文 | 國家工業(yè)信息安全發(fā)展研究中心 王麗穎
當前，網絡空間已成為繼海、陸、空、天之后的第五大主權領域空間，不僅事關經濟安全和社會穩(wěn)定，更是國際競爭與政治博弈的關鍵領域。同其他領土主權一樣，保障網絡空間安全就是保障國家安全。關鍵基礎設施（以下簡稱“關基”）作為網絡空間的“神經中樞”，其功能穩(wěn)定與服務持續(xù)是維護國家安全和社會穩(wěn)定的核心要素。以歐盟、美國和日本等為代表的各國紛紛出臺相關戰(zhàn)略規(guī)劃、法律法規(guī)以及實施方案，進一步加大對關基的網絡安全保護力度。其中，歐盟較早認識到關基網絡安全保護的重要性，陸續(xù)頒布《保護關鍵基礎設施的歐洲計劃》《歐盟網絡安全戰(zhàn)略》等一系列政策指令。尤其在協調成員國強化關基網絡安全防護力度方面，歐盟更是加大工作力度。2022 年以來，歐盟又通過了《關于在整個歐盟全境實現高度統一網絡安全措施的指令》《關于關鍵設施彈性的指令》《網絡彈性法案》、關基保護藍圖、《數字運營彈性法案》以及《人工智能法案》等多項政策，這些政策的實施將進一步提升關基網絡安全防護能力和水平。

一、搭建了一套較為完善的關基網絡安全防護法律體系

歐盟全面強調關基網絡安全保護的重要性，陸續(xù)出臺多項政策，實行以風險管理為基礎的網絡安全治理策略。

一是 NIS 2 指令是歐盟關基網絡安全防護的“基準線”。2022 年 12 月，歐洲議會和理事會共同通過了《關于在整個歐盟全境實現高度統一網絡安全措施的指令》（NIS 2 指令），確定了整個歐盟關基的網絡安全法律框架。NIS 2 指令作為歐盟關基網絡安全防護的核心法規(guī)，構建了一套基于分級分類原則的網絡安全防護體系。根據關基實體的重要性和規(guī)模上限要求，NIS 2 指令明確十類基本實體和六類重要實體，清晰界定受管轄范圍和具體對象。針對不同類別的實體規(guī)定不同的網絡安全風險管理和事件報告要求，提高了關基網絡安全防護的針對性，并規(guī)定了違規(guī)行為的具體懲罰措施，通過制定極高的罰款金額，倒逼關基實體提高對內生網絡安全的重視。
二是 CER 指令是歐盟關基網絡安全防護的“配套法則”。2022 年 12 月，歐盟通過了《關于關鍵設施彈性的指令》（CER），該指令明確歐盟地區(qū)的關基領域主要涉及 11 個領域，并明確識別關基實體的考慮因素和安全義務。CER 指令是 NIS2 指令的“配套法則”，根據 CER 指令被確定為關基實體的重點行業(yè)企業(yè)和機構也將受到 NIS 2 指令的網絡安全義務約束。同時，CER 和 NIS 2 指令下的國家主管部門必須定期合作和交換相關信息，如網絡和非網絡風險、威脅和事件等。
三是 CRA 法案是歐盟關基網絡安全防護的“產品檢驗法”。2022 年 9 月，歐盟委員會發(fā)布《網絡彈性法案》（CRA），該法案規(guī)定，特定關基實體必須使用經安全認證的信息和通信技術產品，進一步加強關基中數字產品的網絡安全。CRA 法案是歐盟關基實體中軟硬件等數字產品的“檢驗法”，根據網絡安全風險級別的不同，數字產品被劃分為 I 類和 II 類，為產品制造商、進口商和分銷商等主體設定了不同的網絡安全評估要求，確保不同主體在數字產品供應鏈的網絡安全中承擔起各自的責任。
四是關基保護藍圖是歐盟關基網絡安全防護的“國際協作指南”。2023 年 9 月，歐盟委員會提出“協調聯盟層面行動以應對關鍵基礎設施中斷造成重大跨境影響的規(guī)劃藍圖”（以下簡稱“關基保護藍圖”）。該藍圖旨在通過落實國內協調聯動措施，提升國際聯合應對能力，實施關基網絡安全事件分類分級管理，以改善關基網絡安全等危機造成的破壞性跨境影響，加大智能化響應能力，強化關基復原力，確保關基恢復的時效性和有效性。
五是 DORA 法案及 AI 法案等是歐盟關基網絡安全防護的“細分法則”。為配合 NIS 2 指令的落地與實施，歐盟在金融等特定關基領域中，制定了更為細致的法則。在金融領域，2022 年 11 月，歐盟理事會通過了《數字運營彈性法案》（DORA），主要針對金融領域中的關基實體，該法案由 DORA 主管部門與 NIS 2 指令下設的單一聯絡點（SPOCs）和計算機安全事件應急響應小組（CSIRT）協商并共享安全信息，以預防和減輕針對金融領域的網絡威脅，確保金融實體的彈性運作。同時，就關基領域中的 AI 技術使用問題，2022 年 6 月，歐洲議會通過了《關于“歐洲議會和理事會條例：制定人工智能的統一規(guī)則（人工智能法案）并修訂某些聯盟立法”的提案》（簡稱“AI 法案”）。該法案將關基領域中的 AI 應用風險列為高風險，作為重點監(jiān)管對象，并提出了具體的監(jiān)管措施。
二、明確關基實體范疇并確立分類分級的關基實體清單

