《网络团结法案》—欧盟网安协作的纽带

基于欧盟网络安全战略，欧盟委员会于2023.04.18发布《网络团结法案》（Cyber Solidarity Act）以及网络安全技术学院（The Cybersecurity Skills Academy）计划。该法案从网络安全协作、网络安全能力储备等方面进行了规划，旨在提升检测、准备和响应网络安全事件方面的能力，从而更好地应对重大的和大范围的网络安全事件。

图1 欧盟《网络团结法案》

二. 背景与目的

2.1

背景与需求

该法案的提出，基于如下背景：信息和通信技术的使用和依赖已成为经济活动的所有部门的基本方面，公共行政部门、公司和公民比以往任何时候都更加相互联系、相互依赖。对数字技术的大量采用增加了网络安全的暴露面。与此同时，各国正面临着日益增长的网络安全风险和整体复杂的威胁格局，网络安全事件从一个国家迅速蔓延到其他国家的风险也在增加。网络战也越来越融入到混合战争中，给被攻击方带来重大影响。信息的共享可以大幅减少威胁检测的时间，通过成立跨国网络运行中心等，可以提升检测、响应能力。

2.2

目的

《网络团结法》将加强欧盟一级的团结，以更好地检测、准备和应对网络安全威胁和事件。它的主要目标是：

1. 加强欧盟对网络威胁和事件的共同检测和态势感知；
2. 加强整个欧盟关键实体的准备工作，并通过发展应对重大或大规模网络安全事件的共同应对能力来加强团结；
3. 通过审查和评估重大或大规模事件，包括吸取经验教训，并提出适当的建议，以提高欧盟的网络韧性，并为有效的响应作出贡献。 而为了实现上述目标，欧盟将采取如下手段：
4. 部署泛欧洲安全运行中心基础设施（即欧洲网络盾），以建立和增强公共的检测和态势感知能力。
5. 建立网络安全应急机制，以支持成员国准备、应对重大和大规模的网络安全事件并快速恢复。并向欧洲各组织、实体、办事处和欧盟的各机构提供对事件响应的支持。上述行动将得到数字欧洲计划（DEP，见4.2.4节）的资金支持。
6. 建立一个欧洲网络安全事件管理机制，以审查和评估重大或大规模的安全事件。

图2 团结法案的三大目的[1]

三. 法案主要内容

从上节提到的途径，我们也能看出，本方案的具体工作内容包括网络盾、网络应急机制、安全事件管理机制（安全事件审查机制）等。

3.1

建立欧洲网络盾

建立一个相互连接的泛欧洲安全运营中心基础设施——欧洲网络盾。这个网络盾包括所有国家级安全运营中心（“国家级安全运营中心”）和跨境安全运营中心（“跨国安全运营中心”），以提升欧盟检测、分析和处理欧盟内网络威胁和事件数据的先进能力。

实施欧洲网络盾的行动需得到数字欧洲计划的资金支持，并按照数字欧洲计划第三章进行实施（数字欧洲计划第三章即是针对网络安全的）。

欧洲网络盾需实现如下的主要功能：

1. 通过跨境安全运营中心汇集和共享来自各种来源的网络威胁和事件的数据；
2. 通过使用最先进的工具，特别是人工智能和数据分析技术，生产高质量、可操作的信息和网络威胁情报；
3. 更好地保护和应对网络威胁；
4. 更快地检测网络威胁和态势感知；
5. 为欧盟内的网络安全社区提供服务和活动，包括帮助开发先进的人工智能和数据分析工具。

3.1.1

建立国家级安全运营中心

1. 为了参与欧洲网络盾，每个成员国应指定至少一个国家级安全运营中心。国家级安全运营中心应为公共机构，应有能力作为国家一级其他公共和私人组织的参考点和门户，以收集和分析有关网络安全威胁和事件的信息，并为跨境安全运营中心提供支撑。国家级安全运营中心应配备能够检测、聚合和分析与网络安全威胁和事件相关的数据的最先进的技术。
2. 在国家级安全运营中心提出申请后，欧洲网络安全能力中心（“ECCC”）选择一些国家级安全运营中心参加与ECCC联合进行的工具和基础设施采购。ECCC将向选定的国家级安全运营中心提供资助，用于工具和基础设施的运作。欧盟的财政支持应达到支付工具和基础设施采购成本的50%，以及运营成本的50%，其余费用由成员国承担。

