欧盟关键基础设施网络安全防护体系政策法规研究

当前，网络空间已成为继海、陆、空、天之后的第五大主权领域空间，不仅事关经济安全和社会稳定，更是国际竞争与政治博弈的关键领域。同其他领土主权一样，保障网络空间安全就是保障国家安全。关键基础设施（以下简称“关基”）作为网络空间的“神经中枢”，其功能稳定与服务持续是维护国家安全和社会稳定的核心要素。以欧盟、美国和日本等为代表的各国纷纷出台相关战略规划、法律法规以及实施方案，进一步加大对关基的网络安全保护力度。其中，欧盟较早认识到关基网络安全保护的重要性，陆续颁布《保护关键基础设施的欧洲计划》《欧盟网络安全战略》等一系列政策指令。尤其在协调成员国强化关基网络安全防护力度方面，欧盟更是加大工作力度。2022 年以来，欧盟又通过了《关于在整个欧盟全境实现高度统一网络安全措施的指令》《关于关键设施弹性的指令》《网络弹性法案》、关基保护蓝图、《数字运营弹性法案》以及《人工智能法案》等多项政策，这些政策的实施将进一步提升关基网络安全防护能力和水平。

一、搭建了一套较为完善的关基网络安全防护法律体系

欧盟全面强调关基网络安全保护的重要性，陆续出台多项政策，实行以风险管理为基础的网络安全治理策略。

一是 NIS 2 指令是欧盟关基网络安全防护的“基准线”。2022 年 12 月，欧洲议会和理事会共同通过了《关于在整个欧盟全境实现高度统一网络安全措施的指令》（NIS 2 指令），确定了整个欧盟关基的网络安全法律框架。NIS 2 指令作为欧盟关基网络安全防护的核心法规，构建了一套基于分级分类原则的网络安全防护体系。根据关基实体的重要性和规模上限要求，NIS 2 指令明确十类基本实体和六类重要实体，清晰界定受管辖范围和具体对象。针对不同类别的实体规定不同的网络安全风险管理和事件报告要求，提高了关基网络安全防护的针对性，并规定了违规行为的具体惩罚措施，通过制定极高的罚款金额，倒逼关基实体提高对内生网络安全的重视。

二是 CER 指令是欧盟关基网络安全防护的“配套法则”。2022 年 12 月，欧盟通过了《关于关键设施弹性的指令》（CER），该指令明确欧盟地区的关基领域主要涉及 11 个领域，并明确识别关基实体的考虑因素和安全义务。CER 指令是 NIS2 指令的“配套法则”，根据 CER 指令被确定为关基实体的重点行业企业和机构也将受到 NIS 2 指令的网络安全义务约束。同时，CER 和 NIS 2 指令下的国家主管部门必须定期合作和交换相关信息，如网络和非网络风险、威胁和事件等。

三是 CRA 法案是欧盟关基网络安全防护的“产品检验法”。2022 年 9 月，欧盟委员会发布《网络弹性法案》（CRA），该法案规定，特定关基实体必须使用经安全认证的信息和通信技术产品，进一步加强关基中数字产品的网络安全。CRA 法案是欧盟关基实体中软硬件等数字产品的“检验法”，根据网络安全风险级别的不同，数字产品被划分为 I 类和 II 类，为产品制造商、进口商和分销商等主体设定了不同的网络安全评估要求，确保不同主体在数字产品供应链的网络安全中承担起各自的责任。

四是关基保护蓝图是欧盟关基网络安全防护的“国际协作指南”。2023 年 9 月，欧盟委员会提出“协调联盟层面行动以应对关键基础设施中断造成重大跨境影响的规划蓝图”（以下简称“关基保护蓝图”）。该蓝图旨在通过落实国内协调联动措施，提升国际联合应对能力，实施关基网络安全事件分类分级管理，以改善关基网络安全等危机造成的破坏性跨境影响，加大智能化响应能力，强化关基复原力，确保关基恢复的时效性和有效性。