一是清晰界定關基實體涉及的 11 個領域和范疇。歐盟 CER 指令中界定的關鍵實體指提供基本服務，維護關鍵社會職能、經濟、確保公眾健康和安全、環(huán)境的機構，具體包括能源、交通、銀行、金融市場基礎設施、醫(yī)療、供水、廢水、數字基礎設施、公共管理、太空、食品等 11 個領域。在這些領域內，CER 指令要求歐盟成員國詳細梳理出本國的關基實體清單，并對其開展全面的安全風險評估。評估內容涉及兩個主要方面：一是關基實體面臨的各種風險，包括自然災害人為事故、突發(fā)公共衛(wèi)生事件、潛在的敵對威脅和恐怖主義活動等；二是關基實體提供的基礎服務特性，以及這些服務對其他領域的依賴程度。一旦實體發(fā)生安全事件，它可能對所提供的基本服務或該領域其他基本服務產生重大破壞性影響。在梳理安全風險的過程中，還需考慮關基實體提供的基本服務的用戶數量、其他部門對該服務的依賴程度、安全事件可能對經濟、社會運轉、環(huán)境和公共安全造成的影響程度和持續(xù)時間等因素。此外，實體在基本服務領域所占的市場份額、可能受事件影響的地理區(qū)域、實體在維持基本服務水平方面的重要性，以及其他替代方案的可行性。

二是通過自主登記制度確定關基實體清單。為了進一步落實關基實體清單，NIS 2 指令敦促歐盟成員國在 2025 年 3 月前，通過基本實體和重要實體的自我注冊機制，形成關基管轄范圍內的所有實體清單。該清單詳細列出每個實體的名稱、內部下屬部門和分部門、地址、電子郵件和電話號碼等聯系信息，以及實體活躍的成員國名單。因此，NIS 2 指令按照“規(guī)模上限原則”，將未達到一定規(guī)模門檻的實體排除在管理范圍之外。例如，員工數量少于 10 人、年收入 200 萬歐元或以下的小型和微型企業(yè)被排除在外。然后根據這些實體的規(guī)模大小、所在領域和重要程度，將他們分為基本實體和重要實體兩類，其中基本實體包括能源、健康、交通、飲用水、廢水、空間、公共政府、信息通信技術服務管理（B2B 商家對商家）、金融市場基礎設施、銀行業(yè)、數字基礎設施（包括互聯網服務提供商 ISP 和云）等。這類實體的員工數量通常為 250 人，年營業(yè)額為 50 萬歐元或資產負債表為 43 萬歐元。重要實體則包括數字供應商、研究、郵政和快遞服務、食品生產與分銷、制造業(yè)、化學品制造生產和分銷、廢棄物管理等，這類實體的員工數量通常為 50 人，年營業(yè)額為 10 萬歐元或資產負債表為 10 萬歐元。

三是根據網絡安全風險級別劃定關基中數字產品的不同類別。關基中使用的數字產品涵蓋了各種軟件和硬件產品，以及遠程數據處理解決方案。CRA 根據產品存在網絡安全風險的相關級別，分為三類“具有數字元素的關鍵產品”，即 I 類、II 類和默認類別。其中，關基中的數字產品涉及 I 類和 II 類，這兩類產品須滿足不同的網絡安全要求。I 類產品包括 NIS 2 指令中描述的基本實體使用的集成電路和門陣列、移動設備和應用程序管理軟件、遠程訪問軟件、身份和訪問管理軟件、瀏覽器等。這些產品必須堅持應用標準或完成第三方評估以證明網絡安全的符合性。II 類產品包括供 NIS 2 中描述的基本實體使用的工業(yè)物聯網設備、供 NIS 2 中描述的基本實體使用的工業(yè)自動化和控制系統、智能電表、工業(yè)開關、安全元件、硬件安全模塊、工業(yè)用防火墻等，須完成第三方符合性評估。

三、建立關基實體網絡安全責任制并明晰具體職責和義務

一是確定關基實體的風險評估職責和義務。CER 指令規(guī)定，關基實體應開展安全風險評估，及時采取技術和組織等措施增強安全彈性，并向當局報告安全事件。歐盟成員國當局應向關基實體提供支持，對跨國和跨部門風險、最佳實踐、方法、跨國培訓和演習活動等方面給予補充支持，并確保國家當局擁有權力和手段對關基實體進行現場檢查，能夠對不遵守指令的行為進行處罰。

二是規(guī)定關基實體承擔網絡安全管理責任、風險管理、事故通知等義務。NIS 2 指令提出了關基實體應承擔的具體網絡安全義務。在管理責任方面，基本實體和重要實體必須批準并監(jiān)督網絡安全措施的實施，對違規(guī)行為問責，并定期組織網絡安全培訓。在風險管理方面，基本實體和重要實體必須加強風險分析與信息系統安全，優(yōu)化網絡安全事故處理流程，采取備份、災難恢復、危機管理等確保供應鏈安全和業(yè)務連續(xù)性，實施加密策略確保網絡衛(wèi)生。在事故通知方面，簡化重大網絡安全事件的報告義務，基本實體和重要實體須在 24 小時內向國家主管部門或 CSIRT 報告重大事件，72 小時內對事件嚴重性、影響等進行初步評估，1 個月內對事件詳細信息、根本原因等進行總結上報。三是規(guī)定關基中數字產品制造商、進貨商和經銷商等主體的不同義務。CRA 提出，關基中數字產品的規(guī)制主體包括制造商、進口商、分銷商及其他必須履行法案規(guī)定義務的自然人或法人，并針對不同類型的主體施加了不同義務。其中，制造商對設計、開發(fā)和生產的數字產品需符合 CRA 規(guī)定的網絡安全要求。經質量評估和網絡安全評估后，制造商必須為產品張貼 CE 標志，并提供清晰、易懂、可理解和易讀的產品隨附信息和說明，以確保用戶安全地安裝、操作和使用。進口商需確認數字產品符合質量和網絡安全要求，并在產品包裝或隨附文件中標明商家名稱、注冊商標、電子郵件等，并對產品的網絡安全漏洞或事件承擔報告義務。經銷商則需要確保銷售的數字產品帶有 CE 標志，產品中包含制造商的隨附信息和說明以及進口商的聯系信息等。四是規(guī)定關基中高風險 AI 系統的網絡安全義務。AI 法案針對關基中的高風險 AI 系統，從入市前到入市后，制定了全流程風險管理措施。在高風險 AI 系統投入市場前，AI 提供者應建立和維持風險管理系統，識別潛在的風險，確保人工可對 AI 系統進行監(jiān)督，并干預存在“自動化偏見”的輸出結果。投放入市時，AI 提供者需向主管機關提供 AI 系統開發(fā)過程、檢測、運作和控制等系統相關必要信息，確保 Al 系統的性能符合預期目的及各項管理要求，并貼上 CE 標志。投入使用后，AI提供者應當建立入市后的檢測系統，收集、記錄和分析 AI 系統在整個生命周期的可靠性、性能和安全性等數據，評估 AI 系統對法規(guī)的持續(xù)遵守情況。當 AI 系統發(fā)生嚴重故障或侵犯人類基本權利的事件時，提供者需在 72 小時內向國家監(jiān)督機構報告。

四、完善關基事件協調應對制度以及時提升關基復原力

一是明確關基事件協調應對機制啟用的觸發(fā)條件。關基保護藍圖明確了觸發(fā)聯盟應對機制的兩類重大關基事件：第一，對六個及以上成員國提供基本服務的關基造成破壞性影響；第二，對兩個及以上成員國提供基本服務的關基造成破壞性影響，且理事會輪值主席國與其他成員國一致認為由于具有廣泛且重大的技術或政治影響需要聯盟層面協調和響應的情況。通過設定聯盟協同應對機制的觸發(fā)條件，可以迅速精準地識別和理解關基面臨的威脅程度，確定關基事件的優(yōu)先級和緊急程度，合理分配不同等級資源，采取適宜的安全措施和防護策略。