3.1.2

建立跨境安全运营中心

1. 托管联盟（Hosting Consortium）由至少三个成员国组成，由各自的国家级安全运营中心为代表，致力于共同协调其网络检测和威胁监测活动的，并有资格参与建立跨境安全运营中心的行动。
2. 在托管联盟提出申请后，ECCC选择一个托管联盟，参与同ECCC联合进行的工具和基础设施采购。ECCC向托管联盟提供拨款，以资助其工具和基础设施的运作。欧盟的财政支持应达到工具和基础设施采购成本的75%，以及达到50%的运营成本，其余费用由托管联盟承担。
3. 跨境安全运营中心由一个国家级安全运营中心作为代表，或者由具有法律实体的托管联盟为代表。 简单的说，就是一个国家至少有一个国家级安全运营中心，三个及以上的国家可组建一个联盟，然后从这些联盟中选取一个作为跨境安全运营中心。

3.1.3

跨境安全运营中心内部和之间的合作和信息共享

1. 联盟成员应在联盟内交换相关信息，包括有关网络威胁、漏洞、技术和程序、安全指标、对抗战术、威胁特定信息、网络安全警报和关于网络安全工具配置检测网络攻击的建议，主要目的是：
   1. 旨在预防、检测、响应或从事件中恢复，或减轻其影响；
   2. 提高网络安全水平，特别是通过提高对网络威胁的认识，限制或阻碍此类威胁传播的能力，支持一系列防御能力、漏洞补救和披露、威胁检测、遏制和预防技术、缓解策略，或响应和恢复阶段，或促进公共和私人实体之间的协作进行威胁研究。
2. 为了鼓励跨境安全运营中心之间的信息交换，跨境安全运营中心应确保它们之间的高水平互操作性。为了促进跨国界安全运营中心之间的互操作性，委员会可以在咨询ECCC后，通过实施行动，指定这种互操作性的条件。
3. 跨境安全运营中心相互签订合作协议，明确跨境平台之间的信息共享原则。

3.1.4

与欧盟实体的合作和信息共享

1. 如果跨境安全运营中心获得潜在或正在进行的大规模网络安全事件相关的信息，他们应向欧盟网络危机管理机构、计算机安全事件响应小组网络（CSIRTs）和委员会提供相关信息。
2. 委员会可通过执行行动的方式，确定第1段所规定的信息共享的程序安排。实施行为应经审查程序通过。

3.2

建立网络应急机制

3.2.1

应急机制

1. 建立网络应急机制，以提高欧盟对重大网络安全威胁的韧性，并以团结的精神准备和减轻重大和大规模网络安全事件的短期影响。
2. 实施网络应急机制的行动应得到数字欧洲计划（DEP）资金的资助
3. 应急机制应支持以下类型的操作：
   1. 准备性行动，包括对整个欧盟高度关键部门的实体进行协调准备性测试；
   2. 响应行动，支持对重大和大规模网络安全事件的响应和快速恢复，由参与根据第12条建立的欧盟网络安全储备的可信供应商提供；
   3. 互助行动，包括从一个成员国的国家当局向另一个成员国提供援助。

3.2.2

各实体的协调准备测试

1. 为了支持3.2.1节提到的准备性行动，可以对实体进行协调准备测试，同时考虑现有和计划中的欧盟层面的协调风险评估和韧性测试。
2. 网络与信息系统合作小组（欧盟的一个组织，负责成员国间网络与信息安全的合作及信息交换）应与委员会、ENISA（European Union Agency for Cybersecurity，欧盟网络安全局，是欧盟的一个机构，其宗旨是在欧盟范围内促进网络和信息安全方面的合作和协调，以提高欧盟成员国的网络和信息安全水平。）和高级代表合作，为协调的测试练习制定共同的风险方案和方法。

3.2.3

建立欧盟网络安全储备

3.2.3.1

网络安全储备

建立欧盟网络安全储备，以协助用户应对或支持应对重大网络安全事件或大规模网络安全事件，以及快速恢复。

网络安全储备将由可信提供商的事件响应服务组成，包括预先承诺的服务，并可部署在所有成员国。

委员会对欧盟网络安全储备的实施负有全面责任。委员会应根据用户需要确定欧盟网络安全储备的优先事项和发展方向，并监督其实施，并确保其与本条例下的其他支持行动以及其他欧盟行动和计划的相互补充、一致、协同和联系。

委员会通过委托协议，全面或部分地委托欧洲网络和信息安全局（ENISA）运营和管理欧盟网络安全储备。

为支持委员会建立欧盟网络安全储备，ENISA将在征询成员国和委员会意见后准备与所需服务的匹配。在征询委员会意见后，ENISA还将准备类似的匹配。

3.2.3.2

请求欧盟网络安全储备机构的支持

用户可以请求来自欧盟网络安全储备的服务，以支持对重大或大规模网络安全事件的响应和立即恢复。

为从欧盟网络安全储备获得支持，用户应采取措施，以减轻请求支持的事件的影响，包括提供直接的技术支持和其他资源，以协助响应和立即恢复的努力。

用户的支持请求应通过成员国指定或建立的单一联络点，向委员会和欧洲网络和信息安全局提出申请。成员国应向CSIRT网络，以及必要时向欧洲网络危机联络组织网络（EU-CyCLONe），通报根据本条所述请求的事件响应和立即恢复支持。

欧洲网络和信息安全局将与委员会和NIS合作组一起制定一个模板，以便简化请求欧盟网络安全储备支持的提交。

3.2.3.3

与危机管理机制的协调

如果重大或大规模网络安全事件源自或导致灾难性后果，本法规对应对此类事件的支持应作为欧盟决议1313/2013（欧盟关于应对自然和人为灾害的法律文件。该决定旨在确保欧盟在应对灾害时能够提供协调和支持，并促进欧盟成员国之间的相互帮助和团结。它规定了一系列与灾害相关的措施和程序，包括建立欧盟危机响应中心和协调灾害响应行动。）的补充而不能与之相悖。

如果发生大规模的跨境网络安全事件，触发“综合政治危机应对安排（IPCR）”，本条例下的应对支持应按照IPCR下的相关协议和程序处理。

3.3

建立网络安全事件审查机制

应欧盟委员会、欧洲网络危机联络机构或CSIRTs的要求，ENISA需审查和评估针对特定重大或大规模网络安全事件的威胁、漏洞和缓解行动。在完成对事件的审查和评估后，ENISA应向CSIRTs网络、欧洲网络危机联络机构网和欧盟委员会提交事件审查报告，以支持他们执行其任务，特别是针对（欧盟）指令2022/2555中第15（关于CSIRTs）和16条（关于欧洲网络危机联络组织网络EU-CyCLONe）中规定的内容。如有关，委员会应与高级代表分享报告。

为了上述的事件审查报告，ENISA应与所有相关利益相关者合作，包括成员国代表、欧盟委员会、其他相关欧盟机构、机构和机构、管理安全服务提供者和网络安全服务的用户。在适当时，ENISA还应与受重大或大规模网络安全事件影响的实体进行合作。为了支持审查，ENISA也可以咨询其他类型的利益相关者。咨询代表应披露任何潜在的利益冲突。

上述报告应涵盖对具体的重大或大规模网络安全事件的审查和分析，包括主要原因、漏洞和经验教训。它应根据有关保护敏感或机密信息的欧盟或国家法律来保护机密信息。在适当的情况下，该报告应提出建议，以改善欧盟的网络态势。

