基于欧盟网络安全战略,欧盟委员会于2023.04.18发布《网络团结法案》(Cyber Solidarity Act)以及网络安全技术学院(The Cybersecurity Skills Academy)计划。该法案从网络安全协作、网络安全能力储备等方面进行了规划,旨在提升检测、准备和响应网络安全事件方面的能力,从而更好地应对重大的和大范围的网络安全事件。
图1 欧盟《网络团结法案》
二. 背景与目的
2.1
背景与需求
该法案的提出,基于如下背景:信息和通信技术的使用和依赖已成为经济活动的所有部门的基本方面,公共行政部门、公司和公民比以往任何时候都更加相互联系、相互依赖。对数字技术的大量采用增加了网络安全的暴露面。与此同时,各国正面临着日益增长的网络安全风险和整体复杂的威胁格局,网络安全事件从一个国家迅速蔓延到其他国家的风险也在增加。网络战也越来越融入到混合战争中,给被攻击方带来重大影响。信息的共享可以大幅减少威胁检测的时间,通过成立跨国网络运行中心等,可以提升检测、响应能力。
2.2
目的
《网络团结法》将加强欧盟一级的团结,以更好地检测、准备和应对网络安全威胁和事件。它的主要目标是:
图2 团结法案的三大目的[1]
三. 法案主要内容
从上节提到的途径,我们也能看出,本方案的具体工作内容包括网络盾、网络应急机制、安全事件管理机制(安全事件审查机制)等。
3.1
建立欧洲网络盾
建立一个相互连接的泛欧洲安全运营中心基础设施——欧洲网络盾。这个网络盾包括所有国家级安全运营中心(“国家级安全运营中心”)和跨境安全运营中心(“跨国安全运营中心”),以提升欧盟检测、分析和处理欧盟内网络威胁和事件数据的先进能力。
实施欧洲网络盾的行动需得到数字欧洲计划的资金支持,并按照数字欧洲计划第三章进行实施(数字欧洲计划第三章即是针对网络安全的)。
欧洲网络盾需实现如下的主要功能:
3.1.1
建立国家级安全运营中心
3.1.2
建立跨境安全运营中心
3.1.3
跨境安全运营中心内部和之间的合作和信息共享
3.1.4
与欧盟实体的合作和信息共享
3.2
建立网络应急机制
3.2.1
应急机制
3.2.2
各实体的协调准备测试
3.2.3
建立欧盟网络安全储备
3.2.3.1
网络安全储备
建立欧盟网络安全储备,以协助用户应对或支持应对重大网络安全事件或大规模网络安全事件,以及快速恢复。
网络安全储备将由可信提供商的事件响应服务组成,包括预先承诺的服务,并可部署在所有成员国。
委员会对欧盟网络安全储备的实施负有全面责任。委员会应根据用户需要确定欧盟网络安全储备的优先事项和发展方向,并监督其实施,并确保其与本条例下的其他支持行动以及其他欧盟行动和计划的相互补充、一致、协同和联系。
委员会通过委托协议,全面或部分地委托欧洲网络和信息安全局(ENISA)运营和管理欧盟网络安全储备。
为支持委员会建立欧盟网络安全储备,ENISA将在征询成员国和委员会意见后准备与所需服务的匹配。在征询委员会意见后,ENISA还将准备类似的匹配。
3.2.3.2
请求欧盟网络安全储备机构的支持
用户可以请求来自欧盟网络安全储备的服务,以支持对重大或大规模网络安全事件的响应和立即恢复。
为从欧盟网络安全储备获得支持,用户应采取措施,以减轻请求支持的事件的影响,包括提供直接的技术支持和其他资源,以协助响应和立即恢复的努力。
用户的支持请求应通过成员国指定或建立的单一联络点,向委员会和欧洲网络和信息安全局提出申请。成员国应向CSIRT网络,以及必要时向欧洲网络危机联络组织网络(EU-CyCLONe),通报根据本条所述请求的事件响应和立即恢复支持。
欧洲网络和信息安全局将与委员会和NIS合作组一起制定一个模板,以便简化请求欧盟网络安全储备支持的提交。
3.2.3.3
与危机管理机制的协调
如果重大或大规模网络安全事件源自或导致灾难性后果,本法规对应对此类事件的支持应作为欧盟决议1313/2013(欧盟关于应对自然和人为灾害的法律文件。该决定旨在确保欧盟在应对灾害时能够提供协调和支持,并促进欧盟成员国之间的相互帮助和团结。它规定了一系列与灾害相关的措施和程序,包括建立欧盟危机响应中心和协调灾害响应行动。)的补充而不能与之相悖。
如果发生大规模的跨境网络安全事件,触发“综合政治危机应对安排(IPCR)”,本条例下的应对支持应按照IPCR下的相关协议和程序处理。
3.3
建立网络安全事件审查机制
