随着网络犯罪、网络间谍、网络盗窃甚至网络恐怖主义等威胁不断涌现，各国纷纷加大了网络安全治理和立法的力度。2016年7月，欧盟最终正式通过了“确保欧盟统一、高水平网络与信息系统安全之相关措施的指令”（Network and Information Security Directive，以下简称NIS指令）。该指令于2016年8月8日正式生效，将在之后的21个月转化为欧盟成员国的国内法。该指令是欧盟建立数字单一市场的重要举措之一，是欧盟层面第一部综合性网络安全立法。本文对该指令做一梳理分析，在此基础上提出完善我国网络安全法治的思考建议。

NIS指令所界定的“网络和信息系统安全”是指“在一定可信水平下，网络与信息系统抵抗破坏其所存储、传输、处理之数据或者相关服务的可用性、真实性、完整性或者保密性行为的能力。”该指令建立的欧盟网络安全法治框架包括以下内容：

一. 欧盟各国必须制定自身的网络与信息安全国家战略

NIS指令要求每个成员国都要制定自己的网络与信息系统安全国家战略（以下简称NIS国家战略），以实现和维护高水平的网络与信息系统安全。指令要求NIS国家战略应该包括以下内容：

（1）网络与信息系统安全国家战略的目标和重点任务；（2）达成这些目标和重点任务的治理框架，包括政府机构以及其他相关主体的角色和责任；（3）认定防范、应对以及恢复的相关措施，包括公共部门与私营部门之间的合作；（4）明确与NIS国家战略有关的教育、意识提升以及培训计划；（5）与NIS国家战略有关的研究与发展计划；（6）认定风险的风险评估计划；（7）实施NIS国家战略所涉主体的清单。

成员国应当确定一个或者多个主管机构来负责监督NIS指令在本国的实施，但应指定一个主管机构作为单一的“联络点”，负责联络其他成员国主管机构以及根据指令各国都必须建立的计算机安全事件响应团队（CSIRT）。和主管机构一样，成员国可以建立多个计算机安全事件响应团队。网络和信息系统安全的主管机构、联络机构和计算机安全事件响应团队需要共同协作来落实NIS指令规定的法律职责。

二. 增强欧盟各国之间的网络安全战略合作和跨境协作

为了便利欧盟成员国之间战略合作与信息共享、增进各国的互相信任，NIS指令要求建立一个网络安全协作体，该协作体由成员国代表、欧盟委员会和欧盟网络与信息安全局（ENISA）组成。协作体的主要职能在于：为计算机安全事件响应团队网络的活动提供指导，交流网络安全最佳实践和风险信息，讨论网络安全相关具体标准和技术细则等。每隔一年半，协作体应当完成一份报告，以评估战略合作中积累的经验。除了网络安全协作体之外，NIS指令还要求建立计算机安全事件响应团队网络，以增强欧盟各成员国在具体网络安全事件处置和网络安全风险信息交流等操作层面的合作。NIS指令不仅建立了成员国之间的合作框架，还鼓励欧盟与其他国家或者国际组织达成国际协议，允许和组织这些国家或者国际组织参与欧盟网络安全协作体的部分活动。但是此种国际协议应该考虑确保数据得到充分保护的必要。

三. 建立计算机安全事件响应团队并建立欧盟合作网络

NIS指令要求建立计算机安全事件响应团队网络，由各国计算机安全事件响应团队的代表和欧盟计算机应急响应团队（CERT-EU）构成。各国计算机安全事件响应团队的职责在于：监测全国范围的网络安全事件，向相关利益方提供网络安全风险和事件预警、警报、通知和信息传播，应对网络安全事件，提供动态的风险事件分析和态势感知，参与欧盟层面的计算机安全事件响应团队网络。

在各国响应团队基础上建立起来的欧盟计算机安全事件响应团队网络，其职责在于网络安全事件信息交换、为成员国处置跨境安全事件提供支持、探索和认定进一步业务合作的形式等。每隔一年半，欧盟计算机安全事件响应团队网络应当向协作体提交一份报告，以评估业务合作中积累的经验。

四. 区分基本服务运营者和数字服务提供者分别予以监管

NIS指令除了在成员国层面提出网络安全具体要求之外，还将纳入监管的数字市场主体分为“基本服务运营者”和“数字服务提供者”两类，分别赋予不同的监管义务。所谓的“基本服务运营者”（operators of essential services）是指“提供维续关键社会活动和／或经济活动基本服务的主体，这种服务的提供依赖于网络和信息系统，网络安全事件会对服务的提供造成重大的破坏性影响。”所谓的“数字服务提供者”包括在线市场、 在线搜索引擎、云计算服务的提供者。

基本服务运营者是指运营重点为下列领域的公共或私营主体：能源（电力、石油及天然气）；运输（陆运、铁路、航空及水运）；银行；金融市场基础设施；医疗卫生领域（公共及私人）；饮用水供应及分配；数字基础设施（互联网交换点，域名系统（DNS）服务提供商及顶级域名注册）。

根据NIS指令的规定，基本服务运营者和数字服务提供者都应履行以下义务：一是应当采取适当的和成比例的技术和组织措施来管理网络安全风险，鉴于技术水平现状，这些措施应当确保一定程度的安全并且对于所面临的风险是适当的；二是应当采取适当的措施防止和最小化网络安全事件的影响，以确保这些服务的持续性；三是应当向主管机构或计算机安全事件响应团队及时报告具有较大影响的网络安全事件。

但NIS指令对基本服务运营者和数字服务提供者规定了不同的程度的义务要求和责任要求，相对而言对数字服务提供者施以“轻监管”。比如判断数字服务提供者是否履行网络安全风险管理义务，应考虑以下因素：系统和设施的安全、安全事件处置、业务持续性管理、监查测试以及国际标准遵循。

五. 针对不同主体建立不同程度的网络安全事件报告制度

NIS指令对于基本服务运营者和数字服务提供者规定了不同程度的网络安全事件报告制度。对于基本服务运营者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务持续性具有重大影响的”网络安全事件，此时判断网络安全事件是否造成重大影响应考虑以下因素：（1）受影响的用户数量；（2）该事件的持续时间；（3）该事件所影响区域的地理范围。

对于数字服务提供者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务提供具有实质影响的”网络安全事件，此时判断网络安全事件是否造成实质影响应考虑以下因素：（1）受影响的用户数量；（2）该事件的持续时间；（3）该事件所影响区域的地理范围；（4）对所提供的服务运行的破坏程度；（5）对经济和社会活动的影响程度。同样是贯彻“轻监管”的思路，NIS指令明确规定成员国不得对数字服务提供者施加其他更严格的安全或通知要求。

为了鼓励基本服务运营者和数字服务提供者报告网络安全事件的积极性，NIS指令明确规定不得加重报告主体的法律责任。除了网络安全事件信息之外，主管部门为了监督法律义务的履行，可以要求基本服务运营者和数字服务提供者提供用于评估网络安全的相关信息或证据。

此外，对于没有被认定为基本服务运营者和数字服务提供者的其他主体，可以在自愿的基础上向主管部门报告重大网络安全事件。各成员国建立的自愿报告制度，不得使自愿报告主体因报告行为而处于任何不利地位。

六. 鼓励产业发展尤其是将小微企业排除在监管范围之外

近些年来欧盟一直积极鼓励相关领域小微中企业的发展，NIS指令继续坚持了确保网络安全和鼓励产业发展相平衡的原则。NIS指令实际上并没有对纳入监管范围的主体施加强制性的网络安全标准，考虑到指令规定被监管者的义务是“采取适当的和成比例的技术和组织措施来管理网络安全风险”，具体实施的监管标准往往是依靠网络安全行业最佳实践来确定。为了鼓励小微企业的发展，NIS指令明确规定对于数字服务提供者的网络和信息系统安全监管义务不适用小微企业。

需要指出的是，欧盟网络安全立法注意了不同法律规范的职能分工和统筹安排，对于个人数据保护、电子商务、一般的网络犯罪等内容也都由相应的欧盟指令予以规制，并不适用NIS指令的规定。

没有什么能阻挡对原创的赞赏