进入2024年,欧盟有多部网络和数据安全相关的法律法规已经或者将要生效实施。其中,《关于在欧盟全境实现高度统一网络安全措施的指令》(Directive on measures for a high common level of cybersecurity across the Union)(以下简称《NIS 2指令》)是具有较强延续性和代表性的一部。
《NIS 2指令》作为更新替代版本,大体延续了《网络和信息系统安全规则》(Directive on the security of network and information systems)(以下简称《NIS指令》)的整体框架及制度脉络,而对适用范围、管理机构、具体措施等进行了拓展和完善。《NIS 2指令》详细阐述了实现整个欧盟网络安全高通用水平的措施,旨在进一步提高公共和私营部门以及整个欧盟的网络复原力(Cyber Resilience)和事件应对能力。
本文将重点概述《NIS 2指令》的出台背景、内容要点,并简要分析其特点及产生的影响。
一、背景概述
《NIS 2指令》的出台,是欧盟推进网络安全法律法规体系完善,以及适应网络安全新形势发展需求等多方面因素的集中反应,其出台背景可以从以下三个方面进行分析。
(一)需求背景:立法者的关注点与网络安全形势
欧盟格外重视网络安全建设,立法者高度关切如何提升网络安全水平。2016年7月通过的《网络和信息系统安全指令》是欧盟关于网络安全的第一部综合性立法,旨在欧盟范围内实现统一、高水平的网络和信息系统安全,成为欧盟成员国构建网络安全思维方式、制度和监管机制的范本。随着欧盟数字化转型和互联性提高,以及数字化、网络化应用的日益普及,伴随而来的网络安全威胁形势也日益严峻。基于巩固提升网络安全法规体系的考虑,欧盟委员会2020年对《NIS指令》实施效果进行了审查,并发现了四个主要问题。一是适用范围涵盖行业存在局限;二是对基本服务运营商、数字服务提供商的定义和监管模糊;三是成员国之间规则和资源的差异加剧实体执行难度和网络弹性差异;四是联合态势感知水平低。因此,欧盟决定对《NIS指令》进行修订,弥合政策与现实之间的差距。
可见,《NIS 2指令》不仅是欧盟加强网络安全弹性、推动数字化转型的重要举措,更是对当前网络安全形势的回应。
(二)立法路线:普通立法程序稳步推进政策改革
指令的形成主要经历了4个关键节点。一是2020年12月16日,欧盟委员会通过一项修订新版《网络和信息系统安全指令》的提案;二是欧盟理事会和欧洲议会各自一读法案后,2022年5月13日,欧洲议会和欧盟理事双方达成《NIS 2指令》协议;三是2022年11月10日,欧洲议会通过《NIS 2指令》提案;四是2023年1月16日,《NIS 2指令》正式生效,并规定成员国将《NIS 2指令》转化为适用的国家法律的最后期限是2024年10月18日。
(三)体系关联:与欧盟其他网络安全法律法规的联系
从数字治理角度看。《NIS 2指令》是“欧盟数字战略”的重要组成部分,其促进数字转型的基础建设相关内容也是《2030数字罗盘:欧洲数字十年之路》关键目标之一。《数据法案》《数据治理法案》等,从不同主体和侧重点出发,与《NIS 2指令》也形成互补,共同服务于构建欧洲数字战略框架。
从网络安全角度看。《NIS 2指令》与《欧盟安全联盟战略》《欧盟数字十年的网络安全战略》《网络安全法》《网络安全条例》等共同构成欧盟网络安全治理框架。《NIS 2指令》符合欧盟网络安全治理框架所设定的政策目标,在网络安全信息共享、网络安全报告义务、加强采购规则等具体治理措施上交叉协调,与该领域的其他立法举措保持一致。在关基领域,与《关键设施韧性指令》、“关于协调应对大规模网络安全事件和危机的建议”有着相似的思路,提出“大规模网络安全事件和危机应对计划”,措施上相互配合。
二、内容要点
《NIS 2指令》共8章46条,主要包括一般规定、定义、协调的网络安全框架、联盟合作、网络安全风险管理措施和报告义务、管辖权和注册、信息共享、监督与执法、授权和实施行为等内容。