四. 与其他法案、计划的关联性

事实上，网络团结法案不是孤立的，它是众多网络安全法案的一部分，也是保障欧盟网络安全，保障欧盟数字化战略的重要举措。其中的网络安全盾、网络安全运营中心等，在其他的政策、法规文件有所提及，如2020年发布的《欧盟网络安全战略》就提出要建立网络安全盾。

4.1

网络安全技术学院

网络安全技术学院（The Cybersecurity Skills Academy）计划是与网络团结法案同时提出来的，这两个可以说是网络安全战略下的姊妹法案/计划。网络安全技术学院的目的是“补齐网络安全人才缺口，以提高欧盟的竞争力、成长性和韧性“。网络安全技术学院的具体作用是：

• 增加网络安全专业人员的数量，包括女性在该领域的份额
• 缩小劳动力市场上对网络安全技能的供需差距
• 提供技能以满足欧盟或国家层面的网络安全法律和政策要求所需
• 赋予公民必要的网络安全技能
• 提高公共和私人倡议在网络安全技能方面的可见性和协同作用
• 提高网络安全技能的可比性、质量保证和技能认证

图3 网络安全技能学院的具体目的[4]

4.2

欧盟数字化战略

网络安全是服务于数字化的，欧盟的网络安全战略、法案等也是服务于欧盟数字化战略的。欧盟制定了一系列长期、中期以及阶段性的数字化战略与计划。

4.2.1

《塑造欧洲数字化未来》

欧盟2020.02发布欧洲数字化战略文件《塑造欧洲数字化未来》（Shaping Europe’s Digital Future[7]），是一个5年计划。该战略文件提出了未来5年将重点关注的三大目标及关键行动，以确保数字技术能够帮助欧洲以自己的方式实现数字化转型。三大目标是：

1. 开发“以人为本”的技术
2. 发展公平且有竞争力的数字经济
3. 通过数字化塑造开放、民主和可持续的社会

4.2.2

《2030数字指南针》计划

图4 数字指南针计划[8]

“2030数字指南针：欧盟数字化10年之路”于2021.03.09发布，是一个2021-2030的10年计划。《2030数字指南针》绘制了到2030年欧盟实现数字化转型的蓝图和目标并提出具体实施路径，指出要通过培养数字专业高级人才、建设可持续的数字基础设施、促进企业数字化转型、推动公共服务数字化转型四大基本要点来推动欧盟数字化转型目标的落地。该文件旨在引领欧洲构筑以人为本和可持续的数字化社会，加强欧盟的数字主权，确保欧洲成为世界上最先进的数字经济地区之一。

4.2.3

《数字欧洲计划》

2021.4.29发布数字欧洲计划"Digital Europe Programme" Regulation (EU) 2021/694，制定了2021-2027欧盟数字化战略的资金使用计划。该计划的总体目标应该是支持产业数字化转型，促进更好地利用创新、研究和技术发展政策的产业潜力，以造福于包括欧盟最偏远地区和经济弱势地区在内的所有欧盟公民和企业。

该计划按照关键政策领域分为五个具体目标：高性能计算、人工智能、网络安全和信任、先进数字技能、部署和充分利用数字能力以及互操作性。其中，网络安全和信任方面，计划了约16.5亿欧元资金。

4.2.4

《欧盟数字化战略》2022

欧盟2022.06.30发布新版数字化战略[11]文件，以推动下一代的数字化转型。这是继2018年的欧盟数字化战略后的更新。2018年的欧盟数字化战略偏重于可操作性及以IT为核心。新的战略强调如下原则：

• 数字伙伴关系
• 数字交互优先
• 数字授权
• 数字主权和自治
• 数字安全和韧性

新战略的主要目标是：

• 促进数字文化
• 推动数字化就绪的欧盟决策
• 赋予以企业为驱动的数字化转型
• 确保无缝的数字全景
• 维持绿色、安全和韧性的基础设施

图5 数字化战略目标[11]

