苏苗罕 覃新元 编译 [1]
2022年3月22日,欧盟委员会提出《网络安全条例》(Cybersecurity Regulation)和《信息安全条例》(Information Security Regulation)的草案。该提案的目的在于保障欧盟组织机构(the EU institutions, bodies, offices and agencies)之间公共网络安全和信息安全,增强欧盟在面对网络威胁和突发事件时的适应能力和应对能力,保证在全球恶意网络活动不断增加的背景下,欧盟公共管理是弹性且安全的。
欧盟委员会在2021年3月的决议中强调,为保护所有欧盟人员、数据、通信网络、信息系统和决策程序,应当构建强大且协同一致的安全框架,而只有通过增强欧盟各组织机构间的适应能力、完善安全文化才能实现该目标。
面对新冠病毒和日益严峻的地缘政治的挑战,欧盟委员会认为必须构建联合的方式保障网络安全和信息安全。通过确立共同的优先事项(common priorities)[2]和框架,《网络安全条例》和《信息安全条例》将进一步加强欧盟组织机构之间的合作,减少风险暴露,强化欧盟的安全文化(security culture)[3]。
欧盟委员会负责预算和行政管理事务的专员(Commissioner for Budget and Administration)Johannes Hahn认为,“在互联的环境中,单一的网络安全突发事故就可能影响整个组织,因此构建一套有力的保障体系以应对可能扰乱欧盟应对能力的网络威胁和突发事件十分重要。今天提出的两部条例草案是欧盟网络安全和信息安全领域的里程碑,其以欧盟各组织机构之间相互合作、协调应对为基础,是欧盟共同努力的结果。”
《网络安全条例》
继《欧盟安全联盟战略》(the EU Security Union Strategy)[4]和《欧盟网络安全战略》(the EU Cybersecurity Strategy)[5]之后,《网络安全条例》将确保欧盟已有的网络安全政策与欧盟立法保持一致:
(1)欧盟委员会2020年12月提出的《网络和信息安全指令》(NIS Direvtive)[6]和《第二版网络和信息安全指令》(NIS 2)[7]
(2)网络安全法(The Cybersecurity Act)[8]
(3)欧盟委员会关于建立联合网络机构的建议(Joint Cyber Unit)[9]。该建议计划再2022年6月30日前达成初步设立联合网络机构并开始运营的目标,在2023年6月30日前实现机构正式运作。欧盟网络安全局(ENISA)将作为该机构筹备阶段的秘书处,同时将该机构初步设置在靠近欧盟计算机应急组织(Computer Emergency Response Team,缩写CERT-EU)位于布鲁塞尔的办公室附近,以促进两家机构的合作。
(4)欧盟委员会关于协调应对大规模网络安全事件和危机的建议(Commission Recommendationon coordinated response to large-scale cybersecurity incidents and crises)[10]。
《网络安全条例》草案规定了在网络安全领域内进行治理、风险管理和控制的框架。主要内容如下:
一是延长欧盟计算机应急小组(Computer Emergency Response Team,缩写CERT-EU)的任期,为其提供其所需要的资源。CERT-EU是欧盟威胁情报(threat intelligence)、信息交流和突发事故的协同应对中心、中央咨询机构、服务提供者。
二是要求所有的欧盟组织机构在网络安全领域制定治理、风险管理和控制的框架;针对已识别的风险划定网络安全措施的基线[11];定期展开成熟度评估(maturity assessments)[12];经由领导层同意,推出保障网络安全的工作计划;与CERT-EU共享与突发事故有关的信息,不得无故拖延。
三是设立跨部门的网络安全委员会(Cybersecurity Board)负责推动和监管本条例的实施,并指导CERT-EU的工作。条例规定设立机构间的网络安全委员会,提升网络安全能力,推动定期成熟度评估,改进网络卫生(cyber-hygiene)。
《信息安全条例》
考虑到欧盟各组织机构处理的敏感非定密信息和欧盟敏感信息的数量不断增加,《信息安全条例》提案的目的在于通过简化不同欧盟组织机构的立法框架,加强对信息的保护。
《信息安全条例》将为所有欧盟机构创建了一套最低限度的信息安全规则和标准,通过强化、统一的保护保障其信息免受不断演变的威胁。这些新规将为欧盟组织机构基于标准化的实践和措施开展信息交流安全提供稳定的依据。
《信息安全条例》提案的内容与以下文件保持一致:
(1)《欧盟安全联盟战略》(The EU Security Union Strategy),其主要内容包括欧盟做出的一项全面的承诺,即补足成员国在所有安全领域的工作;
(2)欧盟委员会于2019年6月通过《2019-2024战略议程》(the Strategic Agenda for 2019-2024)[13],其主要特征是保护社会免受不断演变的、以欧盟各机构处理的信息为直接对象的威胁;
(3)欧洲理事会常务会议(the General Affairs Council)2019年12月发表的研究结论(the Conclusions of the General Affairs Council)[14],其中号召欧盟各组织机构在成员国的支持下制定实施一套完整的保障安全的措施。
