中德两国在识别关键信息基础设施方面的一点比较
2015年7月25日,德国的“网络安全法”IT Security Act正式生效。和我国的《网络安全法》一样,该法案对关键基础设施的安全保护做出了规定。2016年5月3日,德国联邦内政部发布了一项法令,用于识别能源、信息技术和通信、水和食品领域的关键基础设施。2017年6月30日,另一项用于识别健康、金融和保险、运输和交通领域关键信息基础设施的法令开始生效。
2017年7月11日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,并对关键信息基础设施的范围做出了规定。因此,这篇小文就中德两国在识别关键信息基础设施方面做一点粗浅的比较。
中国
《关键信息基础设施安全保护条例(征求意见稿)》的规定见下图
同时,《关键信息基础设施安全保护条例(征求意见稿)》第19条规定,国家网信部门将会同国务院电信主管部门、公安部门等部门制定《关键信息基础设施识别指南》。而根据中央网络安全和信息化领导小组办公室于2016年6月编制的《国家网络安全检查操作指南》来看,识别关键信息基础设施主要分三步:一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
【注:本部分参考了陈际红老师的中伦观点 |《关键信息基础设施安全保护条例(征求意见稿)》解读】
德国
德国IT Security Act是这么定义关键基础设施的:A critical infrastructure is any facility, installation or part thereof which isof great importance to the public because a breakdown or impairment thereof would result in significant supply shortages for a significant number of users。从这个定义来看,与我国的“可能严重危害国家安全、国计民生、公共利益”稍微不同,德国将关键基础设施定义为,“对公众至关重要”,且一旦“崩溃或受损”,将导致“对大量用户造成显著的供应短缺”。
在识别关键信息基础设施方面,德国内政部也是提出了三步走的策略:第一步,分行业、领域确定关键业务。第二步,识别对关键业务来说必需的支撑设施类型(facility categories)。对于设施,法令是这么规定的:“operating plants and other stationary facilities or machinery, equipment and other stationary technical facilities which are required to provide the critical service”。第三步:法令分行业就关键业务和支撑设施类型设立临界值(threshold values)。例如,对临床医疗领域,临界值是每年接受的住院病人数量。
以下是2016年关于能源、信息技术和通信、水和食品领域的关键业务和支撑设施类型
以下是2017年关于健康、金融和保险、运输和交通领域的关键业务和支撑设施类型
所以,总的来说,中德两国在关键信息基础设施的认定方法上非常接近。