五是 DORA 法案及 AI 法案等是欧盟关基网络安全防护的“细分法则”。为配合 NIS 2 指令的落地与实施，欧盟在金融等特定关基领域中，制定了更为细致的法则。在金融领域，2022 年 11 月，欧盟理事会通过了《数字运营弹性法案》（DORA），主要针对金融领域中的关基实体，该法案由 DORA 主管部门与 NIS 2 指令下设的单一联络点（SPOCs）和计算机安全事件应急响应小组（CSIRT）协商并共享安全信息，以预防和减轻针对金融领域的网络威胁，确保金融实体的弹性运作。同时，就关基领域中的 AI 技术使用问题，2022 年 6 月，欧洲议会通过了《关于“欧洲议会和理事会条例：制定人工智能的统一规则（人工智能法案）并修订某些联盟立法”的提案》（简称“AI 法案”）。该法案将关基领域中的 AI 应用风险列为高风险，作为重点监管对象，并提出了具体的监管措施。

二、明确关基实体范畴并确立分类分级的关基实体清单

一是清晰界定关基实体涉及的 11 个领域和范畴。欧盟 CER 指令中界定的关键实体指提供基本服务，维护关键社会职能、经济、确保公众健康和安全、环境的机构，具体包括能源、交通、银行、金融市场基础设施、医疗、供水、废水、数字基础设施、公共管理、太空、食品等 11 个领域。在这些领域内，CER 指令要求欧盟成员国详细梳理出本国的关基实体清单，并对其开展全面的安全风险评估。评估内容涉及两个主要方面：一是关基实体面临的各种风险，包括自然灾害人为事故、突发公共卫生事件、潜在的敌对威胁和恐怖主义活动等；二是关基实体提供的基础服务特性，以及这些服务对其他领域的依赖程度。一旦实体发生安全事件，它可能对所提供的基本服务或该领域其他基本服务产生重大破坏性影响。在梳理安全风险的过程中，还需考虑关基实体提供的基本服务的用户数量、其他部门对该服务的依赖程度、安全事件可能对经济、社会运转、环境和公共安全造成的影响程度和持续时间等因素。此外，实体在基本服务领域所占的市场份额、可能受事件影响的地理区域、实体在维持基本服务水平方面的重要性，以及其他替代方案的可行性。

二是通过自主登记制度确定关基实体清单。为了进一步落实关基实体清单，NIS 2 指令敦促欧盟成员国在 2025 年 3 月前，通过基本实体和重要实体的自我注册机制，形成关基管辖范围内的所有实体清单。该清单详细列出每个实体的名称、内部下属部门和分部门、地址、电子邮件和电话号码等联系信息，以及实体活跃的成员国名单。因此，NIS 2 指令按照“规模上限原则”，将未达到一定规模门槛的实体排除在管理范围之外。例如，员工数量少于 10 人、年收入 200 万欧元或以下的小型和微型企业被排除在外。然后根据这些实体的规模大小、所在领域和重要程度，将他们分为基本实体和重要实体两类，其中基本实体包括能源、健康、交通、饮用水、废水、空间、公共政府、信息通信技术服务管理（B2B 商家对商家）、金融市场基础设施、银行业、数字基础设施（包括互联网服务提供商 ISP 和云）等。这类实体的员工数量通常为 250 人，年营业额为 50 万欧元或资产负债表为 43 万欧元。重要实体则包括数字供应商、研究、邮政和快递服务、食品生产与分销、制造业、化学品制造生产和分销、废弃物管理等，这类实体的员工数量通常为 50 人，年营业额为 10 万欧元或资产负债表为 10 万欧元。

三是根据网络安全风险级别划定关基中数字产品的不同类别。关基中使用的数字产品涵盖了各种软件和硬件产品，以及远程数据处理解决方案。CRA 根据产品存在网络安全风险的相关级别，分为三类“具有数字元素的关键产品”，即 I 类、II 类和默认类别。其中，关基中的数字产品涉及 I 类和 II 类，这两类产品须满足不同的网络安全要求。I 类产品包括 NIS 2 指令中描述的基本实体使用的集成电路和门阵列、移动设备和应用程序管理软件、远程访问软件、身份和访问管理软件、浏览器等。这些产品必须坚持应用标准或完成第三方评估以证明网络安全的符合性。II 类产品包括供 NIS 2 中描述的基本实体使用的工业物联网设备、供 NIS 2 中描述的基本实体使用的工业自动化和控制系统、智能电表、工业开关、安全元件、硬件安全模块、工业用防火墙等，须完成第三方符合性评估。