(一)适用范围
1.一般适用范围
《NIS 2指令》规定了本文件适用实体范围,适用于在欧盟境内提供服务或开展活动的公共或私营实体,如数字供应商、金融市场基础设施等。适用实体按照重要性程度不同,分为基本实体和重要实体两类,具体范围和标准详见下表。
表1 基本实体与重要实体识别
| 基本实体 | 重要实体 | |
| 判别标准 | (a)公共管理实体,无论其规模如何; (b)合格的信任服务提供商和顶级域名注册管理机构以及DNS服务提供商,无论其规模如何; (c)公共电子通信网络或公共电子通信服务提供商,中型企业及以上; (d)附件一除上述(a)至(c)点提及的实体,规模在中型企业以上; (e)成员国在指令第2条第(2)款(b)至(e)点特殊确定为基本实体的类型(例如,该实体是成员国对关键社会或经济活动中的“唯一提供服务者”、“产生重大影响”。); |
(a)附件二提到的实体类型; (b)成员国在指令第2条第(2)款(b)至(e)点确定为重要实体的类型(例如,该实体是成员国对关键社会或经济活动中的“唯一提供服务者”、“产生重大影响”); |
| 具体部门 | 能源(电力、区域供热和制冷、石油、天然气)、交通(航空、铁路、水路和公路)、银行、金融市场基础设施、医疗(从事医药产品研发活动、突发公共卫生事件期间制造被视为关键医疗器械的实体等)、饮用水、废水、数字基础设施(互联网交换点、DNS提供商、TLD注册、云计算服务提供商、数据中心服务提供商、内容分发网络、可信服务提供商、以及公共电子通信网络和电子通信服务)、ICT服务管理(托管服务提供商、托管安全服务提供商)、公共管理、太空 | 邮政和快递服务、废弃物管理、化学制造生产、食品生产加工、制造业(医疗器械、计算机及电子、机械设备、汽车制造等)、数字服务提供商(在线市场、在线搜索引擎、社交网络服务平台) |
注:小微企业的实体类型由主管当局的任何相关部门风险评估或指导,详细信息可见成员国建立的基本和重要实体以及提供域名注册服务的实体的清单。
2.例外和限制
《NIS2指令》还明确了文件适用的三类例外情况。一是不适用于国防、国家安全、公共安全、执法、司法、议会和中央银行等垂直领域的组织;二是不适用于成员国根据《关于金融部门数字运营弹性的修订条例》法规第2(4)条豁免该法规范围的实体。三是根据规模上限规则,所有在该指令所涵盖的部门内运营或提供服务的中型和大型实体都将属于该指令的范围,而某些小型和微型企业被排除在外,但电子通信网络或公共电子通信服务的提供商、信托服务提供商、顶级域名(TLD)名称注册管理机构和公共管理机构以及某些其他实体除外,例如成员国中的唯一服务提供商。
(二)主要框架
《NIS 2指令》从完善管理机构职能、制定国家网络安全战略、开展网络安全状况报告及同行评审、加强信息共享四方面,明确了提高网络安全水平的具体措施。
- 完善管理机构职能。包括建立欧盟网络危机联络机构网络(EU-CyCLONe)负责协调管理大规模网络安全事件和危机;加强合作小组(Cooperation Group)和计算机安全事件响应小组(CSIRT)的合作;扩大欧盟网络安全局(ENISA)的职能范围,增加开发和维护欧洲漏洞数据库和制定国家网络安全战略评估指标职能等。
- 制定国家网络安全框架。《NIS 2指令》要求制定完善包括国家网络安全战略、协调漏洞披露的框架、国家网络安全风险管理框架等在内的国家网络安全框架(National Cybersecurity Frameworks)。框架应涵盖信息通信技术(ICT)部门,并将规范ICT产品和服务的网络安全要求纳入公共采购管理机制中。
- 明确网络安全管理措施。包括供应链安全风险评估制度、重大事件报告制度、欧盟网络安全状况两年期报告制度、同行评审制度等。此外,《NIS 2指令》还规定了欧洲网络安全认证计划、使用欧洲和国际标准及技术等保障措施。
