標(biāo)明商家名稱、注冊(cè)商標(biāo)、電子郵件等,并對(duì)產(chǎn)品的網(wǎng)絡(luò)安全漏洞或事件承擔(dān)報(bào)告義務(wù)。經(jīng)銷商則需要確保銷售的數(shù)字產(chǎn)品帶有 CE 標(biāo)志,產(chǎn)品中包含制造商的隨附信息和說(shuō)明以及進(jìn)口商的聯(lián)系信息等。
四是規(guī)定關(guān)基中高風(fēng)險(xiǎn) AI 系統(tǒng)的網(wǎng)絡(luò)安全義務(wù)。AI 法案針對(duì)關(guān)基中的高風(fēng)險(xiǎn) AI 系統(tǒng),從入市前到入市后,制定了全流程風(fēng)險(xiǎn)管理措施。在高風(fēng)險(xiǎn) AI 系統(tǒng)投入市場(chǎng)前,AI 提供者應(yīng)建立和維持風(fēng)險(xiǎn)管理系統(tǒng),識(shí)別潛在的風(fēng)險(xiǎn),確保人工可對(duì) AI 系統(tǒng)進(jìn)行監(jiān)督,并干預(yù)存在“自動(dòng)化偏見(jiàn)”的輸出結(jié)果。投放入市時(shí),AI 提供者需向主管機(jī)關(guān)提供 AI 系統(tǒng)開(kāi)發(fā)過(guò)程、檢測(cè)、運(yùn)作和控制等系統(tǒng)相關(guān)必要信息,確保 Al 系統(tǒng)的性能符合預(yù)期目的及各項(xiàng)管理要求,并貼上 CE 標(biāo)志。投入使用后,AI提供者應(yīng)當(dāng)建立入市后的檢測(cè)系統(tǒng),收集、記錄和分析 AI 系統(tǒng)在整個(gè)生命周期的可靠性、性能和安全性等數(shù)據(jù),評(píng)估 AI 系統(tǒng)對(duì)法規(guī)的持續(xù)遵守情況。當(dāng) AI 系統(tǒng)發(fā)生嚴(yán)重故障或侵犯人類基本權(quán)利的事件時(shí),提供者需在 72 小時(shí)內(nèi)向國(guó)家監(jiān)督機(jī)構(gòu)報(bào)告。
四、完善關(guān)基事件協(xié)調(diào)應(yīng)對(duì)制度以及時(shí)提升關(guān)基復(fù)原力
一是明確關(guān)基事件協(xié)調(diào)應(yīng)對(duì)機(jī)制啟用的觸發(fā)條件。關(guān)基保護(hù)藍(lán)圖明確了觸發(fā)聯(lián)盟應(yīng)對(duì)機(jī)制的兩類重大關(guān)基事件:第一,對(duì)六個(gè)及以上成員國(guó)提供基本服務(wù)的關(guān)基造成破壞性影響;第二,對(duì)兩個(gè)及以上成員國(guó)提供基本服務(wù)的關(guān)基造成破壞性影響,且理事會(huì)輪值主席國(guó)與其他成員國(guó)一致認(rèn)為由于具有廣泛且重大的技術(shù)或政治影響需要聯(lián)盟層面協(xié)調(diào)和響應(yīng)的情況。通過(guò)設(shè)定聯(lián)盟協(xié)同應(yīng)對(duì)機(jī)制的觸發(fā)條件,可以迅速精準(zhǔn)地識(shí)別和理解關(guān)基面臨的威脅程度,確定關(guān)基事件的優(yōu)先級(jí)和緊急程度,合理分配不同等級(jí)資源,采取適宜的安全措施和防護(hù)策略。
