2019年6月27日,欧盟2019年《网络安全法案》正式施行。
这是欧盟继《一般数据保护条例》(GDPR)、《非个人数据自由流动条例》之后又一部重磅网络安全顶层设计法律,也成为欧盟后续出台《电子隐私条例》、《电子证据条例》的制度先声,将产生广泛、显著的全球回响。
该法案出台的背景和价值追求是什么,制度规定的重点和亮点在哪里?
北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任吴沈括,及北京师范大学网络法治国际中心研究助理黄伟庆第一时间介绍《网络安全法案》的前世今生,深入剖析其意义和影响。
腾云经授权首发。
吴沈括 北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任
黄伟庆 北京师范大学网络法治国际中心研究助理
2019年6月27日,欧盟2019年《网络安全法案》(EU Cybersecurity Act)即欧洲议会和欧盟理事会第2019/881号条例《关于欧洲网络与信息安全局信息和通信技术的网络安全,并废除(EC)第526/2013号条例》(下文简称:《网络安全法案》)正式施行,是为新时期欧盟网络安全治理的里程碑事件。
《网络安全法案》针对对象主要包括欧盟机构、机关、办公室和办事处等机构(下文统称:“欧盟机构”),规制内容主要为上述欧盟机构在处理个人用户、组织和企业网络安全问题的过程中加强网络安全结构、增强对数字技术的掌控、确保网络安全应当遵守的法律规制,旨在促进卫生、能源、金融和运输等关键部门的经济,特别是促进内部市场的运作。
该法案对于欧盟各成员国网络和信息通讯安全体系的构建、增强网络信息安全风险防控能力具有十分重要的意义。
考虑到网络和信息系统以及电子通信网络和服务在经济增长中呈现出日趋重要的地位,为了有效应对随着数字化和连接性的增加而带来的与网络安全相关的各类风险,更好地防范对计算机系统、通信网络、数字产品、服务和设备以及公民、组织和企业带来的潜在威胁,进一步完善欧盟的网络和信息通讯安全保护框架,详细规定了欧盟机构处理网络安全保护工作中具体的保护措施、技术手段、财政和基础设施建设、公众网络安全意识教育以及成员国之间的互助合作等问题。
该条例在制度设计、涵盖范围以及监管手段等问题上上具有开创性、系统性、科学性和前瞻性,对于全球网络和信息通讯安全的法律设计、网络安全保护的国际合作以及网络安全标准体系的完善提供了值得参重视的新思路。
▌《网络安全法案》的出台背景及其价值追求
随着欧洲社会经济的发展,当下网络和信息系统以及电子通信网络和服务已成为其经济增长的支柱。信息和通信技术(ICT) 是社会业务活动开展所借助的复杂系统的基础,在卫生、能源、金融和运输等关键部门领域中发挥核心作用。
目前,欧盟公民、组织和企业使用网络和信息系统十分广泛,数字化和连接性正成为其中的关键特征,并且随着物联网的出现,在未来十年内越来越多的产品和服务将在整个欧盟内产生数量极多的连接性数字设备。数字化和连接性的增加带来了与网络安全相关的更大风险,使整个社会更容易受到网络威胁。
对此,早在2016年7月6日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。
此外,该法要求成员国制定网络安全国家战略,要求加强成员国间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。
而2018年5月25日《一般数据保护条例》(GDPR)正式施行,该条例制定了个人数据保护的一般规则,为欧盟内外个人数据的自由流动提供了确定性保护。
紧接着,2018年5月29日,欧盟委员会发起了一项欧洲未来网络安全宪章(《欧盟网络安全法案》)的提议。《欧盟网络安全法案》是一项更广泛的“网络安全包”(Cybersecurity Package)概念的外化,“网络安全包”的概念最初于2017年提出,后经过了一段时间的影响评估,并接受了各界评论。
我们每个人生下来都是带着一个文化眼镜,美国学者说:
“每个小时有7400个婴儿降生来到地球上,他们刚出生的时候彼此是如此的接近,随着他们在全球各地的各个文化中被养成,他们在成年之后是如此的不同。”
为什么不同?因为他们被各自的文化训练了,所以他们带都着自己的文化眼镜。
