�同时�术安全风险的同时�同时�

<p></p> <p style="text-align:center;"></p> <p align="center"></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p><strong>走出)去智库（CGGT）观察</strong></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p><strong>当？地时间1月20日，欧盟委员会提出《网络安全法案》修订案等提案，计划在关键基础设施领域逐步淘汰来自“高风险”国家企业的零部件和设备。若该提案生效后，欧盟各国移动运营商将强制在所谓“高风险供应商”名单公布后36个月内逐步淘汰关键组件。</strong></p> <p><strong>走出去智库（CGGT)观察到，该提案涉及18个“关键领域”，包括探测设备、联网和自动化车辆、电力供应与储存系统、供水系统以及无人机和反无人机系统，同时，云服务、医疗设备、监控设备、航天服务和半导体也被归类为“关键领域”。目前，该提案在欧盟内部分歧显著，如西班牙、匈牙利等国仍依赖中国设备。欧盟电信游说团体Connect Europe警告，提案将加重行业负担。</strong></p> <p><strong>欧委会新提案将带来哪些影响？今天，走出去智库 (CGGT) 刊发欧盟中国商会的文章，供关注欧盟网络安全政策的读者参阅。</strong></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p style="text-align:center;"><strong>要点</strong></p> <p></p> <p></p> <p></p> <p></p> <p><strong>1、该框架在评估技术安全风险的同时，也将供应商依赖程度和外部干预风险纳入考量，并兼顾经济影响和市场供应稳定性。</strong></p> <p><strong>2、针对《关于在整个欧盟全境实现高度统一网络安全措施的指令》（《NIS2指令》）的定向修订将提高法律清晰度，预计将减轻28700家企业的合规成本，其中包括6200家小微企业。</strong></p> <p><strong>3、修订版法案将提升欧盟网络安全局（ENISA）协助欧盟及其成员国理解、预防、应对网络威胁与网络安全事件的能力，并通过发布网络威胁和安全事件的预警信息，进一步为欧盟运营企业和相关方提供支持。</strong></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p></p> <p style="text-align:center;"><strong>正文</strong></p> <p></p> <p></p> <p></p> <p></p> <p style="text-align:justify;" align="justify">欧盟委员会1月20日提出一揽子新的网络安全政策方案，核心内容包括一项修订版《网络安全法案》提案，称拟提升欧盟信息与通信技术（ICT）供应链安全、完善欧洲网络安全认证框架，降低企业网络安全合规成本，并强化欧盟网络安全局（ENISA）职能。该修订法案等如落地，或将对我在欧企业带来广泛影响。</p> <p></p> <p><strong><strong>一、加强欧盟ICT供应链安全</strong></strong></p> <p style="text-align:justify;" align="justify">根据委员会提出的修订版《网络安全法案》，欧盟将建立一个基于协调一致、比例适当、以风险为导向的可信ICT供应链安全框架。该框架覆盖欧盟18个关键行业，在既有的5G安全工具箱基础上，推动对欧洲移动通信网络中来自高风险第三国供应商的强制“去风险化”。</p> <p style="text-align:justify;" align="justify">该框架在评估技术安全风险的同时，也将供应商依赖程度和外部干预风险纳入考量，并兼顾经济影响和市场供应稳定性。</p> <p></p> <p><strong><strong>二、简化欧洲网络安全认证框架</strong></strong></p> <p style="text-align:justify;" align="justify">在产品和服务监管层面，修订版《网络安全法案》将更新欧洲网络安全认证框架（ECCF）。该框架将带来更清晰的规则和更简化的程序，原则上可在12个月内制定完成认证方案。同时，新框架将引入更灵活、透明的治理机制，通过公开信息和公众咨询，促进相关利益方参与。</p> <p style="text-align:justify;" align="justify">该认证体系由ENISA管理，企业可自愿使用，以证明其符合欧盟要求，进而降低合规成本。除ICT产品、服务、流程及托管式安全服务外，企业和机构还可对自身的网络安全整体能力进行认证，以满足市场需求。</p> <p></p> <p><strong><strong>三、便利企业遵守网络安全规则</strong></strong></p> <p style="text-align:justify;" align="justify">该方案提出多项措施，以简化在欧盟运营企业对网络安全规则和风险管理要求的合规流程，并与数字综合方案（Digital Omnibus）中提出的事件报告单一入口机制形成互补。</p> <p style="text-align:justify;" align="justify">针对《关于在整个欧盟全境实现高度统一网络安全措施的指令》（《NIS2指令》）的定向修订将提高法律清晰度，预计将减轻28700家企业的合规成本，其中包括6200家小微企业。同时，新设立的小型中型企业（small mid-cap）类别将为另外22500家企业降低合规成本。</p> <p style="text-align:justify;" align="justify">相关修订还将简化管辖规则、优化勒索软件攻击数据的收集流程，强化ENISA协调职能，促进对跨境实体的监管。</p> <p></p> <p><strong><strong>三、提升ENISA协调与应对能力</strong></strong></p> <p style="text-align:justify;" align="justify">修订版法案将提升ENISA协助欧盟及其成员国理解、预防、应对网络威胁与网络安全事件的能力，并通过发布网络威胁和安全事件的预警信息，进一步为欧盟运营企业和相关方提供支持。在与欧洲刑警组织（Europol）及计算机安全事件响应团队（CSIRTs）的合作下，ENISA将协助企业应对和恢复勒索软件攻击。</p> <p style="text-align:justify;" align="justify">此外，ENISA将制定统一的欧盟漏洞管理方案，并负责运营数字综合方案中提出的事件报告单一入口机制。</p> <p></p> <p><strong><strong>四、后续步骤</strong></strong></p> <p style="text-align:justify;" align="justify">根据欧盟立法程序，修订后的《网络安全法案》及配套的《NIS2指令》修订案将提交欧洲议会和欧盟理事会审议。相关立法一旦通过，成员国将有一年时间完成国内转化并向欧盟委员会通报实施情况。</p> <p style="text-align:justify;" align="justify">来源：CCCEU（欧盟中国商会微信公众号）</p> <p></p>