二是構建分工明確的協調管理機制。關基保護藍圖建立了按照職責分工相互配合、層次分明的聯盟協作應對體系。但當關基事件達到聯盟應對機制的觸發(fā)條件時，歐盟成員國、歐盟理事會、歐盟委員會、歐盟對外行動署（EEAS）等聯盟機構及歐洲刑警組織等執(zhí)法機構應在關基保護藍圖框架內相互合作，通過固定的聯絡點交流事件信息并協調應對行動，這樣可以最大程度地緩解關基事件帶來的破壞性跨境影響，并及時恢復關基的正常運行。為了確保應對舉措的有序性和應急性，上述參與者應聯合關基運營商等私營企業(yè)定期演練聯盟協調應對機制，不斷優(yōu)化國家、區(qū)域和聯盟層面的協調響應能力。同時通過理順職能部門和執(zhí)法部門的職責關系，逐步構建并優(yōu)化協同高效的多部門間應急履職體系。此外，完善突發(fā)事件應急流程，提高關基安全事件處置效率，并針對應急演練中發(fā)現的突出問題和漏洞隱患，及時整改加固，完善保護措施。
三是規(guī)定信息交換和公開溝通流程。關基保護藍圖提出針對重大關基事件啟動聯盟協調應對機制的第一步是確保所有相關者的信息交流及公共溝通的順暢。發(fā)生重大關基事件后，由國家主管部門率先通過單獨聯絡點與輪值主席國聯絡，交換關基運營主體及已采取的網絡和物理措施等詳情。歐盟應急協調反應中心（ERCC）作為危機應對業(yè)務部門，實時監(jiān)控、協調和支持聯盟層面的緊急情況，增強跨部門協調。與此同時，歐盟委員會立即組織召開關基恢復小組專家會，所在國家主管部門匯報重大關基事件的性質、原因、影響、應對舉措、對受影響成員國提供的技術支持等。歐盟委員會根據交換信息編寫綜合態(tài)勢感知和分析報告（ISAA），包括從網絡安全角度評估歐盟層面的風險情況及委員會等各機構采取的緩解舉措，旨在提高聯盟層面的透明度，以信息共享為基礎，加強態(tài)勢感知，積極構建歐盟成員國及委員會等相關方廣泛參與的信息共享、協同聯動的防護機制。
四是確定聯盟協調應對和處理規(guī)則。關基保護藍圖提出針對重大關基事件啟動聯盟協調應對機制的第二步是基于關基事件的規(guī)模和影響而采取協調應對行動。歐盟理事會民事保護工作組關基恢復小組基于 ISAA，組織召開專家會議，搭建溝通平臺，請求其他成員國或聯盟機構的技術支持。其他成員國及歐洲刑警組織等機構評估可提供的技術支持以減輕重大關基事件的影響。在必要情況下，可配合啟動快速警戒系統機制（ARGUS）、綜合政策威脅響應機制（IPCR）、共同體民事保護機制（UCPM）等其他應急響應機制，請求更多成員國幫助并探討協調應對舉措。若涉及國際安全影響，EEAS 可召開歐盟——北約恢復結構性對話會議，交流歐盟和北約分別采取的有關措施，加強國家主管部門的響應及與其他成員國、聯盟機構等的合作，做到統一指揮、快速調度，迅速解決關基中斷問題并重建基本服務。另外，由歐盟理事會和委員會準備公共溝通話術，消除公眾信息差，最大程度地減少重大關基事件后向公眾傳達的信息差異，避免虛假信息傳播。

五、設立針對關基實體的懲罰制度以倒逼網絡安全水平提升

一是明確關基中基本實體和重要實體違規(guī)的懲罰舉措。NIS 2 指令對違反法律要求未履行及時報告義務、未實施網絡安全風險管理措施的關基實體提出了嚴格的懲罰舉措，基本實體將面臨高達年營業(yè)額 2% 或 400 萬歐元的罰款，重要實體將面臨高達年營業(yè)額 1% 或 200 萬歐元的罰款，二者均以較高者為準，這一舉措旨在提高關基實體對內生網絡安全的重視。

二是明確關基中使用違規(guī)數字產品的懲罰舉措。關基中使用的數字產品，如果違反 CRA 規(guī)定的網絡安全要求和制造商義務，將面臨最高 1500 萬歐元或上一財政年度全球年營業(yè)額的 2.5% 的罰款，以較高者為準。若違反其他義務，將面臨最高 1000 萬歐元或上一財政年度全球年營業(yè)額 2% 的罰款，以較高者為準。若向指定機構和市場監(jiān)督機構提供不準確、不完整或誤導性的信息，將受到最高 500 萬歐元或上一財政年度全球年營業(yè)額的 1%的罰款，同樣以較高者為準。

（本文刊登于《中國信息安全》雜志2024年第1期）