文| 贾宝国 信通院互联网法律研究中心研究员

2022年3月,欧盟委员会发布《网络安全条例》提案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT ANDE OF THE COUNCIL laying down measures for a high level of cybersecurity at the institutions,bosies,officers and agencies of the Union,以下简称《条例》),旨在增强欧盟相关机构抵御网络威胁和事件的响应能力,推动构建欧盟网络安全治理、风险管理和控制的法律框架。该条例共六章25条,从提高网络安全水平、完善机构职能及其运作规则、明确应对风险的合作与报告义务等方面提出要求,相关经验对我国完善网络安全立法具有一定的借鉴意义。

一、《条例》主要内容

(一)一般规定

该部分就《条例》的适用范围及相关术语定义进行了明确。适用范围方面,条例适用于所有欧盟机构、团体和办事处对网络安全风险的管理、治理和控制,以及网络安全中心(CERT-EU) 、机构间网络安全委员会(IICB)的组织和运作。术语界定方面,对条例涉及的16个术语进行了界定,如,“欧盟机构、团体和办事处”是指由《欧盟条约》《欧盟运作条约》或《建立欧洲原子能共同体条约》设立或基于该条约设立的欧盟机构、团体和办事处;“网络安全风险”是指对网络和信息系统的安全具有潜在不利影响的、可识别的情况或事件;“网络安全基准”是指网络和信息系统及其运营商、用户必须遵守的最低网络安全规则等。

(二)明确提高网络安全水平的措施

该部分为《条例》的核心内容,从建立风险管理、治理和控制框架、划定网络安全基准、开展成熟度评估、制定网络安全计划四方面,明确了对欧盟机构、团体和办事处提高网络安全水平的具体措施。

一是建立网络安全管理框架。《条例》规定,欧盟机构、团体和办事处应建立内部网络安全风险管理、治理和控制框架,并要求由最高管理层监督,以确保对所有网络安全风险进行有效、谨慎管理。时限方面,框架形成的截止日期为条例生效后15个月。内容方面,框架应涵盖整体的IT环境,包括:内部IT环境、云计算环境或由第三方托管的外包资产和服务、移动设备、企业网络等。此外,《条例》要求框架应考虑业务连续性和危机管理、供应链安全管理等。保障措施方面,《条例》要求欧盟机构、团体和办事处应建立有效机制,以确保IT预算中有足够比例用于网络安全。此外,应任命一名网络安全官员或同等职能部门。

二是划定网络安全基准。《条例》规定,欧盟机构、团体和办事处的最高管理层应批准划定内部网络安全基准,并明确基准形成的截止日期为条例生效后18个月。

三是开展网络安全成熟度评估。《条例》规定欧盟机构、团体和办事处应至少每三年进行一次网络安全成熟度评估,评估内容应包括其IT环境的所有要素。同时,需考虑CERT-EU发布的指导文件和建议中所包含的内容。

四是制定网络安全计划。《条例》规定欧盟机构、团体和办事处的最高管理层应根据成熟度评估结果,考虑CERT-EU发布的指导文件和建议,制定网络安全计划,并至少三年内修订一次。内容方面,《条例》规定了网络安全计划应当涵盖的事项,如,网络安全政策,包括网络和信息系统安全的目标和优先事项,特别是关于使用云计算服务和实现远程办公的技术安排;负责网络安全组织的角色及其职责;资产管理、访问控制、系统开发和维护、供应商关系、网络安全教育和培训计划等。措施方面,《条例》规定应明确相关举措,如,通过安全模型、协调网络安全和系统管理的策略等搭建更加信任的架构;采用多因素身份验证作为跨网络和信息系统的规范;通过安全软件开发和评估标准建立软件供应链安全;加强采购规则,消除限制IT服务提供商与CERT-EU共享有关事件、漏洞和网络威胁信息的合同障碍,以及与事件准备、响应和恢复相关的措施等。此外,《条例》规定网络安全计划应明确工作人员在具体实施中的角色和责任。

五是评估及报告。欧盟机构、团体和办事处完成成熟度评估后,应将其提交给IICB;网络安全计划完成后,应将完成情况通知IICB。

(三)机构间网络安全委员会及其职责

《条例》提出新设立一个监管部门—机构间网络安全委员会(IICB),推动和监督该条例的实施、指导CERT-EU的工作,并对其职责和组织架构进行了明确。

一是基本职责。IICB负责监督欧盟机构、团体和办事处执行本条例的情况;批准 CERT-EU的年度工作计划并监督其实施;批准CERT-EU活动的收支年度财务规划及人员配备;向CERT-EU提供战略指导等。此外,对未遵守《条例》的,IICB可发出警告,必要时可适当限制被警告的对象。

二是组织架构。《条例》对IICB的成员组成、成员任期、议事规则等作出了规定。包括:IICB设主席一名,任期四年;应CERT-EU的请求或其任何成员的请求,IICB应在其主席的倡议下召开会议;每个成员有一票表决权,除另有规定外,IICB的决定以少数服从多数的原则作出等。

(四)网络安全中心及其职责

CERT-EU通过向欧盟机构、团体和办事处提供网络安全方面的建议,帮助预防、检测、减轻和响应事件,并充当网络安全信息交换和事件响应的协调中心。《条例》根据成员国和全球的发展,将CERT-EU的名称从“计算机应急小组” 改为“网络安全中心”,但保留CERT-EU简称 ,并对CERT-EU的基本职责、应发布的指导文件、对外合作等事项进行了明确。

一是基本职责。CERT-EU的任务包括:支持该条例的实施;向欧盟机构、团体和办事处报告其面临的网络威胁,并为欧盟的网络态势感知做出贡献;就与机构、团体和办事处有关的案件进行技术层面的准备、事故协调、信息交流和危机应对;与欧盟网络安全局就网络威胁的能力建设、运营合作和长期战略分析开展合作等。

