2026年1月20日,欧盟委员会提出了一项新的网络安全一揽子方案(new cybersecurity package),以进一步增强欧盟在面对日益增长的威胁时的网络安全韧性与能力,该方案主要包含《网络安全法案》(Cybersecurity Act)修订提案和对《NIS2指令》(NIS2 Directive)的修订。本文将通过问答的形式,对该提案内容进行解读。
欧盟委员会为何提出新的《网络安全法案》提案?
自2019年欧盟《网络安全法案》通过以来,地缘政治格局已发生变化,网络威胁态势(cyber threat landscape)显著变化,欧盟认为这些变化可能对其关键领域造成影响。欧盟同时认为,技术进步催生了比以往更复杂的网络威胁,包括国家行为体在内的行为体已发展出破坏欧洲关键经济部门和社会职能的能力。
为应对这些新挑战,欧盟委员会提议修订《网络安全法案》,使欧盟的网络安全框架和能力更加灵活高效,从而让欧盟做出更充分的应对准备。
《网络安全法案》的关键要素有什么?
欧盟《网络安全法案》新提案希望通过四个关键要素强化其网络安全框架:
制定框架来应对关键基础设施中ICT供应链安全挑战;
简化并完善欧洲网络安全认证框架(European cybersecurity certification framework,简称ECCF);
引入简化措施,减少与欧盟《NIS2指令》(NIS2 Directive)实施相关的不必要行政负担;
加强欧盟网络安全局(European Union Agency for Cybersecurity, 简称ENISA)作用,使其能够完成相应使命。
谁将是修订后《网络安全法案》的受益者?
欧盟认为,修订后的欧盟《网络安全法案》将强化欧盟的网络防护态势(cybersecurity posture),惠及更广泛的经济体、公民、企业和公共机构。该法案将为企业的合规证明提供简化途径,降低其行政成本,并协助企业招募和培训网络安全专业人员。
该倡议如何与其他欧盟政策协同?
修订版《网络安全法案》提案将与即将出台的欧盟《云与人工智能发展法案》(Cloud and AI Development Act, 简称CADA)及《数字综合法案》(Digital Omnibus)互为补充。CADA将确保公共部门中关键性非常高的各用例将由欧盟本地的安全的云和AI计算服务提供支持。《数字综合方案》(Digital Omnibus)则旨在简化欧盟网络安全规则的实施。
ICT供应链的安全性将如何被加强?
《网络安全法案》旨在为欧盟ICT供应链降低来自引发网络安全担忧的第三国供应商所带来的风险。该法案基于协调、相称和基于风险的方法,建立可信的ICT供应链安全框架。
欧盟认为,近期的网络安全事件凸显了ICT供应链漏洞的重大风险——ICT供应链对关键服务和基础设施的运行至关重要。在当今地缘政治格局下,欧盟认为供应链安全已不再仅仅是产品与服务的技术安全性问题,还包括与供应商相关的风险,特别是依赖性和外国干预风险。
欧盟网络安全局(ENISA)将如何得到加强?
该提案强化了ENISA在以下方面的作用:业务合作、网络威胁与事件的共享态势感知、标准与认证,以及勒索软件攻击缓解措施的支持和网络安全技能学院(Cybersecurity Skills Academy)的实施。
提案拟将ENISA预算增加75%以上,以确保其拥有履行任务的足够资源。
欧盟每个成员国将通过每国指派两名联络官(liaison officers)的方式为这一预算的预算的增加作出贡献,以促进其成员国间的业务合作与信息交流。
ENISA在标准化方面的职能是什么?
标准和技术规范对于促进企业和公共机构的实施工作、保障网络安全规则在内部市场统一适用(特别是《网络弹性法案》所衍生的规则)具有关键作用。
在国际层面,各项标准塑造了最先进的网络安全实践以及技术的设计与维护方式。依据《欧洲标准化法规》(European Standardization Regulation),ENISA的职能将得到加强,以便其能够按照欧盟价值观,更有效地参与欧洲及国际层面的网络安全标准制定工作。ENISA将确保标准化成果满足网络安全领域的法律需求,例如通过支持委员会评估协调标准。若无可用标准满足立法需求,ENISA将制定技术规范,特别是针对欧洲网络安全认证方案。
《欧洲网络安全认证框架》(ECCF)的主要变更有哪些?
新版ECCF将引入三项主要变更:
框架范围得到明确和扩展,以确保法律确定性并满足市场需求。认证是技术性网络安全保证的一种手段,ICT供应链安全机制将对其形成补充。实体将能够对其网络防护态势进行认证——除ICT产品、服务、流程及托管安全服务外,这意味着实体可使用此类证书证明合规性,并推定符合《NIS2指令》及其他欧盟立法。
规定了明确的时限和交付成果,并建立了更高效、有效的治理框架以制定和维护认证方案。ENISA作为方案管理人(scheme manager),负责认证方案的维护。ENISA为认证方案的制定设定了法定时限。应欧盟委员会请求,ENISA原则上应在一年内制定候选方案。
认证方案应作为企业的合规工具。任何认证方案均须与现行网络安全立法保持一致。认证方案之间的一致性及更高程度的协调将意味着企业合规负担的减轻。
新措施将如何为企业遵守网络安全规则提供更多便利?
新版《网络安全法案》一揽子方案还引入了澄清和简化措施,以便利在欧盟运营的企业遵守现行网络安全规则及风险管理要求。
此举是对《数字综合方案》中提出的事件报告单一入口点(single-entry point for incident reporting)的补充。
该一揽子方案还提议对《NIS2指令》进行有针对性的修订:
明确范围和定义的若干方面,提高法律清晰度,为28000余家公司(包括6000多家微型和小型企业)消除合规负担;
引入新的中小市值企业类别(small mid-cap enterprises),为22000多家公司降低合规成本;
增加简化管辖权规则、整合勒索软件攻击数据收集、便利跨境实体监督的措施,并强化ENISA的协调作用。
关于网安法案修订的前期报道,欢迎访问:
