歐盟《網絡安全條例》解讀及對我國網絡安全立法的啟示

2022年3月，歐盟委員會發布《網絡安全條例》提案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT ANDE OF THE COUNCIL laying down measures for a high level of cybersecurity at the institutions,bosies,officers and agencies of the Union，以下簡稱《條例》），旨在增強歐盟相關機構抵御網絡威脅和事件的響應能力，推動構建歐盟網絡安全治理、風險管理和控制的法律框架。該條例共六章25條，從提高網絡安全水平、完善機構職能及其運作規則、明確應對風險的合作與報告義務等方面提出要求，相關經驗對我國完善網絡安全立法具有一定的借鑒意義。

一、《條例》主要內容

（一）一般規定

該部分就《條例》的適用范圍及相關術語定義進行了明確。適用范圍方面，條例適用于所有歐盟機構、團體和辦事處對網絡安全風險的管理、治理和控制，以及網絡安全中心(CERT-EU) 、機構間網絡安全委員會（IICB）的組織和運作。術語界定方面，對條例涉及的16個術語進行了界定，如，“歐盟機構、團體和辦事處”是指由《歐盟條約》《歐盟運作條約》或《建立歐洲原子能共同體條約》設立或基于該條約設立的歐盟機構、團體和辦事處；“網絡安全風險”是指對網絡和信息系統的安全具有潛在不利影響的、可識別的情況或事件；“網絡安全基準”是指網絡和信息系統及其運營商、用戶必須遵守的最低網絡安全規則等。

（二）明確提高網絡安全水平的措施

該部分為《條例》的核心內容，從建立風險管理、治理和控制框架、劃定網絡安全基準、開展成熟度評估、制定網絡安全計劃四方面，明確了對歐盟機構、團體和辦事處提高網絡安全水平的具體措施。

一是建立網絡安全管理框架。《條例》規定，歐盟機構、團體和辦事處應建立內部網絡安全風險管理、治理和控制框架，并要求由最高管理層監督，以確保對所有網絡安全風險進行有效、謹慎管理。時限方面，框架形成的截止日期為條例生效后15個月。內容方面，框架應涵蓋整體的IT環境，包括：內部IT環境、云計算環境或由第三方托管的外包資產和服務、移動設備、企業網絡等。此外，《條例》要求框架應考慮業務連續性和危機管理、供應鏈安全管理等。保障措施方面，《條例》要求歐盟機構、團體和辦事處應建立有效機制，以確保IT預算中有足夠比例用于網絡安全。此外，應任命一名網絡安全官員或同等職能部門。

二是劃定網絡安全基準。《條例》規定，歐盟機構、團體和辦事處的最高管理層應批準劃定內部網絡安全基準，并明確基準形成的截止日期為條例生效后18個月。

三是開展網絡安全成熟度評估。《條例》規定歐盟機構、團體和辦事處應至少每三年進行一次網絡安全成熟度評估，評估內容應包括其IT環境的所有要素。同時，需考慮CERT-EU發布的指導文件和建議中所包含的內容。

四是制定網絡安全計劃。《條例》規定歐盟機構、團體和辦事處的最高管理層應根據成熟度評估結果，考慮CERT-EU發布的指導文件和建議，制定網絡安全計劃，并至少三年內修訂一次。內容方面，《條例》規定了網絡安全計劃應當涵蓋的事項，如，網絡安全政策，包括網絡和信息系統安全的目標和優先事項，特別是關于使用云計算服務和實現遠程辦公的技術安排；負責網絡安全組織的角色及其職責；資產管理、訪問控制、系統開發和維護、供應商關系、網絡安全教育和培訓計劃等。措施方面，《條例》規定應明確相關舉措，如，通過安全模型、協調網絡安全和系統管理的策略等搭建更加信任的架構；采用多因素身份驗證作為跨網絡和信息系統的規范；通過安全軟件開發和評估標準建立軟件供應鏈安全；加強采購規則，消除限制IT服務提供商與CERT-EU共享有關事件、漏洞和網絡威脅信息的合同障礙，以及與事件準備、響應和恢復相關的措施等。此外，《條例》規定網絡安全計劃應明確工作人員在具體實施中的角色和責任。

