欧盟观察｜预警：欧委会提出新网络安全政策方案【走出去智库】

走出去智库（CGGT）观察

当地时间1月20日，欧盟委员会提出《网络安全法案》修订案等提案，计划在关键基础设施领域逐步淘汰来自“高风险”国家企业的零部件和设备。若该提案生效后，欧盟各国移动运营商将强制在所谓“高风险供应商”名单公布后36个月内逐步淘汰关键组件。

走出去智库（CGGT)观察到，该提案涉及18个“关键领域”，包括探测设备、联网和自动化车辆、电力供应与储存系统、供水系统以及无人机和反无人机系统，同时，云服务、医疗设备、监控设备、航天服务和半导体也被归类为“关键领域”。目前，该提案在欧盟内部分歧显著，如西班牙、匈牙利等国仍依赖中国设备。欧盟电信游说团体Connect Europe警告，提案将加重行业负担。

欧委会新提案将带来哪些影响？今天，走出去智库 (CGGT) 刊发欧盟中国商会的文章，供关注欧盟网络安全政策的读者参阅。

要点

1、该框架在评估技术安全风险的同时，也将供应商依赖程度和外部干预风险纳入考量，并兼顾经济影响和市场供应稳定性。

2、针对《关于在整个欧盟全境实现高度统一网络安全措施的指令》（《NIS2指令》）的定向修订将提高法律清晰度，预计将减轻28700家企业的合规成本，其中包括6200家小微企业。

3、修订版法案将提升欧盟网络安全局（ENISA）协助欧盟及其成员国理解、预防、应对网络威胁与网络安全事件的能力，并通过发布网络威胁和安全事件的预警信息，进一步为欧盟运营企业和相关方提供支持。

正文

欧盟委员会1月20日提出一揽子新的网络安全政策方案，核心内容包括一项修订版《网络安全法案》提案，称拟提升欧盟信息与通信技术（ICT）供应链安全、完善欧洲网络安全认证框架，降低企业网络安全合规成本，并强化欧盟网络安全局（ENISA）职能。该修订法案等如落地，或将对我在欧企业带来广泛影响。

一、加强欧盟ICT供应链安全

根据委员会提出的修订版《网络安全法案》，欧盟将建立一个基于协调一致、比例适当、以风险为导向的可信ICT供应链安全框架。该框架覆盖欧盟18个关键行业，在既有的5G安全工具箱基础上，推动对欧洲移动通信网络中来自高风险第三国供应商的强制“去风险化”。

该框架在评估技术安全风险的同时，也将供应商依赖程度和外部干预风险纳入考量，并兼顾经济影响和市场供应稳定性。

二、简化欧洲网络安全认证框架

在产品和服务监管层面，修订版《网络安全法案》将更新欧洲网络安全认证框架（ECCF）。该框架将带来更清晰的规则和更简化的程序，原则上可在12个月内制定完成认证方案。同时，新框架将引入更灵活、透明的治理机制，通过公开信息和公众咨询，促进相关利益方参与。

该认证体系由ENISA管理，企业可自愿使用，以证明其符合欧盟要求，进而降低合规成本。除ICT产品、服务、流程及托管式安全服务外，企业和机构还可对自身的网络安全整体能力进行认证，以满足市场需求。

三、便利企业遵守网络安全规则

该方案提出多项措施，以简化在欧盟运营企业对网络安全规则和风险管理要求的合规流程，并与数字综合方案（Digital Omnibus）中提出的事件报告单一入口机制形成互补。

针对《关于在整个欧盟全境实现高度统一网络安全措施的指令》（《NIS2指令》）的定向修订将提高法律清晰度，预计将减轻28700家企业的合规成本，其中包括6200家小微企业。同时，新设立的小型中型企业（small mid-cap）类别将为另外22500家企业降低合规成本。

相关修订还将简化管辖规则、优化勒索软件攻击数据的收集流程，强化ENISA协调职能，促进对跨境实体的监管。

三、提升ENISA协调与应对能力

修订版法案将提升ENISA协助欧盟及其成员国理解、预防、应对网络威胁与网络安全事件的能力，并通过发布网络威胁和安全事件的预警信息，进一步为欧盟运营企业和相关方提供支持。在与欧洲刑警组织（Europol）及计算机安全事件响应团队（CSIRTs）的合作下，ENISA将协助企业应对和恢复勒索软件攻击。

此外，ENISA将制定统一的欧盟漏洞管理方案，并负责运营数字综合方案中提出的事件报告单一入口机制。

四、后续步骤

根据欧盟立法程序，修订后的《网络安全法案》及配套的《NIS2指令》修订案将提交欧洲议会和欧盟理事会审议。相关立法一旦通过，成员国将有一年时间完成国内转化并向欧盟委员会通报实施情况。

来源：CCCEU（欧盟中国商会微信公众号）