歐盟政策制定者就《網絡彈性法案》已達成一致

歐盟政策制定者于11月30日達成了關于《網絡彈性法案》的政治協議，彌合了在最后幾個懸而未決問題上的分歧。

《網絡彈性法案》是一項立法提案，為從智能玩具到工業機械等各類聯網設備引入安全要求。歐盟委員會、歐洲議會和歐盟理事會通過“三方對話”會議最終敲定這一法案。下一步需要歐洲議會和歐盟理事會正式通過，才能成為法律。

該協議此前在技術層面上已經基本敲定，提案的許多方面在政治會議期間得到認可。歐盟談判代表經過激烈討論之后解決了最后的政治障礙。

牽頭此事的歐洲議會議員Nicola Danti表示，“《網絡彈性法案》將加強聯網產品的網絡安全，解決硬件和軟件中的漏洞問題，讓歐洲大陸更安全、更有彈性。歐洲議會已經立法保護供應鏈，并將保護路由器、殺毒軟件等關鍵產品列為網絡安全優先事項。”

漏洞處理機制

法案規定，如果制造商知道聯網設備存在可能被黑客利用的重大漏洞，不得將此類產品投放市場。一旦發現這些潛在入口，在產品公開的支持期限內，他們必須處理這些問題。

一旦發現安全事件或被積極利用漏洞，制造商必須向有關當局報告，并告知他們采取了哪些行動減輕安全風險。

被積極利用漏洞是一類極其敏感的網絡威脅情報，表明黑客入口仍然沒有被修補。因此，誰應該負責處理這些敏感信息成為談判的焦點。

歐盟部長理事會將這項任務從歐盟網絡安全局（ENISA）移交給各國計算機安全事件響應團隊（CSIRTs）。根據修訂的《網絡和信息系統指令》（NIS2），這些團隊本就擔負類似的任務。

然而，歐洲議會堅持讓ENISA參與，避免國家機構在保留這些高度敏感信息方面擁有過多自主權。

后來，雙方達成妥協，決定要求制造商通過單一報告平臺同時向有關CSIRT和ENISA發送通知。但是，歐盟成員國認為，考慮網絡安全事宜，他們應該有權利對發送給ENISA的信息加以限制。

各方對這些限制的條件進行激烈討論，達成的條件十分“狹窄”。具體而言，如涉及產品主要存在于國內市場且不對其他歐盟國家構成風險，所在國CSIRT有權限制向ENISA發送通知。

其次，成員國當局不會被強制要求，向ENISA披露他們認為與保護基本安全利益相關的任何信息。這一限制性條款符合歐盟條約。

第三，如制造商自認為信息進一步傳播會立即帶來風險，并在提交給CSIRT的通知中加以說明，所在國也有權對發送給ENISA的信息加以限制。

另一方面，歐洲議會議員爭取到如下權利：ENISA仍將獲得部分信息，用以監測歐盟單一市場的任何系統性風險。ENISA將了解相關制造商和產品信息，以及有關漏洞利用的一般信息。

歐洲議會議員們還推動在法案中明確，ENISA應獲得足夠的資源應對新任務。雖然這未能成為法案的一部分，但它將納入歐盟主要機構發布的聯合聲明。

開源軟件

談判的另一大焦點是如何處理集成到商業產品中的開源軟件。就此，各方已在技術層面達成一項協議，并在政治層面得到認可。

法案僅涵蓋在商業活動背景下開發的軟件，并專門針對開源軟件管理者在文檔編制和漏洞處理方面制定規則。

根據外媒Euractiv看到的最終文本，法案排除了那些在市場上銷售開源軟件但將所有收入重新投資于非營利活動的非營利組織。

其他熱點話題

法案還包括其他熱點話題的條目，如國家安全豁免、次級立法、罰款收入分配等。

成員國專門為國家安全或國防目的開發或修改的任何產品不受法案限制。

歐盟立法階段反復討論次級立法類型。如果是委托法規（delegated acts），需要歐洲議會參與，而執行法規（implementing acts）無需歐洲議會參與。支持期限將在委托法規下詳細定義，而特殊產品類別將在執行法規下定義。

歐洲議會推動加入措辭，要求《網絡彈性法案》的罰沒款項用于增強網絡安全能力的活動。這一點沒有寫入法案文本，但將在法案總則中提及。