歐盟委員會提出了一項新的網路安全方案，旨在增強歐盟的網路安全韌性和能力，以應對日益增長的威脅。該方案包括一項修訂《網路安全法》的提案，旨在加強歐盟資訊和通訊技術（ICT）供應鏈的安全性。它透過簡化的認證流程，確保歐盟公民使用的產品在設計之初就具備網路安全保障。此外，它還有助於遵守現有的歐盟網路安全規則，並加強歐盟網路安全局（ENISA）在支持成員國和歐盟應對網路安全威脅方面的作用。

該方案引入了一系列措施，旨在簡化在歐盟運營的公司遵守歐盟網路安全規則和風險管理要求的流程，是對《數位綜合法案》中提出的事件報告單一入口點的補充。

《網路安全法》經歐洲議會和歐盟理事會批准後立即生效，並將與擬議的《網路資訊安全指令2》（NIS2指令）修正案同時生效，該修正案也將提交批准。一旦獲得通過，成員國將有一年的時間將該指令轉化為國內法，並將相關文本通知歐盟委員會。

NIS2指令的專案修訂旨在提高法律清晰度，從而簡化28,700家公司（包括6,200家微型和小型企業）的合規流程。修訂還將引入新的中小型企業類別，以降低22,500家公司的合規成本。這些修訂將簡化管轄權規則，精簡勒索軟體攻擊資料的收集，並藉助ENISA強化的協調作用，促進對跨境實體的監管。

歐盟透過一系列新的法律和政策工具擴展了其法律和政策工具箱，《網路資訊安全指令2》(NIS2)加強了關鍵基礎設施的網路安全，而其姊妹法規《關鍵實體韌性指令》(Crystal Entities Resilience Directive)則規定了實體安全要求。《網路韌性法案》(Cyber Resilience Act, CRA)提高了投放市場產品的網路安全基準，《網路團結法案》(Cyber Solidarity Act)則建構了歐盟範圍內的事件回應能力。

歐盟網路安全藍圖為歐盟層級的危機管理合作奠定了基礎，明確了歐盟委員會和高階代表在應對大規模網路安全事件方面的職責。5G網路安全工具箱為5G網路安全提供支援；歐洲醫院和醫療機構網路安全行動計畫旨在增強醫療產業的韌性；網路安全技能學院則致力於解決日益嚴重的網路安全人才短缺問題。

歐盟委員會詳細闡述了共同的歐洲網路安全策略對於維護歐洲整體安全至關重要，該提案將透過建立一個可信任資訊通信技術供應鏈安全的橫向框架，增強歐洲關鍵基礎設施的網路安全韌性。這將使歐盟及其成員國能夠採取有針對性且適度的措施，以應對不當外國幹預和關鍵資訊通信技術供應鏈中存在的重大依賴性等戰略風險。此外，該提案還將確保電子通訊網路營運商的關鍵資產不會依賴高風險供應商。

擬議的《網路安全法》旨在降低歐盟資訊通信技術供應鏈中來自存在網路安全隱患的第三國供應商的風險。該法案基於協調一致、適度且基於風險的方法，制定了一套值得信賴的資訊通信技術供應鏈安全框架。這將使歐盟及其成員國能夠共同識別並降低歐盟18個關鍵產業中的風險，同時考慮經濟影響和市場供應。

《網路安全法》提出了一項橫向框架，旨在應對與構成網路安全隱患的第三國相關的安全風險。該法引入了歐盟層面的協調安全風險評估，以識別特定資訊通信技術供應鏈中的風險和漏洞。

該框架要求識別資訊通信技術供應鏈中的關鍵資產，以了解可能存在的系統性缺陷。基於這些評估，框架提供有針對性的緩解措施來應對已識別的風險。這些措施包括，在必要時，禁止在關鍵資訊通信技術資產中使用來自高風險供應商的資訊通信技術組件，而這些措施的依據是市場分析和全面的經濟影響評估。

近期發生的網路安全事件凸顯了資訊通信技術（ICT）供應鏈漏洞帶來的巨大風險，而這些供應鏈對於關鍵服務和基礎設施的正常運作至關重要。在當今的地緣政治格局下，供應鏈安全不再僅僅關乎產品或服務的技術安全，還關乎與供應商相關的風險，特別是供應商依賴和外國幹預。