在网络风险不断增加的形势下,《欧盟网络安全法案》一方面将把欧盟网络和信息安全署(ENISA)定位成欧盟永久性机构,从而提升加强 ENISA 的地位;另一方面,还将为信息和通讯技术(ICT)等产品创建一个欧洲网络安全认证框架,旨在欧盟内部提供网络韧性和响应能力,因为协调各种标准以提升效率也是欧盟“数字单一市场”(Digital Single Market)战略的核心命题。
▌《网络安全法案》核心制度框架的重点设计
欧盟2019年《网络安全法案》全文分为三个部分:前言、正文和附则,其中正文包含三个章节共计69个条款。
前言部分是结合《欧洲联盟运作条约》,特别是其第114条,鉴于立法草案提交各国议会之后欧盟委员会、欧洲经济和社会委员会以及欧洲区域委员会的建议,欧洲议会和欧盟理事会按照普通立法程序所提出的若干事项,包括出台本法案的背景、宗旨、主要内容、适用范围和现实意义等。
正文部分涉及为实现法案目的而对欧盟网络和信息安全署(ENISA)的职能和任务进行重新定位、为信息和通讯技术(ICT)等产品创建一个欧洲网络安全认证框架等事项所作的具体规定;附则部分是关于获得认证资格的评估机构应当满足的条件或要求。
总体而言,法案的内容涵盖十分全面,既涉及到立法宗旨、背景、价值追求等原则性问题,也包括对机构设置、制度安排、流程设计等实操性规则。其立法的总体要旨与2016年《网络与信息系统安全指令》、2018年《一般数据保护条例》及其他毗邻的网络安全规范相互关联,同时该法案在核心制度框架上也有突出的重点设计:
1. ENISA职能的调整与拓展
《网络安全法案》的首要制度革新就是指定欧盟网络和信息安全署(ENISA)为永久性的欧盟网络安全职能机构。
ENISA 最初创立于2004年,当时是一个临时性的欧盟机构,负责欧盟的网络和信息安全。但是随着全球和区域网络安全问题的不断出现,该机构的职能逐渐得到拓展。
现在的 ENISA 可以组织欧盟网络威胁演习,以测试欧盟面对威胁的恢复能力,该机构也为国家性的“网络安全紧急事件响应团队”(CSIRT)提供支持,且提供了一个分享信息和最佳实例的平台。
在《欧盟网络安全法案》之下,ENISA 会继续专注政策发展和部署。该机构将持续为网络安全政策提供支撑,将和欧盟各国的 CSIRT 团队一同应对网络安全事件,并且 ENISA 的权限还将进一步扩大。
欧盟委员会推荐对大规模网络安全事件和威胁采取协同响应,协助进行国际性标准的开发,并监督欧盟范围内 ICT 设备的网络安全认证框架运行,而 ENISA 将在这一过程中起到更大的推动作用。
该法案正文内容第一条即明确ENISA的任务目标:采用欧洲网络安全认证系统的框架,以确保欧盟ICT产品、ICT服务或ICT流程具有足够的网络安全水平,同时避免欧盟内部市场在网络安全认证计划方面产生分歧。
同时也对任务实施的范围进行了限定,即不得妨碍成员国在公共安全、国防、国家安全和国家刑事领域的管辖权,且不与其他关于自愿或强制性认证的欧盟法律的具体规定相冲突。
在此基础上,ENISA 执行本法案赋予的各项职权,积极支持成员国、欧盟机构、机构办事处和机构改善网络安全,以实现整个欧盟的共同一致的网络安全水平。
2. 跨境事件的联合处理
网络攻击呈上升趋势,易受网络威胁和网络攻击的脆弱性促使经济和社会需要加强防御,然而现实是,网络信息攻击往往跨越国界,大规模事件可能妨碍在整个欧盟提供基本服务,而网络安全权力和执法当局以及相关政策反应却主要是国家性的。
这就需要在欧盟层面采取有效和协调一致的对策和危机管理,并以专门的政策和更广泛的手段为基础,促进欧洲各国在该领域的团结和互助。
本法案前言部分即对跨境事件的联合处理有所提及,ENISA 应有助于欧盟范围内对危机和跨境事件作出适应网络安全风险规模的全面反应。
这项任务应按照本条例赋予它的职能和成员国在欧盟委员会第2017/1584号决议中的承诺予以实现,可以包括收集有关信息、充当CSIRTS网络和技术界之间的促进者和负责危机管理的决策者等等。
此外,在一个或多个成员国提出请求时,ENISA应支持成员国之间的业务合作,从技术角度处理事件,促进成员国之间有关技术解决办法的交流,并为公共宣传提供投入。ENISA 应通过定期网络安全演习测试此类合作安排,以支持业务合作。
正文部分第四条对ENISA的目标进行规定时即强调,ENISA应提高欧盟层面的网络安全能力,以支持成员国在预防和应对网络威胁方面特别是在发生跨境事件时的联合行动力。同时,该法案还对ENISA在欧盟和成员国层面针对与网络安全相关的大规模跨境事件的具体合作方式作出了规定,具体包括:
汇总和分析公共领域或自愿共享的国家来源报告,以便帮助建立对情况的共同认识;
确保CSIRT网络与欧盟一级的技术和政治决策者之间的信息有效流动和提供升级机制;
按需促进此类事件或危机的技术管理,特别是支持分享此类事件或危机成员国之间的自愿性技术解决办法;
支持欧盟机构、机构办事处和业务部门,并应成员国的要求,在与此类事件或危机有关的公共通讯中提供支持;
审查在欧盟一级应对此类事件或危机的合作计划,并应其要求,支持成员国在国家一级测试此类计划。
3. 专业化、基础性服务
《网络安全法案》强调,网络和信息系统能够支持民众生活的各个方面,并推动欧盟的经济增长,是实现数字单一市场的基石。
为更好地保护计算机系统、通信网络、数字产品、服务和设备中关键基础设施的经营者,使其免受网络威胁,ENISA应作为网络安全相关事项中欧盟部门具体政策和法律举措的咨询意见、专门知识的参考点,定期向欧洲议会通报其活动。
同时,在支持业务合作方面,ENISA应通过结构化合作利用CERT-EU提供的技术和业务专门知识。这种结构化合作可以基于 ENISA 的专业知识,应酌情在两个实体之间作出专门安排,以确定这种合作的实际执行情况,避免活动重复。
为了提高欧盟的网络安全复原力,ENISA应发展基础设施网络安全领域的专门知识,特别是支持欧盟第2016/1148号指令附件二所列部门和供应商使用的部门,提供该指令附件三所列的咨询意见、发布指南和交流最佳做法的数字服务。
为了便于获得关于网络安全风险和可能解决方案的更有系统性的信息,ENISA 应开发和维护欧盟的"信息中心"。
这是一个向公众提供源自欧盟和国家机构、机关、办事处和机构的网络安全信息的门户网站,为获取更好的结构化信息提供了便利。网络安全风险和可能的补救办法也可帮助成员国增强其能力和协调其做法,从而提高其对网络攻击的总体复原力。
4. 增强公民网络安全意识
当下欧盟公民、组织和企业使用网络和信息系统的现象十分普遍,数字化和连接正在成为越来越多的产品和服务的核心特征,随着物联网的出现,连接的数量也越来越多。网络安全不仅是一个技术问题,而且是一个行动问题。
因此,应大力推广“网络卫生”,即通过普惠的日常教育、培训等方式,促进公民、组织等社会团体的网络安全意识提高,尽量减少他们受到网络威胁的风险。同时,大力发展网络安全和信息文化,营造良好的网络安全氛围,在日常生活中造福公民、消费者、企业和公共管理部门。
此外,鉴于ENISA协助制定和更新欧盟一级的网络和信息系统安全战略的需要,特别是在成员国一级网络安全需促进传播此类战略,并遵循其执行进展情况,它还应致力于满足培训和材料需求,并依据公民数字技能框架投入"培训员的培训",以协助成员国和机构、机构和欧盟机构在发展自主培训能力方面的工作。
ENISA 应帮助提高公众对网络安全风险的认识,包括通过促进教育,在整个欧盟开展提高认识运动,并针对公民、组织和企业的个人用户提供良好公关方面的指导。ENISA还应通过信息收集和分析,推广公民、组织和企业层面的最佳做法和解决方案,包括网络卫生和网络素养。公开有关重大事件的信息,并为公民、组织和企业编写和发布报告和指导,以提高他们整体的准备和恢复力水平。
此外,ENISA要促进高水平的网络安全意识,包括公民,组织和企业的网络卫生和网络扫盲。特别地,法案第十条对此做了具体规定:
提高公众对网络安全风险的认识,并为针对公民,组织和企业的个人用户提供良好做法指导,包括网络卫生和网络扫盲;
与成员国、欧盟机构、机关、办事处和相关行业开展合作,定期开展宣传活动,以增加网络安全及其在国际电联的知名度,并鼓励进行广泛的公众辩论;
协助成员国努力提高网络安全意识并促进网络安全教育;
支持成员国之间就网络安全意识和教育进行更密切的协调和交流最佳做法。
▌《网络安全法案》的特色制度设计
欧盟2019年《网络安全法案》的整体框架中,除重点制度的设计外,网络安全认证制度的建立是本法案的特色制度。为防止采用不同标准的成员国之间出现不必要的分歧,降低费用成本,针对网络安全认证制度框架做出了整体构建,同时还以附则的形式明确了合格评定机构的资格标准。
网络安全认证制度
一个通用的网络安全认证框架能够使得成员国更容易开发具有互操作性的产品,在具有高度分化节点的网络之间,可缩小安全差距,还可以增强欧盟范围内消费者对相关认证产品的信任度,进而鼓励智能设备的消费和使用。