4.3

欧盟网络安全战略

4.3.1

《网络安全法》

2019年6月27日，欧盟新版《网络安全法》（Cybersecurity Act）正式施行。《网络安全法》针对对象主要包括欧盟机构、机关、办公室和办事处等机构（下文统称：“欧盟机构”），规制内容主要为上述欧盟机构在处理个人用户、组织和企业网络安全问题的过程中加强网络安全结构、增强对数字技术的掌控、确保网络安全应当遵守的法律规制，旨在促进卫生、能源、金融和运输等关键部门的经济,特别是促进内部市场的运作。

4.3.2

《欧盟网络安全战略》

2020年12月16日欧盟发布新版《欧盟网络安全战略》（EU Cybersecurity Strategy）[9]，新战略旨在确保全球和开放的互联网，在欧洲人民的安全和基本权利面临风险的情况下提供强有力的保障。在根据以往战略取得的进展之后，报告载有部署监管、投资和政策举措的具体建议。将涉及欧盟行动的三个领域：

• 韧性、技术主权和领导力;
• 预防、威慑和应对的行动能力;
• 合作推进全球开放的网络空间。

欧盟网络安全战略也列出了一些新的计划，包括网络盾（参见3.1节）、联合网络单元。

图6 欧盟网络安全战略提到的新计划[10]

4.3.3

欧盟网络韧性法案

《网络韧性法案》对硬件和软件产品的整个生命周期引入了强制性的网络安全要求。其主要目的是通过确保硬件和软件产品投放市场，减少漏洞，并确保制造商在产品的整个生命周期中认真对待安全，为开发具有安全的数字化产品创造条件；使用户能够选择和使用安全的数字化产品。

该法案通过向软硬件提供商赋予义务，以实现：

• 确保在欧盟市场上放置了数字元素的产品具有更少的漏洞，并确保制造商在产品的整个生命周期中继续对网络安全负责；
• 提高硬件和软件产品安全的透明度；
• 业务用户和消费者将受益于更好的保护。

五. 小结

欧盟的建立初衷就是为了促进欧洲各国之间的经济和政治合作，以实现共同发展和繁荣。欧盟网络团结法案则是强调网络安全方面具体的合作方式和途径。也正如我们在“独行速，众行远——从RSA2023会议主题STRONGER TOGETHER说起”[2]中讨论过的，信息安全的外在性、非对称性、相互关联性决定了信息安全单打独斗必然会失败，合作才能共赢。

图7 塑造欧洲数字化未来拼图[7]

欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在网络团结法案提案发布会上称，《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图[5]（the last piece of the EU’s broader cybersecurity strategy[6]）。关于拼图的说法，我们在欧盟的数字化及信息安全相关文件中，也仅看到图7。然而，我们认为，团结法案起到的更是一种纽带的作用，是连接各相关方相互合作的桥梁，也是完成图7拼图的粘合剂。

参考文献

[1] https://digital-strategy.ec.europa.eu/en/library/eu-cyber-solidarity-act-factsheet

[2] http://blog.nsfocus.net/rsa-2023-rsa2023stronger-together/

[3] https://digital-skills-jobs.europa.eu/en/cybersecurity-skills-academy

[4] https://digital-strategy.ec.europa.eu/en/library/eu-cybersecurity-skills-academy-factsheet

[6] https://www.euractiv.com/section/digital/news/eu-launches-cyber-solidarity-act-to-respond-to-large-scale-attacks/

[5] 欧盟网络安全战略最后一块拼图：《网络团结法案》提案发布，公众号“安全内参”

[6]https://www.euractiv.com/section/digital/news/eu-launches-cyber-solidarity-act-to-respond-to-large-scale-attacks/

[7] Shaping Europe’s Digital Future, https://commission.europa.eu/system/files/2020-02/communication-shaping-europes-digital-future-feb2020_en_4.pdf

[8] https://eufordigital.eu/library/2030-digital-compass-the-european-way-for-the-digital-decade/

[9] https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy

[10] https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade

[11] https://commission.europa.eu/publications/european-commission-digital-strategy_en

内容编辑：创新研究院 李德全

责任编辑：创新研究院 董炳佑

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。