应欧盟委员会、欧洲网络危机联络机构或CSIRTs的要求,ENISA需审查和评估针对特定重大或大规模网络安全事件的威胁、漏洞和缓解行动。在完成对事件的审查和评估后,ENISA应向CSIRTs网络、欧洲网络危机联络机构网和欧盟委员会提交事件审查报告,以支持他们执行其任务,特别是针对(欧盟)指令2022/2555中第15(关于CSIRTs)和16条(关于欧洲网络危机联络组织网络EU-CyCLONe)中规定的内容。如有关,委员会应与高级代表分享报告。
为了上述的事件审查报告,ENISA应与所有相关利益相关者合作,包括成员国代表、欧盟委员会、其他相关欧盟机构、机构和机构、管理安全服务提供者和网络安全服务的用户。在适当时,ENISA还应与受重大或大规模网络安全事件影响的实体进行合作。为了支持审查,ENISA也可以咨询其他类型的利益相关者。咨询代表应披露任何潜在的利益冲突。
上述报告应涵盖对具体的重大或大规模网络安全事件的审查和分析,包括主要原因、漏洞和经验教训。它应根据有关保护敏感或机密信息的欧盟或国家法律来保护机密信息。在适当的情况下,该报告应提出建议,以改善欧盟的网络态势。
四. 与其他法案、计划的关联性
事实上,网络团结法案不是孤立的,它是众多网络安全法案的一部分,也是保障欧盟网络安全,保障欧盟数字化战略的重要举措。其中的网络安全盾、网络安全运营中心等,在其他的政策、法规文件有所提及,如2020年发布的《欧盟网络安全战略》就提出要建立网络安全盾。
4.1
网络安全技术学院
网络安全技术学院(The Cybersecurity Skills Academy)计划是与网络团结法案同时提出来的,这两个可以说是网络安全战略下的姊妹法案/计划。网络安全技术学院的目的是“补齐网络安全人才缺口,以提高欧盟的竞争力、成长性和韧性“。网络安全技术学院的具体作用是:
图3 网络安全技能学院的具体目的[4]
4.2
欧盟数字化战略
网络安全是服务于数字化的,欧盟的网络安全战略、法案等也是服务于欧盟数字化战略的。欧盟制定了一系列长期、中期以及阶段性的数字化战略与计划。
4.2.1
《塑造欧洲数字化未来》
欧盟2020.02发布欧洲数字化战略文件《塑造欧洲数字化未来》(Shaping Europe’s Digital Future[7]),是一个5年计划。该战略文件提出了未来5年将重点关注的三大目标及关键行动,以确保数字技术能够帮助欧洲以自己的方式实现数字化转型。三大目标是:
4.2.2
《2030数字指南针》计划
图4 数字指南针计划[8]
“2030数字指南针:欧盟数字化10年之路”于2021.03.09发布,是一个2021-2030的10年计划。《2030数字指南针》绘制了到2030年欧盟实现数字化转型的蓝图和目标并提出具体实施路径,指出要通过培养数字专业高级人才、建设可持续的数字基础设施、促进企业数字化转型、推动公共服务数字化转型四大基本要点来推动欧盟数字化转型目标的落地。该文件旨在引领欧洲构筑以人为本和可持续的数字化社会,加强欧盟的数字主权,确保欧洲成为世界上最先进的数字经济地区之一。
4.2.3
《数字欧洲计划》
2021.4.29发布数字欧洲计划"Digital Europe Programme" Regulation (EU) 2021/694,制定了2021-2027欧盟数字化战略的资金使用计划。该计划的总体目标应该是支持产业数字化转型,促进更好地利用创新、研究和技术发展政策的产业潜力,以造福于包括欧盟最偏远地区和经济弱势地区在内的所有欧盟公民和企业。
该计划按照关键政策领域分为五个具体目标:高性能计算、人工智能、网络安全和信任、先进数字技能、部署和充分利用数字能力以及互操作性。其中,网络安全和信任方面,计划了约16.5亿欧元资金。
4.2.4
《欧盟数字化战略》2022
欧盟2022.06.30发布新版数字化战略[11]文件,以推动下一代的数字化转型。这是继2018年的欧盟数字化战略后的更新。2018年的欧盟数字化战略偏重于可操作性及以IT为核心。新的战略强调如下原则:
新战略的主要目标是:
图5 数字化战略目标[11]
4.3
欧盟网络安全战略
4.3.1
《网络安全法》
2019年6月27日,欧盟新版《网络安全法》(Cybersecurity Act)正式施行。《网络安全法》针对对象主要包括欧盟机构、机关、办公室和办事处等机构(下文统称:“欧盟机构”),规制内容主要为上述欧盟机构在处理个人用户、组织和企业网络安全问题的过程中加强网络安全结构、增强对数字技术的掌控、确保网络安全应当遵守的法律规制,旨在促进卫生、能源、金融和运输等关键部门的经济,特别是促进内部市场的运作。
4.3.2
《欧盟网络安全战略》