- 建立网络安全信息共享机制。《NIS 2指令》规定了加强信息共享的具体操作要求,包括专用信息通信技术平台和自动化工具的使用、信息共享的内容和条件等。信息共享的内容包括与网络威胁有关的信息、未遂事件、漏洞、对抗策略、妥协指标等。
(三)重点内容
《NIS 2指令》在第二章至第七章,对欧盟网络安全监管框架进行了集中论述。其中,重大网络安全事件报告机制、供应链网络安全管理、监管和执行机制等三方面是指令的核心部分,具体分析如下。
- 明确重大网络安全事件的报告义务。一方面,《NIS 2指令》细化了报告内容和对象,要求实体向计算机安全事件应急响应小组(CSIRT)或主管当局报告“重大事件”及引发原因、严重影响等详细情况。另一方面,《NIS 2指令》建立了分阶段报告机制,主要包括四个关键时间节点:在获知重大事件后24小时内发出预警,表明该重大事件是否涉嫌由非法或恶意行为引起或可能具有跨境影响;在获知重大事件后72小时内发出事件通知,更新事件影响、初步评估结果;提供有关相关状态更新的中间报告;提交事件通知后1个月内提交最终报告,内容包括事件严重性、引发原因、缓解措施等。
第二,强化供应链网络安全。《NIS 2指令》中提出了加强供应链安全的两大类举措。,
一是建立健全供应链安全管理机制。提出“解决实体提供服务所使用的供应链中的网络安全问题”的主要方式和工具,包括:控制公共采购、设立中小企业联络点、向微型企业和小型企业提供网站配置和日志记录等。
二是加强供应链安全监测评估。主要包括:(1)合作小组与委员会和欧盟网络安全局合作,对供应链进行安全风险评估,包括产品和服务、嵌入的网络安全风险管理措施、供应商和服务提供商的网络安全实践等;(2)提出相关标准规范要求,促进供应链安全评估领域的国际标准和现有行业最佳实践保持一致;(3)加强合同管理,将网络安全风险管理措施纳入与其直接供应商和服务提供商的合同条款中。
- 强化监管和执行机制。一是,对基本实体和重要实体采取分类监管,如事前事后监管范围、行政罚款额度等均有不同(见表2)。二是,细化监管内容,体现在以下三方面:首先,明确实体管辖机构,基本由其属地的成员国管辖,对三种实体类型给出了特别规定。公共管理实体受建立成员国管辖,ICT服务管理(B2B)受其提供服务的成员国管辖,数字基础设施受设有“主要机构”的成员国管辖。其次,明确实体监管义务,包括检查、审计、安全评估和扫描、相关信息访问、获取证据等。再次,明确监管机构权力,包括发布警告、具有约束力的指示或命令、停止违反指令行为的命令,责令履行报告义务、告知威胁及保护措施、公开违反本指令的情况,监督落实安全审计,行政罚款等。
表2 基本实体与重要实体监管与执法制度对比
| 基本实体 | 重要实体 | |
| 监管 | 事前监督制度 | 事后监督制度 |
| 1. 现场检查和非现场监督; 2. 临时审计,包括因重大事件或重要实体违反本指令而证明合理的情况; 3.要求提供评估实体采取网络安全风险管理措施的信息; |
1. 现场检查和非现场事后监督; 2. 要求提供事后评估实体采取网络安全风险管理措施的信息; |
|
| 共同点:安全审计、安全扫描、访问监管任务信息、获取证据、安全事件报告等 | ||
| 执法 | 受到最高1000万欧元或基本实体所属企业上一财政年度全球年营业额的至少2%,以较高者为准。 | 受到最高700万欧元或最高100万欧元的行政罚款。重要实体所属企业上一财政年度全球年营业额的至少1.4%,以较高者为准。 |
三、特点分析
与《NIS 指令》相比来看,《NIS 2指令》反映了欧盟对网络安全治理的新理念,主要体现在以下四方面。
(一)扩大网络安全监管范围
将《NIS指令》中原有的基本服务运营商(OES)和数字服务提供商(DSP)的概念,升级为新的“基本实体”和“重要实体”,涵盖更多行业部门,并扩展了数字基础设施范围。此外,对实体还提出建立清单、实施风险管理和报告网络事件等新监管要求。
表3 《NIS指令》与《NIS 2指令》实体范围对比
| NIS | NIS 2 |
| 数字服务提供商 | 重要实体 |