欧盟2019年《网络安全法案》列出了最终确定网络安全认证框架所需要的基本要素:
第一,一项认证框架需要国家级的评估机构,以确保他们具备评估产品的技术能力;
第二,一项认证框架需要明确定义的评估标准和准则,以监控产品是否符合要求,再授予和更新网络安全认证。一项网络认证框架还要能够报告和处理以前未检测出的漏洞。
《网络安全法案》考虑到了实施认证系统的不同方法:例如私企针对预先发布的标准,对产品一致性进行自评,然后再由私企执行认证,但这一做法并不完善,因为自认证过程中可能会不够客观。
另一种方式是,ENISA和国家级监管机构执行一个端到端的认证过程,包括认证检查和差评测试。虽然这样比较客观,但是耗时费力,成本也更高,最终的方案可以是根据产品类型将两种方法以不同方式组合在一起使用。
当然,对于操作性网络安全认证框架的事项,还有许多问题包括欧盟委员会是否将出台通用的或专用的网络安全指南尚待追踪。由于不同产品和服务的网络安全需求不同,所以很难出台“一刀切”的标准。从国际角度讲,如何确定拟定的欧盟网络安全认证框架怎样和其他国家的标准共存也是需要进一步观察的重要问题。
合格评定机构的资格标准
统一的网络安全认证制度有利于在开展具体业务上消除分歧、促进协作,当然这仅仅是制度设计本身的问题,在实际操作的标准应用上,具体承担评估任务的认证机构对于制度规定的实施质量、执行效果起着举足轻重的作用。
评估机构自身的合法性、权威性和评估人员的专业化,决定着评估标准的实际执行效果和评估结果的可信度和说服力。
《网络安全法案》对评定机构的性质做了界定。
合格评定机构是根据国家法律设立的、具有法人资格、独立于其评估的组织或ICT产品、ICT服务或ICT流程之外的第三方机构。
如果属于代表参与设计、制造、供应、装配、使用或维护信息和通信技术产品的企业的商业协会或专业联合会的机构,它所评估的服务或信通技术流程可被视为符合资质评估机构,但须证明其独立性和不存在任何利益冲突。
如果合格评定机构是由公共实体或机构拥有或经营的,则应确保国家网络安全之间的独立性和无任何利益冲突。
合格评定机构、其高层管理人员和负责执行合格评定任务的人员需经评估的信通技术产品、信通技术服务或信通技术流程的购买者、所有人、用户或维护者,或其中任何一方的授权,且不得是设计人员、制造商、供应商、安装人员,且他们不得直接参与设计或制造。
合格评定机构及其工作人员开展合格评定活动,具有最高的专业诚信和技术能力,不受其他任何可能影响他们的判断或评估活动的外界压力、财务激励等干扰,尤其是对此类结果有相关关系的个人或群体。
此外,法案还对具体负责进行合格评定活动的人员标准做出了规定:
扎实的技术和专业培训,包括所有合格评定活动;
对他们所进行的合格评定的要求和进行这些评估的适当权力的要求有充足了解;
充分了解和理解适用的测试要求和标准;
能够起草证明已进行一致性评估的证书、记录和报告。
▌结语
欧盟2019年《网络安全法案》的出台适应当前数字化、信息化经济的高速发展,其对欧盟网络和信息安全署(ENISA)的职能定位和年限延长,有利于强化对数字单一市场中网络和信息系统安全的监管,保障经济在健康、能源、金融、运输等关键领域的有序增长,支持内部市场的良好运作。
该法案在结构上有前言部分的原则性概括、正文部分的详细性规定,以及附则部分对于构建网络安全认证制度的补充规定,具有全面性、严谨性、科学性。
在内容上不仅有对欧盟网络和信息安全署(ENISA)这一机构任务、目标等的详细规定,还包含跨境事件的联合处理、专业化和基础性服务建设、公民网络信息安全意识的教育和引导等方方面面,涵盖性广泛、涉及领域面宽;在层次上,既有对欧盟机关的职能认定,也有对相关机构、组织、企业的角色定位,还包括引导公民个体的广泛参与,具有多层次性、高纵深度的特点。
整体而言,本法案的最大亮点在于欧盟一级的网络安全认证框架的制度构建,既有利于统一标注,防止采用不同标准的成员国之间出现不必要的分歧,节省费用成本,还能够促进成员国开发具有互操作性的产品,在具有高度分化节点的网络之间缩小安全差距,增强欧盟范围内消费者对相关认证产品的信任度,促进欧盟“单一市场经济”的深度发展。
声明:本文来自腾云,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。