二是構(gòu)建分工明確的協(xié)調(diào)管理機(jī)制。關(guān)基保護(hù)藍(lán)圖建立了按照職責(zé)分工相互配合、層次分明的聯(lián)盟協(xié)作應(yīng)對(duì)體系。但當(dāng)關(guān)基事件達(dá)到聯(lián)盟應(yīng)對(duì)機(jī)制的觸發(fā)條件時(shí),歐盟成員國(guó)、歐盟理事會(huì)、歐盟委員會(huì)、歐盟對(duì)外行動(dòng)署(EEAS)等聯(lián)盟機(jī)構(gòu)及歐洲刑警組織等執(zhí)法機(jī)構(gòu)應(yīng)在關(guān)基保護(hù)藍(lán)圖框架內(nèi)相互合作,通過(guò)固定的聯(lián)絡(luò)點(diǎn)交流事件信息并協(xié)調(diào)應(yīng)對(duì)行動(dòng),這樣可以最大程度地緩解關(guān)基事件帶來(lái)的破壞性跨境影響,并及時(shí)恢復(fù)關(guān)基的正常運(yùn)行。為了確保應(yīng)對(duì)舉措的有序性和應(yīng)急性,上述參與者應(yīng)聯(lián)合關(guān)基運(yùn)營(yíng)商等私營(yíng)企業(yè)定期演練聯(lián)盟協(xié)調(diào)應(yīng)對(duì)機(jī)制,不斷優(yōu)化國(guó)家、區(qū)域和聯(lián)盟層面的協(xié)調(diào)響應(yīng)能力。同時(shí)通過(guò)理順職能部門(mén)和執(zhí)法部門(mén)的職責(zé)關(guān)系,逐步構(gòu)建并優(yōu)化協(xié)同高效的多部門(mén)間應(yīng)急履職體系。此外,完善突發(fā)事件應(yīng)急流程,提高關(guān)基安全事件處置效率,并針對(duì)應(yīng)急演練中發(fā)現(xiàn)的突出問(wèn)題和漏洞隱患,及時(shí)整改加固,完善保護(hù)措施。
三是規(guī)定信息交換和公開(kāi)溝通流程。關(guān)基保護(hù)藍(lán)圖提出針對(duì)重大關(guān)基事件啟動(dòng)聯(lián)盟協(xié)調(diào)應(yīng)對(duì)機(jī)制的第一步是確保所有相關(guān)者的信息交流及公共溝通的順暢。發(fā)生重大關(guān)基事件后,由國(guó)家主管部門(mén)率先通過(guò)單獨(dú)聯(lián)絡(luò)點(diǎn)與輪值主席國(guó)聯(lián)絡(luò),交換關(guān)基運(yùn)營(yíng)主體及已采取的網(wǎng)絡(luò)和物理措施等詳情。歐盟應(yīng)急協(xié)調(diào)反應(yīng)中心(ERCC)作為危機(jī)應(yīng)對(duì)業(yè)務(wù)部門(mén),實(shí)時(shí)監(jiān)控、協(xié)調(diào)和支持聯(lián)盟層面的緊急情況,增強(qiáng)跨部門(mén)協(xié)調(diào)。與此同時(shí),歐盟委員會(huì)立即組織召開(kāi)關(guān)基恢復(fù)小組專家會(huì),所在國(guó)家主管部門(mén)匯報(bào)重大關(guān)基事件的性質(zhì)、原因、影響、應(yīng)對(duì)舉措、對(duì)受影響成員國(guó)提供的技術(shù)支持等。歐盟委員會(huì)根據(jù)交換信息編寫(xiě)綜合態(tài)勢(shì)感知和分析報(bào)告(ISAA),包括從網(wǎng)絡(luò)安全角度評(píng)估歐盟層面的風(fēng)險(xiǎn)情況及委員會(huì)等各機(jī)構(gòu)采取的緩解舉措,旨在提高聯(lián)盟層面的透明度,以信息共享為基礎(chǔ),加強(qiáng)態(tài)勢(shì)感知,積極構(gòu)建歐盟成員國(guó)及委員會(huì)等相關(guān)方廣泛參與的信息共享、協(xié)同聯(lián)動(dòng)的防護(hù)機(jī)制。