2020年12月16日欧盟发布新版《欧盟网络安全战略》(EU Cybersecurity Strategy)[9],新战略旨在确保全球和开放的互联网,在欧洲人民的安全和基本权利面临风险的情况下提供强有力的保障。在根据以往战略取得的进展之后,报告载有部署监管、投资和政策举措的具体建议。将涉及欧盟行动的三个领域:
欧盟网络安全战略也列出了一些新的计划,包括网络盾(参见3.1节)、联合网络单元。
图6 欧盟网络安全战略提到的新计划[10]
4.3.3
欧盟网络韧性法案
《网络韧性法案》对硬件和软件产品的整个生命周期引入了强制性的网络安全要求。其主要目的是通过确保硬件和软件产品投放市场,减少漏洞,并确保制造商在产品的整个生命周期中认真对待安全,为开发具有安全的数字化产品创造条件;使用户能够选择和使用安全的数字化产品。
该法案通过向软硬件提供商赋予义务,以实现:
五. 小结
欧盟的建立初衷就是为了促进欧洲各国之间的经济和政治合作,以实现共同发展和繁荣。欧盟网络团结法案则是强调网络安全方面具体的合作方式和途径。也正如我们在“独行速,众行远——从RSA2023会议主题STRONGER TOGETHER说起”[2]中讨论过的,信息安全的外在性、非对称性、相互关联性决定了信息安全单打独斗必然会失败,合作才能共赢。
图7 塑造欧洲数字化未来拼图[7]
欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在网络团结法案提案发布会上称,《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图[5](the last piece of the EU’s broader cybersecurity strategy[6])。关于拼图的说法,我们在欧盟的数字化及信息安全相关文件中,也仅看到图7。然而,我们认为,团结法案起到的更是一种纽带的作用,是连接各相关方相互合作的桥梁,也是完成图7拼图的粘合剂。
参考文献
[1] https://digital-strategy.ec.europa.eu/en/library/eu-cyber-solidarity-act-factsheet
[2] http://blog.nsfocus.net/rsa-2023-rsa2023stronger-together/
[3] https://digital-skills-jobs.europa.eu/en/cybersecurity-skills-academy
[4] https://digital-strategy.ec.europa.eu/en/library/eu-cybersecurity-skills-academy-factsheet
[6] https://www.euractiv.com/section/digital/news/eu-launches-cyber-solidarity-act-to-respond-to-large-scale-attacks/
[5] 欧盟网络安全战略最后一块拼图:《网络团结法案》提案发布,公众号“安全内参”
[6]https://www.euractiv.com/section/digital/news/eu-launches-cyber-solidarity-act-to-respond-to-large-scale-attacks/
[7] Shaping Europe’s Digital Future, https://commission.europa.eu/system/files/2020-02/communication-shaping-europes-digital-future-feb2020_en_4.pdf
[8] https://eufordigital.eu/library/2030-digital-compass-the-european-way-for-the-digital-decade/
[9] https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy
[10] https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade
[11] https://commission.europa.eu/publications/european-commission-digital-strategy_en
内容编辑:创新研究院 李德全
责任编辑:创新研究院 董炳佑
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。