二是应发布的指导文件。《条例》规定CERT-EU应通过发布以下文件支持条例的实施,文件类型方面,包括:呼吁采取行动,说明敦促联盟机构、团体和办事处在规定时间内采取的紧急安全措施;向IICB提交的针对所有或部分欧盟机构、团体和办事处的指导文件提案;向IICB提交的针对单个联盟机构、团体和办事处的建议。文件内容方面,包括:网络安全风险管理和网络安全基准的模式或改进;成熟度评估和网络安全计划的模式;在适当的情况下,使用通用技术、架构和最佳实践实现互操作性和通用标准。此外,《条例》规定,IICB可指示CERT-EU发布、撤回或修改指导文件或建议提案。

三是报告义务。CERT-EU负责人应定期向IICB和IICB 主席报告以下事项,包括:CERT-EU的绩效、财务规划、收入、预算执行、签订的书面协议、与同行和合作伙伴的合作、工作人员执行的任务等。

四是对外合作。《条例》从两个方面规定了CERT-EU对外合作的要求。与欧盟成员国合作方面,应就网络威胁、漏洞和事件,可能的对策以及改善对欧盟机构、团体和办事处IT环境相关的事项,与欧盟成员国对应机构进行合作和信息交换。与非欧盟成员国合作方面,CERT-EU可以与非欧盟成员国对应机构合作,包括特定行业的对应机构在技术、策略、程序和最佳实践以及应对网络威胁和漏洞方面的合作。对于与此类对应机构的合作,CERT-EU应事先获得IICB的批准。此外,对于CERT-EU可能与商业实体、国际组织、非欧盟国家实体或个人专 家等其他合作伙伴开展的合作,《条例》同样规定了应事先获得IICB的批准。

(五)合作与报告义务

该部分就各实体间进行网络安全信息共享、履行重大风险通知义务以及响应协调进行了规定。

一是信息共享。为了协调漏洞管理和事件响应,《条例》规定CERT-EU可要求欧盟机构、团体和办事处向其提供各自IT系统清单中的相关信息,被请求对象应及时发送所请求的信息及其后续更新。CERT-EU只能在受事件影响的实体同意的情况下,交换能够揭示网络安全事件目标身份的特定信息。同时,《条例》明确信息共享不应延伸至欧盟机密信息,以及欧盟机构、团体和办事处在明确不与CERT-EU共享的条件下从成员国安全或情报机构、执法机构收到的信息。

二是通知义务。《条例》规定所有欧盟机构、团体和办事处在发现重大网络威胁、重大漏洞和重大事件时,应立即通知CERT-EU,除有正当理由并与CERT-EU沟通的情况下不得迟于意识到这些威胁后24小时。在此基础上,为实现检测、事件响应或采取缓解措施,《条例》要求在履行通知义务后,欧盟机构、团体和办事处应立即向CERT-EU进一步通知网络威胁、漏洞和事件的适当技术细节。此外,CERT-EU 应每月向欧盟网络安全局提交一份摘要报告,其中应包括重大网络威胁、重大漏洞和重大事件的匿名和汇总数据。同样,《条例》明确通知义务不应延伸至机密信息,以及欧盟机构、团体和办事处在明确不与CERT-EU共享的条件下从成员国安全或情报机构、执法机构收到的信息。

三是重大事件响应协调。《条例》规定,作为网络安全信息交流和事件响应协调中心,CERT-EU应促进各实体之间在重大事件响应方面的协调,如,推动持续的外部沟通、 优化使用业务资源、保存一份应对安全事件所需的技术专业知识清单、与欧盟其他危机应对机制进行协调等。若怀疑事件具有犯罪性质,CERT-EU应就如何向执法机构报告提供建议。此外,《条例》规定IICB应就重大事件的响应协调与合作发布指南。

(六)《条例》实施情况审查

为确保各项制度落地实施,《条例》规定应定期对实施情况进行报告、开展评估。

一是IICB的报告义务。《条例》规定,在CERT-EU的协助下,IICB应定期向欧盟委员会报告本条例的实施情况,IICB也可以向委员会提出对该条例的修订建议。

二是欧盟委员会报告、评估义务。委员会应在本条例生效后,最迟48个月及此后每三年向欧洲议会和理事会报告本条例的实施情况。欧盟委员会应评估本条例的执行情况,并在生效之日起五年内向欧洲议会、理事会、欧洲经济和社会委员会和地区委员会报告。

二、对我国的启示

随着国内外网络安全形势的变化,未来,我国需适时对《网络安全法》进行修订,并建立健全网络安全管理相关配套制度,欧盟《条例》或对我有如下启示:

一是加强实施效果评估。欧盟《条例》在建立相关制度的同时,设立了严格的评估报告义务,并对具体时限、报告内容等进行了详细规定。法律的生命力在于实施。为确保各项制度切实落地,我国应健全完善《网络安全法》实施效果评估的相关规定,及时评估制度的执行情况及各类主体履行义务的情况。

二是细化统筹机构的职责。目前,《网络安全法》明确了国家网信部门负责统筹协调网络安全工作和相关监督管理工作,但并没有规定其具体负责事项。为促进更好地发挥统筹协调作用,强化监管效能,建议进一步细化网信部门的职责。此外,还应当对地方网信部门在网络安全监管方面的职责作出明确规定。

三是完善公共部门的网络安全管理要求。政府部门以及履行公共事务管理职能的机构是网络安全管理的重中之重,可参考欧盟《条例》的规定,进一步明确公共部门在网络安全方面的基本要求。如,明确网络安全负责人、建立网络安全管理框架、划定网络安全基准、开展网络安全成熟度评估、制定网络安全计划等。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。