四是確定聯(lián)盟協(xié)調(diào)應(yīng)對(duì)和處理規(guī)則。關(guān)基保護(hù)藍(lán)圖提出針對(duì)重大關(guān)基事件啟動(dòng)聯(lián)盟協(xié)調(diào)應(yīng)對(duì)機(jī)制的第二步是基于關(guān)基事件的規(guī)模和影響而采取協(xié)調(diào)應(yīng)對(duì)行動(dòng)。歐盟理事會(huì)民事保護(hù)工作組關(guān)基恢復(fù)小組基于 ISAA,組織召開(kāi)專家會(huì)議,搭建溝通平臺(tái),請(qǐng)求其他成員國(guó)或聯(lián)盟機(jī)構(gòu)的技術(shù)支持。其他成員國(guó)及歐洲刑警組織等機(jī)構(gòu)評(píng)估可提供的技術(shù)支持以減輕重大關(guān)基事件的影響。在必要情況下,可配合啟動(dòng)快速警戒系統(tǒng)機(jī)制(ARGUS)、綜合政策威脅響應(yīng)機(jī)制(IPCR)、共同體民事保護(hù)機(jī)制(UCPM)等其他應(yīng)急響應(yīng)機(jī)制,請(qǐng)求更多成員國(guó)幫助并探討協(xié)調(diào)應(yīng)對(duì)舉措。若涉及國(guó)際安全影響,EEAS 可召開(kāi)歐盟——北約恢復(fù)結(jié)構(gòu)性對(duì)話會(huì)議,交流歐盟和北約分別采取的有關(guān)措施,加強(qiáng)國(guó)家主管部門(mén)的響應(yīng)及與其他成員國(guó)、聯(lián)盟機(jī)構(gòu)等的合作,做到統(tǒng)一指揮、快速調(diào)度,迅速解決關(guān)基中斷問(wèn)題并重建基本服務(wù)。另外,由歐盟理事會(huì)和委員會(huì)準(zhǔn)備公共溝通話術(shù),消除公眾信息差,最大程度地減少重大關(guān)基事件后向公眾傳達(dá)的信息差異,避免虛假信息傳播。
五、設(shè)立針對(duì)關(guān)基實(shí)體的懲罰制度以倒逼網(wǎng)絡(luò)安全水平提升
一是明確關(guān)基中基本實(shí)體和重要實(shí)體違規(guī)的懲罰舉措。NIS 2 指令對(duì)違反法律要求未履行及時(shí)報(bào)告義務(wù)、未實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理措施的關(guān)基實(shí)體提出了嚴(yán)格的懲罰舉措,基本實(shí)體將面臨高達(dá)年?duì)I業(yè)額 2% 或 400 萬(wàn)歐元的罰款,重要實(shí)體將面臨高達(dá)年?duì)I業(yè)額 1% 或 200 萬(wàn)歐元的罰款,二者均以較高者為準(zhǔn),這一舉措旨在提高關(guān)基實(shí)體對(duì)內(nèi)生網(wǎng)絡(luò)安全的重視。
二是明確關(guān)基中使用違規(guī)數(shù)字產(chǎn)品的懲罰舉措。關(guān)基中使用的數(shù)字產(chǎn)品,如果違反 CRA 規(guī)定的網(wǎng)絡(luò)安全要求和制造商義務(wù),將面臨最高 1500 萬(wàn)歐元或上一財(cái)政年度全球年?duì)I業(yè)額的 2.5% 的罰款,以較高者為準(zhǔn)。若違反其他義務(wù),將面臨最高 1000 萬(wàn)歐元或上一財(cái)政年度全球年?duì)I業(yè)額 2% 的罰款,以較高者為準(zhǔn)。若向指定機(jī)構(gòu)和市場(chǎng)監(jiān)督機(jī)構(gòu)提供不準(zhǔn)確、不完整或誤導(dǎo)性的信息,將受到最高 500 萬(wàn)歐元或上一財(cái)政年度全球年?duì)I業(yè)額的 1%的罰款,同樣以較高者為準(zhǔn)。
(本文刊登于《中國(guó)信息安全》雜志2024年第1期)
文章來(lái)源:中國(guó)信息安全