欧盟合规资讯：新一揽子方案提议修订《网络安全法案》

当前所在位置：

网站首页 > 活动

2026.02.03 16:37

来源：admin

分享到：

背景

2019年6月27日，欧盟2019年《网络安全法案》正式施行，是欧盟继《通用数据保护条例》 [General Data Protection Regulation，法规编号(EU) 2016/679，简称GDPR）、《非个人数据自由流动条例》 [Free flow of non-personal data in the European Union，法规编号 (EU) 2018/1807] 之后，又一部重磅网络安全顶层设计法律，2024年12月19日法案的第一次修订发布，欧盟编号（EU）2025/37。

2026年1月20日，欧盟委员会就新网络安全一揽子方案（new cybersecurity package）做出提案，以进一步增强欧盟的网络安全韧性与能力。该方案主要包含《网络安全法案》（Cybersecurity Act）修订提案，欧盟委员会希望此举能加强欧盟信息和通信技术（ICT）供应链的安全性，通过更简化的认证流程，确保进入欧盟公民手中的产品在设计上即具备内置网络安全。此外，欧盟委员会认为该提案有助于企业遵守现有的欧盟网络安全规则，并通过加强欧盟网络安全局（EU Agency for Cybersecurity，简称ENISA）的职能，支持欧盟成员国及欧盟应对网络安全威胁。本文将介绍该提案的主要内容。

增强欧盟ICT供应链安全性

新《网络安全法案》提案，将对供应商因来自引发网络安全担忧的第三国而引发的欧盟ICT供应链风险，具体是通过协调、相称、基于风险的方法，建立一个可信ICT供应链安全框架。这样就能将使欧盟及其成员国能够共同识别并缓解欧盟18个关键领域的风险，同时兼顾经济影响和市场供应。

欧盟认为，近期的网络安全事件凸显了ICT供应链中的漏洞所带来的重大风险，而这些供应链对关键服务和基础设施的运行至关重要。在当今地缘政治格局下，供应链安全已不再仅仅是产品或服务的技术安全性问题，还包括与供应商相关的风险，尤其是依赖性和外国干预风险。

基于欧盟现有5G安全工具箱（5G security toolbox）已开展的工作，欧盟希望《网络安全法案》（Cybersecurity Act）将实现让欧洲移动通信网络强制性地从高风险第三国供应商去风险化（derisking）的目标。

简化并完善欧洲网络安全认证框架

修订后的《网络安全法案》（Cybersecurity Act）内容，将确保欧盟消费者获得的产品和服务能以更高效的方式进行安全测试，具体措施将通过提案中建议的对《欧洲网络安全认证框架》（European Cybersecurity Certification Framework, 简称ECCF）进行更新来实现。欧盟认为更新后的ECCF能带来更清晰的规则和更简化的程序，使认证方案的制定在常规情况下能在12个月内完成。新提案中的措施还将引入更灵活透明的治理机制，通过公开信息和磋商更好地让利益相关方参与其中。

由ENISA管理的认证方案将成为企业自愿使用的实用工具，使企业能够证明其符合欧盟法规，从而减轻负担和成本。除ICT产品、服务、流程及托管安全服务外，相关公司和组织将能够证明其网络防护态势（cyber posture）以满足市场需求。最终，更新后的ECCF将成为欧盟企业的竞争优势。对于欧盟公民、企业和公共机构而言，它将确保在复杂的ICT供应链中获得高水平的安全性和信任度。

促进遵守网络安全规则

该一揽子方案还引入了措施来简化在欧盟运营的公司能遵守欧盟网络安全规则和风险管理要求的流程，这也是对《数字综合方案》（Digital Omnibus）中提出的“事件报告单一入口点（single-entry point for incident reporting）”的补充。

提案中对《关于在欧盟实现高度统一网络安全措施的指令》（英文全称Directive on Measures for High Common Level of Cybersecurity across the Union，简称NIS2 Directive，即“《NIS2指令》”）的有针对性修订，旨在提高法律明确性。这些修订将为包括中小企业在内的诸多公司的合规提供便利。

该方案提案中还将引入一个新的中小市值企业类别（small mid-cap enterprises），以为多家符合相应条件的公司降低合规成本。总来的来说，欧盟希望此类修订将简化管辖权规则，整合勒索软件攻击数据的收集，并借助ENISA得到强化的协调作用，便利对跨境实体的监督。

赋能ENISA以提升欧洲网络安全韧性

自2019年首部《网络安全法案》通过以来，ENISA已被欧盟视为其网络安全生态系统的基石。欧盟希望此次提案中的修订后《网络安全法案》，使ENISA能够帮助欧盟及其成员国了解共同威胁，并做好应对网络事件的准备和响应。

根据修订内容，ENISA将通过发布网络威胁和事件的早期预警，进一步支持在欧盟运营的公司和利益相关方，并将与欧洲刑警组织（Europol）和计算机安全事件响应团队（Computer Security Incident Response Teams）合作，支持公司应对勒索软件攻击并从中恢复。ENISA还将在欧盟层面制定相应方法，为利益相关方提供更优质的漏洞管理服务，并将负责运营上文提到的“事件报告单一入口点”平台。

下一步工作

该一揽子方案提案将提交欧洲议会和欧盟理事会批准，《网络安全法案》（Cybersecurity Act）也将在上述机构全部批准后立即生效。

方案提案中的《NIS2指令》修订也将一并提交批准。一经通过后，欧盟成员国将有一年时间将该指令转化为国内法，并将相关文本通报欧盟委员会。