快讯 | 欧盟发布《关于在欧盟范围内提高网络安全共同水平的措施指令》的提案
2020年12月16日,欧盟发布了《关于在欧盟范围内提高网络安全共同水平的措施指令》的提案(以下简称提案)。该提案是欧盟一揽子网络安全最新措施的一部分,旨在进一步提高公共和私营实体、主管当局和整个联盟在网络安全和关键基础设施保护领域的应变能力和事件响应能力。提案认为,这符合欧盟委员会的优先任务,即让欧洲适应数字时代,建立一个面向未来、为欧盟公民服务的经济。网络安全是欧盟委员会应对COVID-19危机的优先事项,提案中包括一项新的网络安全战略,旨在加强欧盟的战略自主权,提高其弹性和集体反应能力,并建立一个开放的全球互联网。最后,提案中的方案还包括一项关于关键运营商基本服务弹性的指令,旨在减轻对这些运营商的物理威胁。
提案还废除了关于网络和信息系统安全的指令(EU) 2016/1148 (NIS指令),NIS指令曾是欧盟范围内第一个关于网络安全的立法,并提供了法律措施以提高欧盟网络安全的整体水平。欧盟委员会认为,NIS指令的实施暴露了某些规定或方法的固有缺陷和局限性,如指令的范围界定不明确,导致欧盟在成员国层面实际干预的程度和深度存在重大差异。此外,自COVID-19危机以来,面对欧盟市场不断增强的数字化和不断演变的网络安全威胁,NIS指令无法发挥其全部潜力。
提案改进了NIS指令中的网络安全框架,增加了欧盟的网络安全弹性。它围绕几个相互关联的主要政策领域构建网络安全体系、提高了欧盟的网络安全水平,主要内容包括:
第1条—第2条
标的及范围
主要规定:(a)成员国有义务采取国家网络安全战略,指定主管国家机构、单一联络点和网络安全事件响应小组;(b)会员国应履行一定的网络安全风险管理和报告义务;(c)规定成员国应就网络安全信息共享规定义务。
第3条—第4条
会员国的协调和定义
规定了在不损害其在欧盟法律下的其他义务的情况下,各会员国可根据本指令通过或确保更高水平网络安全。
第5条—第11条
国家网络安全框架
主要规定,成员国须通过国家网络安全战略,确定战略目标及适当的政策和监管措施,以实现和维持高水平的网络安全。
第12条—第16条
合作
该指令设立了一个合作小组,以支持和促进成员国之间的战略合作和信息交流,并建立信任和信心。它还建立了一个网络安全事件响应小组间的网络、成立欧洲网络危机联络组织网络(EU - CyCLONe),以支持大规模网络安全事件和危机的协调管理,促进成员国之间的信心和信任的发展,促进迅速和有效的业务合作。
第17条—第23条
网络安全风险管理和报告义务
该指令要求成员国规定范围内,所有实体的管理机构批准各自实体采取的网络安全风险管理措施,并遵守特定的网络安全相关培训。规定成员国应确保在该范围内的实体采取适当和相称的技术和组织措施,管理对网络和信息系统安全构成的网络安全风险。它们还应确保国内实体将对其提供的服务产生重大影响的任何网络安全事件,通知国家主管机构或网络安全事件响应小组。
第24条—第25条
管辖和登记
一般来说,重要实体在提供服务时应归成员国管辖。然而,某些类型的实体(DNS服务提供商,TLD名字注册,云计算服务提供商,数据中心服务提供商和内容分发网络提供商,以及某些数字提供者)被视为受其在欧盟主要机构所在成员国的管辖,确保这些实体在提供服务时不会面临大量不同的法律要求,因为它们提供的跨境服务特别多。
第26条—第27条
信息共享
规定成员国应在特定网络安全信息共享安排框架内提供规则,使实体能够参与网络安全相关信息共享。此外,成员国应允许本指令范围以外的实体在自愿基础上报告重大事件、网络威胁或险些发生的事件。
第28条—第34条
监督执行
规定主管机构必须对指令范围内的实体进行监督,特别是确保它们遵守安全和事件通知要求。它区分了对基本实体的事前监督制度和对重要实体的事后监督制度,后者要求主管机构在有证据或迹象表明重要实体不符合安全和事件通知要求时采取行动。
“苏州信息安全法学所”