| 在线市场、在线搜索引擎、云计算服务 | 数字服务提供商(在线市场、在线搜索引擎、社交网络服务平台) |
| / | 邮政和快递服务 |
| / | 废弃物管理 |
| / | 化学品的制造、生产和分销 |
| / | 食品生产、加工和流通 |
| / | 制造业(医疗器械、计算机及电子、机械设备、汽车制造等) |
| / | 研究机构 |
| 基本服务运营商 | 基本实体 |
| 能源(电力、石油、天然气) | 能源(电力、区域供热和制冷、石油、天然气) |
| 交通(航空运输、铁路运输、运输、道路交通) | 交通(航空、铁路、水路和公路) |
| 银行 | 银行 |
| 金融市场基础设施 | 金融市场基础设施 |
| 医疗保健(医疗机构) | 医疗(从事医药产品研发活动、突发公共卫生事件期间制造被视为关键医疗器械的实体等) |
| 饮用水输送和供应 | 饮用水 |
| 数字基础设施(IXP、DNS服务提供商、TLD名称注册管理机构) | 数字基础设施(互联网交换点、DNS提供商、TLD注册、云计算服务提供商、数据中心服务提供商、内容分发网络、可信服务提供商、以及公共电子通信网络和电子通信服务) |
| / | ICT服务管理(托管服务提供商、托管安全服务提供商) |
| / | 废水 |
| / | 公共管理 |
| / | 太空 |
(二)加大监管和执法力度
一是明确了企业主体责任。《NIS 2指令》强调企业应承担的网络安全风险管理、预防等责任,并实际将中型及以上的企业、小型或微型企业都纳入监管范围。
二是提出了更严格的执法要求,明确实体处罚清单和罚款额度、明确对个人数据泄露侵权行为的处罚等;
三是授权监管机构更多监管职责,建立实体事前事后监管制度、开发域名注册数据数据库、协调成员国之间的制裁制度、解释管辖权等;
四是加大了实体合规义务,增加新的网络安全义务,相关产业须遵守新的流程与政策。
(三)加强国际合作和协调
《NIS 2指令》一方面完善了欧盟成员国之间的协调机制,包括设立新机构、加强合作小组在制定战略决策方面的作用等。另一方面《NIS 2指令》强化了各机构的业务合作和协调能力,包括建立同行评审系统、加强信息共享规范和协议方面的互操作性等。同时,《NIS 2指令》还明确和拓展了成员国间的合作领域,如网络安全能力培训、网络教育、网络态势感知等,合作内容包括促进成员交流沟通、开展网络安全演习、协调漏洞披露等。此外,《NIS 2指令》鉴于需要通过成员国当局转换进成员国法律方能适用的现实,仅制定了监管框架的最低规则,以推动欧盟各成员国间差异的协调。
(四)注重法规实施情况评估
欧盟网络安全局从2019年起连续四年发布了《关于欧盟网络和信息安全投资的最新报告》,评估NIS在过去一年中如何影响运营商的网络安全预算。结合NIS 2的立法转化进度来看,该评估机制预计仍会继续。
四、影响思考
《NIS 2指令》在一定程度上也反映了欧盟下一步的网络安全治理思路。总体来看,其对欧盟网络安全发展至少会产生以下三方面影响。
- 推动区域性法规制度和机构健全。《NIS 2指令》指定的是最低监管原则,同时规定了自由裁量权,为实际规则的落实预留了一定空间,每个成员国均可结合实际,制定不同的法规、标准规范、行业政策等。同时,《NIS 2指令》所规定的相关工作机构,也需要在成员国层面建立相应的协同机制。
- 促进欧盟自身产业和市场发展。《NIS 2指令》拓展了适用的实体范围,使其成为更广范围内、涵盖更广泛主体的网络安全规则,有助于促进高水平安全共识的培育和形成。同时,《NIS 2指令》中涉及网络安全产品、技术和服务的内容,以及实行统一认证等制度创新,将进一步促进欧盟内部网络安全产业生态的形成和发展。
- 进一步加大外部企业的进入门槛。欧盟在对待网络信息技术领域的外来竞争与合作实践中,通常倾向于采取较为严格的标准。该指令生效实施,无疑会增加外部服务提供者的合规要求。因此,对于别国相关机构和企业而言,不可避免地会涉及相关产业发展策略的调整、机制的完善等。