三、建立关基实体网络安全责任制并明晰具体职责和义务

一是确定关基实体的风险评估职责和义务。CER 指令规定，关基实体应开展安全风险评估，及时采取技术和组织等措施增强安全弹性，并向当局报告安全事件。欧盟成员国当局应向关基实体提供支持，对跨国和跨部门风险、最佳实践、方法、跨国培训和演习活动等方面给予补充支持，并确保国家当局拥有权力和手段对关基实体进行现场检查，能够对不遵守指令的行为进行处罚。

二是规定关基实体承担网络安全管理责任、风险管理、事故通知等义务。NIS 2 指令提出了关基实体应承担的具体网络安全义务。在管理责任方面，基本实体和重要实体必须批准并监督网络安全措施的实施，对违规行为问责，并定期组织网络安全培训。在风险管理方面，基本实体和重要实体必须加强风险分析与信息系统安全，优化网络安全事故处理流程，采取备份、灾难恢复、危机管理等确保供应链安全和业务连续性，实施加密策略确保网络卫生。在事故通知方面，简化重大网络安全事件的报告义务，基本实体和重要实体须在 24 小时内向国家主管部门或 CSIRT 报告重大事件，72 小时内对事件严重性、影响等进行初步评估，1 个月内对事件详细信息、根本原因等进行总结上报。

三是规定关基中数字产品制造商、进货商和经销商等主体的不同义务。CRA 提出，关基中数字产品的规制主体包括制造商、进口商、分销商及其他必须履行法案规定义务的自然人或法人，并针对不同类型的主体施加了不同义务。其中，制造商对设计、开发和生产的数字产品需符合 CRA 规定的网络安全要求。经质量评估和网络安全评估后，制造商必须为产品张贴 CE 标志，并提供清晰、易懂、可理解和易读的产品随附信息和说明，以确保用户安全地安装、操作和使用。进口商需确认数字产品符合质量和网络安全要求，并在产品包装或随附文件中标明商家名称、注册商标、电子邮件等，并对产品的网络安全漏洞或事件承担报告义务。经销商则需要确保销售的数字产品带有 CE 标志，产品中包含制造商的随附信息和说明以及进口商的联系信息等。

四是规定关基中高风险 AI 系统的网络安全义务。AI 法案针对关基中的高风险 AI 系统，从入市前到入市后，制定了全流程风险管理措施。在高风险 AI 系统投入市场前，AI 提供者应建立和维持风险管理系统，识别潜在的风险，确保人工可对 AI 系统进行监督，并干预存在“自动化偏见”的输出结果。投放入市时，AI 提供者需向主管机关提供 AI 系统开发过程、检测、运作和控制等系统相关必要信息，确保 Al 系统的性能符合预期目的及各项管理要求，并贴上 CE 标志。投入使用后，AI提供者应当建立入市后的检测系统，收集、记录和分析 AI 系统在整个生命周期的可靠性、性能和安全性等数据，评估 AI 系统对法规的持续遵守情况。当 AI 系统发生严重故障或侵犯人类基本权利的事件时，提供者需在 72 小时内向国家监督机构报告。

四、完善关基事件协调应对制度以及时提升关基复原力

一是明确关基事件协调应对机制启用的触发条件。关基保护蓝图明确了触发联盟应对机制的两类重大关基事件：第一，对六个及以上成员国提供基本服务的关基造成破坏性影响；第二，对两个及以上成员国提供基本服务的关基造成破坏性影响，且理事会轮值主席国与其他成员国一致认为由于具有广泛且重大的技术或政治影响需要联盟层面协调和响应的情况。通过设定联盟协同应对机制的触发条件，可以迅速精准地识别和理解关基面临的威胁程度，确定关基事件的优先级和紧急程度，合理分配不同等级资源，采取适宜的安全措施和防护策略。