《信息安全条例》提案的主要内容:
一是建立有效的治理系统以增强各欧盟组织机构之间的协作,即机构间的信息安全协作小组(Information Security Coordination Group);
二是构建以信息机密性(confidentiality)为划分标准的信息分类机制;
三是实现信息安全政策现代化,将数字化转型和远程工作内容涵盖在信息安全政策中;
四是简化现行措施,提高相关系统和设备之间的兼容性。
[1]同济大学法学院硕士研究生,上海市人工智能社会治理协同创新中心研究助理。苏苗罕,同济大学法学院副教授,上海市人工智能社会治理协同创新中心研究员。本文主要基于下列报道进行编译整理:New rules to boost cybersecurity and information security in EU institutions, bodies, offices and agencies,https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1866。
[2]欧盟委员会设定的优先事项为促使欧洲适应数字时代的发展,建立面向未来的有益于人民的数字经济秩序,确保社会数字化转型过程中公共管理的弹性和安全性。
[3]安全文化,即维护网络安全的日常实践,是网络安全基线的重要组成部分。
[4]https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020DC0605&from=ES。
[5]https://ec.europa.eu/commission/presscorner/detail/en/IP_20_2391。
[6]Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32016L1148.
[7]2019年3月12日,欧洲议会作出决议,呼吁欧盟委员会研究扩大NIS Directive的适用范围,将其他关键部门和服务纳入调整范围。European Parliament resolution of 12 March 2019 on security threats connected with the rising Chinese technological presence in the EU and possible action on the EU level to reduce them (2019/2575(RSP))。2020年12月16日,欧盟委员会提出NIS 2的提案,计划取代NIS Directive,以便要求更多的实体和部分采取措施,提高网络安全水平。https://digital-strategy.ec.europa.eu/en/library/proposal-directive-measures-high-common-level-cybersecurity-across-union. 欧洲议会和欧洲理事会已就NIS 2提出初步立场(initial position),接下来将要进行的是欧盟机构间的协商程序。
[8]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (Text with EEA relevance),https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32019R0881。
[9]Commission Recommendation (EU) 2021/1086 of 23 June 2021 on building a Joint Cyber Unit,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021H1086。
[10]https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32017H1584。
[11]网络安全基线,是指由于欧盟各组织机构之间的治理水平、网络安全、整体能力和成熟度差异较大,为使网络安全风险最小化,设定网络和信息系统及其运营商和用户需要遵守的最低限度的网络安全规则,保证所有组织机构的网络安全共同达到更高的水平。
[12]成熟度评估,是指评估对象为欧盟组织机构的整个IT环境,包括企业内部IT环境、云计算环境中被外包的资产和设备、移动设备、公司网络、未接入互联网的业务网络和与IT环境有关的所有设备。
[13]https://www.consilium.europa.eu/media/39922/20-21-euco-final-conclusions-en.pdf。
[14]该结论文件参见https://data.consilium.europa.eu/doc/document/ST-14972-2019-INIT/en/pdf。欧洲理事会一般事务委员会(the General Affairs Council)是欧洲理事会每月召开一次的会议机制,出席者是欧盟各成员国的外交部长,负责欧盟事务的部长也可以根据讨论议题参与会议。该委员会负责为欧盟峰会做筹备工作,讨论的事项往往是涉及欧盟多个政策领域,例如有关欧盟东扩(EU enlargement)的谈判,欧盟7年预算计划(the EU's 7 year budget plan)等事务。