五是評估及報告。歐盟機構、團體和辦事處完成成熟度評估后，應將其提交給IICB；網絡安全計劃完成后，應將完成情況通知IICB。

（三）機構間網絡安全委員會及其職責

《條例》提出新設立一個監管部門—機構間網絡安全委員會（IICB），推動和監督該條例的實施、指導CERT-EU的工作，并對其職責和組織架構進行了明確。

一是基本職責。IICB負責監督歐盟機構、團體和辦事處執行本條例的情況；批準 CERT-EU的年度工作計劃并監督其實施；批準CERT-EU活動的收支年度財務規劃及人員配備；向CERT-EU提供戰略指導等。此外，對未遵守《條例》的，IICB可發出警告，必要時可適當限制被警告的對象。

二是組織架構。《條例》對IICB的成員組成、成員任期、議事規則等作出了規定。包括：IICB設主席一名，任期四年；應CERT-EU的請求或其任何成員的請求，IICB應在其主席的倡議下召開會議；每個成員有一票表決權，除另有規定外，IICB的決定以少數服從多數的原則作出等。

（四）網絡安全中心及其職責

CERT-EU通過向歐盟機構、團體和辦事處提供網絡安全方面的建議，幫助預防、檢測、減輕和響應事件，并充當網絡安全信息交換和事件響應的協調中心。《條例》根據成員國和全球的發展，將CERT-EU的名稱從“計算機應急小組” 改為“網絡安全中心”，但保留CERT-EU簡稱 ，并對CERT-EU的基本職責、應發布的指導文件、對外合作等事項進行了明確。

一是基本職責。CERT-EU的任務包括：支持該條例的實施；向歐盟機構、團體和辦事處報告其面臨的網絡威脅，并為歐盟的網絡態勢感知做出貢獻；就與機構、團體和辦事處有關的案件進行技術層面的準備、事故協調、信息交流和危機應對；與歐盟網絡安全局就網絡威脅的能力建設、運營合作和長期戰略分析開展合作等。

二是應發布的指導文件。《條例》規定CERT-EU應通過發布以下文件支持條例的實施，文件類型方面，包括：呼吁采取行動，說明敦促聯盟機構、團體和辦事處在規定時間內采取的緊急安全措施；向IICB提交的針對所有或部分歐盟機構、團體和辦事處的指導文件提案；向IICB提交的針對單個聯盟機構、團體和辦事處的建議。文件內容方面，包括：網絡安全風險管理和網絡安全基準的模式或改進；成熟度評估和網絡安全計劃的模式；在適當的情況下，使用通用技術、架構和最佳實踐實現互操作性和通用標準。此外，《條例》規定，IICB可指示CERT-EU發布、撤回或修改指導文件或建議提案。

三是報告義務。CERT-EU負責人應定期向IICB和IICB 主席報告以下事項，包括：CERT-EU的績效、財務規劃、收入、預算執行、簽訂的書面協議、與同行和合作伙伴的合作、工作人員執行的任務等。

四是對外合作。《條例》從兩個方面規定了CERT-EU對外合作的要求。與歐盟成員國合作方面，應就網絡威脅、漏洞和事件，可能的對策以及改善對歐盟機構、團體和辦事處IT環境相關的事項，與歐盟成員國對應機構進行合作和信息交換。與非歐盟成員國合作方面，CERT-EU可以與非歐盟成員國對應機構合作，包括特定行業的對應機構在技術、策略、程序和最佳實踐以及應對網絡威脅和漏洞方面的合作。對于與此類對應機構的合作，CERT-EU應事先獲得IICB的批準。此外，對于CERT-EU可能與商業實體、國際組織、非歐盟國家實體或個人專   家等其他合作伙伴開展的合作，《條例》同樣規定了應事先獲得IICB的批準。