二是构建分工明确的协调管理机制。关基保护蓝图建立了按照职责分工相互配合、层次分明的联盟协作应对体系。但当关基事件达到联盟应对机制的触发条件时，欧盟成员国、欧盟理事会、欧盟委员会、欧盟对外行动署（EEAS）等联盟机构及欧洲刑警组织等执法机构应在关基保护蓝图框架内相互合作，通过固定的联络点交流事件信息并协调应对行动，这样可以最大程度地缓解关基事件带来的破坏性跨境影响，并及时恢复关基的正常运行。为了确保应对举措的有序性和应急性，上述参与者应联合关基运营商等私营企业定期演练联盟协调应对机制，不断优化国家、区域和联盟层面的协调响应能力。同时通过理顺职能部门和执法部门的职责关系，逐步构建并优化协同高效的多部门间应急履职体系。此外，完善突发事件应急流程，提高关基安全事件处置效率，并针对应急演练中发现的突出问题和漏洞隐患，及时整改加固，完善保护措施。

三是规定信息交换和公开沟通流程。关基保护蓝图提出针对重大关基事件启动联盟协调应对机制的第一步是确保所有相关者的信息交流及公共沟通的顺畅。发生重大关基事件后，由国家主管部门率先通过单独联络点与轮值主席国联络，交换关基运营主体及已采取的网络和物理措施等详情。欧盟应急协调反应中心（ERCC）作为危机应对业务部门，实时监控、协调和支持联盟层面的紧急情况，增强跨部门协调。与此同时，欧盟委员会立即组织召开关基恢复小组专家会，所在国家主管部门汇报重大关基事件的性质、原因、影响、应对举措、对受影响成员国提供的技术支持等。欧盟委员会根据交换信息编写综合态势感知和分析报告（ISAA），包括从网络安全角度评估欧盟层面的风险情况及委员会等各机构采取的缓解举措，旨在提高联盟层面的透明度，以信息共享为基础，加强态势感知，积极构建欧盟成员国及委员会等相关方广泛参与的信息共享、协同联动的防护机制。

四是确定联盟协调应对和处理规则。关基保护蓝图提出针对重大关基事件启动联盟协调应对机制的第二步是基于关基事件的规模和影响而采取协调应对行动。欧盟理事会民事保护工作组关基恢复小组基于 ISAA，组织召开专家会议，搭建沟通平台，请求其他成员国或联盟机构的技术支持。其他成员国及欧洲刑警组织等机构评估可提供的技术支持以减轻重大关基事件的影响。在必要情况下，可配合启动快速警戒系统机制（ARGUS）、综合政策威胁响应机制（IPCR）、共同体民事保护机制（UCPM）等其他应急响应机制，请求更多成员国帮助并探讨协调应对举措。若涉及国际安全影响，EEAS 可召开欧盟——北约恢复结构性对话会议，交流欧盟和北约分别采取的有关措施，加强国家主管部门的响应及与其他成员国、联盟机构等的合作，做到统一指挥、快速调度，迅速解决关基中断问题并重建基本服务。另外，由欧盟理事会和委员会准备公共沟通话术，消除公众信息差，最大程度地减少重大关基事件后向公众传达的信息差异，避免虚假信息传播。

五、设立针对关基实体的惩罚制度以倒逼网络安全水平提升

一是明确关基中基本实体和重要实体违规的惩罚举措。NIS 2 指令对违反法律要求未履行及时报告义务、未实施网络安全风险管理措施的关基实体提出了严格的惩罚举措，基本实体将面临高达年营业额 2% 或 400 万欧元的罚款，重要实体将面临高达年营业额 1% 或 200 万欧元的罚款，二者均以较高者为准，这一举措旨在提高关基实体对内生网络安全的重视。

二是明确关基中使用违规数字产品的惩罚举措。关基中使用的数字产品，如果违反 CRA 规定的网络安全要求和制造商义务，将面临最高 1500 万欧元或上一财政年度全球年营业额的 2.5% 的罚款，以较高者为准。若违反其他义务，将面临最高 1000 万欧元或上一财政年度全球年营业额 2% 的罚款，以较高者为准。若向指定机构和市场监督机构提供不准确、不完整或误导性的信息，将受到最高 500 万欧元或上一财政年度全球年营业额的 1%的罚款，同样以较高者为准。

原文来源：中国信息安全

“