《網路安全法》將強制歐洲行動通訊網路擺脫高風險第三國供應商的影響，這是在5G 安全工具箱下已開展的工作基礎上進行的。修訂後的《網路安全法》將確保歐盟消費者能夠更有效率地接受安全測試，這將透過全新的歐洲網路安全認證框架（ECCF）來實現。 ECCF將帶來更清晰、更簡化的流程，預設情況下，認證方案可在12個月內制定完成。此外，它還將引入更靈活、更透明的治理機制，透過公開資訊和公眾諮詢，更好地讓利害關係人參與其中。

ECCF 將引入三項主要變革。首先，框架的適用範圍將明確和擴展，以提供更大的法律確定性並更好地反映市場需求。認證將作為一種技術網路安全保障形式，並輔以資訊通信技術供應鏈安全機制。實體除了可以認證其資訊通信技術產品、服務、流程和託管安全服務外，還可以認證其整體網路安全狀況。這些證書可用於證明合規性，並獲得符合 NIS2 和其他歐盟法規的推定。

其次，該框架將明確規定截止日期和交付成果，並建立更有效率的治理結構，以開發和維護認證系統。作為體繫管理者，ENISA 將負責維護這些體系，並制定其發展的法律時間表。通常情況下，ENISA 應在收到歐盟委員會的要求後一年內制定候選體系。

第三，這些方案旨在提供企業實際的合規工具，每個方案都必須符合現有的網路安全法規，各方案之間更高的一致性和協調性有望減輕企業的整體合規負擔。

由歐盟網路安全局 (ENISA) 管理的認證體系將成為企業切實可行的自願工具。這些體系將幫助企業證明符合歐盟法規，從而減輕負擔和成本。除了資訊通信技術產品、服務、流程和託管安全服務之外，企業和組織還可以對其網路安全狀況進行認證，以滿足市場需求。最終，更新後的歐盟網路安全認證框架 (ECCF) 將成為歐盟企業的競爭優勢。對於歐盟公民、企業和公共機構而言，它將確保複雜資訊通訊技術供應鏈的高度安全性和信任度。

自2019年首部《網路安全法》通過以來，歐盟網路安全局（ENISA）已發展成為歐盟網路安全生態系統的基石。修訂後的《網路安全法》使ENISA能夠幫助歐盟及其成員國了解共同面臨的威脅，並使其能夠做好準備並應對網路安全事件。該機構將透過發佈網路威脅和事件的早期預警，進一步支持在歐盟營運的公司和利害關係人。它將與歐洲刑警組織和電腦安全事件回應小組合作，以支持公司應對和從勒索軟體攻擊中恢復。 ENISA也將制定歐盟方案，為利害關係人提供更完善的漏洞管理服務。它將運作《數位綜合法案》中提出的事件報告單一入口點。

修訂後的《網路安全法》提案與即將推出的《雲端運算與人工智慧發展法》（CADA）和《數位綜合法案》相輔相成。CADA 將確保公共部門的關鍵應用場景由安全的歐盟雲端和人工智慧運算服務提供支援，《數位綜合法案》旨在簡化歐盟網路安全規則的實施。

ENISA將繼續在歐洲網路安全人才隊伍中發揮關鍵作用。為此，它將試點網路安全技能學院，並建立歐盟範圍內的網路安全技能認證系統。該機構在網路安全標準化方面的作用將得到加強，以確保歐洲和國際標準與歐盟價值觀和法律要求保持一致，從而使該機構在塑造網路安全規則的實際應用方面發揮更積極的作用。標準和技術規範有助於企業和公共機構履行網路安全義務，並確保規則在內部市場（特別是《網路韌性法案》衍生規則）的統一適用。

在國際層面，標準也塑造最先進的網路安全實踐，並影響科技的設計和維護方式。根據《歐洲標準化條例》，ENISA將更直接參與歐洲和國際層面的網路安全標準制定工作，支持歐盟委員會評估協調標準，並在現有標準無法滿足立法需求的情況下，介入製定技術規範，特別是針對歐洲網路安全方案。

資料來源：https://industrialcyber.co/regulation-standards-and-compliance/european-commission-proposes-revised-cybersecurity-act-to-boost-eu-cyber-resilience-secure-ict-supply-chains/