（五）合作與報告義務

該部分就各實體間進行網絡安全信息共享、履行重大風險通知義務以及響應協調進行了規定。

一是信息共享。為了協調漏洞管理和事件響應，《條例》規定CERT-EU可要求歐盟機構、團體和辦事處向其提供各自IT系統清單中的相關信息，被請求對象應及時發送所請求的信息及其后續更新。CERT-EU只能在受事件影響的實體同意的情況下，交換能夠揭示網絡安全事件目標身份的特定信息。同時，《條例》明確信息共享不應延伸至歐盟機密信息，以及歐盟機構、團體和辦事處在明確不與CERT-EU共享的條件下從成員國安全或情報機構、執法機構收到的信息。

二是通知義務。《條例》規定所有歐盟機構、團體和辦事處在發現重大網絡威脅、重大漏洞和重大事件時，應立即通知CERT-EU，除有正當理由并與CERT-EU溝通的情況下不得遲于意識到這些威脅后24小時。在此基礎上，為實現檢測、事件響應或采取緩解措施，《條例》要求在履行通知義務后，歐盟機構、團體和辦事處應立即向CERT-EU進一步通知網絡威脅、漏洞和事件的適當技術細節。此外，CERT-EU 應每月向歐盟網絡安全局提交一份摘要報告，其中應包括重大網絡威脅、重大漏洞和重大事件的匿名和匯總數據。同樣，《條例》明確通知義務不應延伸至機密信息，以及歐盟機構、團體和辦事處在明確不與CERT-EU共享的條件下從成員國安全或情報機構、執法機構收到的信息。

三是重大事件響應協調。《條例》規定，作為網絡安全信息交流和事件響應協調中心，CERT-EU應促進各實體之間在重大事件響應方面的協調，如，推動持續的外部溝通、 優化使用業務資源、保存一份應對安全事件所需的技術專業知識清單、與歐盟其他危機應對機制進行協調等。若懷疑事件具有犯罪性質，CERT-EU應就如何向執法機構報告提供建議。此外，《條例》規定IICB應就重大事件的響應協調與合作發布指南。

（六）《條例》實施情況審查

為確保各項制度落地實施，《條例》規定應定期對實施情況進行報告、開展評估。

一是IICB的報告義務。《條例》規定，在CERT-EU的協助下，IICB應定期向歐盟委員會報告本條例的實施情況，IICB也可以向委員會提出對該條例的修訂建議。

二是歐盟委員會報告、評估義務。委員會應在本條例生效后，最遲48個月及此后每三年向歐洲議會和理事會報告本條例的實施情況。歐盟委員會應評估本條例的執行情況，并在生效之日起五年內向歐洲議會、理事會、歐洲經濟和社會委員會和地區委員會報告。

二、對我國的啟示

隨著國內外網絡安全形勢的變化，未來，我國需適時對《網絡安全法》進行修訂，并建立健全網絡安全管理相關配套制度，歐盟《條例》或對我有如下啟示：

一是加強實施效果評估。歐盟《條例》在建立相關制度的同時，設立了嚴格的評估報告義務，并對具體時限、報告內容等進行了詳細規定。法律的生命力在于實施。為確保各項制度切實落地，我國應健全完善《網絡安全法》實施效果評估的相關規定，及時評估制度的執行情況及各類主體履行義務的情況。

二是細化統籌機構的職責。目前，《網絡安全法》明確了國家網信部門負責統籌協調網絡安全工作和相關監督管理工作，但并沒有規定其具體負責事項。為促進更好地發揮統籌協調作用，強化監管效能，建議進一步細化網信部門的職責。此外，還應當對地方網信部門在網絡安全監管方面的職責作出明確規定。

三是完善公共部門的網絡安全管理要求。政府部門以及履行公共事務管理職能的機構是網絡安全管理的重中之重，可參考歐盟《條例》的規定，進一步明確公共部門在網絡安全方面的基本要求。如，明確網絡安全負責人、建立網絡安全管理框架、劃定網絡安全基準、開展網絡安全成熟度評估、制定網絡安全計劃等。