Guidelines On Generative Artificial Intelligence and Personal Data for EU Institutions, Bodies, Offices and Agencies

主要内容概览

6月25日欧盟理事会发布。《蓝图》的关基协调制度包括:一是明确了关基协调制度的适用条件:对六个或更多成员国提供基本服务造成重大破坏性影响;对两个或两个以上成员国提供基本服务造成重大破坏性影响,且具有广泛且重大的技术或政治相关性影响。二是明确了关基协调制度的参与者,包括欧盟成员国、欧盟理事会、欧盟委员会、欧盟对外行动署、欧洲刑警组织等;三是明确其信息交流和协调响应机制,包括信息共享、与其他欧盟危机和应急机制协调、交流公共沟通方法、编写事件报告、提供技术支持等行动措施。

网安罗盘简评

欧盟此前发布的《关键设施韧性指令》、《NIS 2指令》对关键基础设施的范围和分类分级做出了初步明确,而《蓝图》的发布,则是欧盟在关键基础设施领域加强一体化进程的又一重要动作。

欧盟关基政策法规情况

1

《数字运营弹性法案》(The Digital Operational Resilience Act),2022年12月27日生效,针对金融领域中的关基实体提出对网络安全措施的具体内容,明确风险事件管理和报告要求。

2

《关键设施韧性指令》(Directive on the resilience of critical entities),2022年12月27日生效,明确欧盟地区的关基领域涉及的 11 个领域,确定识别关基实体的考虑因素和安全义务。

3

《关于在整个欧盟全境实现高度统一网络安全措施的指令》(The Directive on Security of Network and Information Systems),2023年1月16日生效。阐述了实现整个欧盟网络安全高通用水平的措施,旨在进一步提高公共和私营部门以及整个欧盟的网络复原力和事件应对能力。

3

《防止关键基础设施跨境破坏事件规划蓝图》(Recommendation

On A Blueprint To Coordinate A Union-Level Response To Disruptions Of Critical Infrastructure With Significant Cross-Border Relevance),2022年12月27日生效,

提供规划路线图,以协调对欧盟具有重大影响的跨境关键基础设施中断应对。

3

《网络弹性法案》(The Cyber Resilience Act),2024年3月12日,欧洲议会通过,强调关基中数字产品的网络安全。

《蓝图》旨在完善欧盟关键基础设施的协调制度,包含两大要点。一是信息共享,具体举措包括:通过单独联络点进行信息共享和通报、组织召开关键实体小组专家会议、提交综合态势感知和分析报告等。二是协调机制,具体举措包括:启动联盟危机协调机制(如:快速警戒系统机制(ARGUS)、综合政策威胁响应机制(IPCR)、欧盟-北约恢复结构性对话会议等)、健全公共沟通、强化事件情况通报等。

欧盟在关键基础设施保护方面,与美国相比有许多差异,较为显著的有以下几个方面。

一是范围差异。欧盟发布的《关键设施韧性指令》(2023年7月25日),明确了11个关键实体部门(如下表),《NIS 2指令》根据实体规模大小和重要程度,列出基本实体和重要实体清单,进行分类分级管理。而美国最新发布的《关于关键基础设施安全和弹性的国家安全备忘录》(以下简称《备忘录》),确定的关基范围为16个(如下表)。

国家或地区

关键实体范围

欧盟

能源、交通、银行、金融市场基础设施、卫生、饮用水、废水、数字基础设施、公共行政、空间、食品

美国

化工、商业设施、通信、关键制造业、水坝、国防工业设施、应急服务、能源、金融服务、农业食品、政府服务和设施、医疗保健和公共卫生、信息技术、核反应堆及材料和废物、交通运输、供水和废水处理

二是管理机制差异。欧盟侧重于建立协调合作机制,如设立欧洲网络危机联络组织网络(EU-CyCLONe)、关键实体恢复小组、计算机安全事件响应小组等。美国则重在建设形成自上而下、权责明确的关键基础设施管理体系,关基工作主要由国土安全部(DHS)及其下网络安全和基础设施安全局(CISA)总体统筹。

三是实施机制的差异。欧、美在关键基础设施安全保护实施上的不同,主要体现在问责、信息共享和协调、风险管理等方面。在问责机制方面。欧盟建立了实体分级分类管理制度,针对不同类别的实体提出不同的义务要求;而美国则明确了分部门、分行业的最低安全规则,建立最低保护要求和问责机制。在信息共享和协调方面。欧盟由于其联盟性质,更侧重于成员国之间的信息共享,而美国则强调政府主导下的公私合作和协同防御。在风险管理方面。欧盟实行以风险管理为基础的网络安全治理策略,而美国则更注重关基风险管理生态的构建,从政府视角协助关键基础设施所有者和运营者开展网络安全风险管理活动,也更重视网络安全防御实践能力的落地指导,发布系列规范指南等提升安全实操能力。

原文链接:

https://www.consilium.europa.eu/en/press/press-releases/2024/06/25/critical-infrastructure-blueprint-for-protecting-eu-citizens-and-the-internal-market/

声明:本文来自网络安全罗盘,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。