謝宗曉 李寬

摘要：從NIS Directive開始，介紹歐盟網(wǎng)絡(luò)與信息安全監(jiān)管框架所涉及的各個機構(gòu)，其中包括歐盟網(wǎng)絡(luò)與信息安全局、標準開發(fā)機構(gòu)以及計算機安全事件響應(yīng)組。

關(guān)鍵詞：網(wǎng)絡(luò)與信息系統(tǒng)指令 歐盟網(wǎng)絡(luò)與信息安全局 CEN CENELEC ETSI

Introduction to EU Network and Information Security Regulatory Framework

Xie Zongxiao （China Financial Certification Authority）

Li Kuan （Agricultural Bank of China）

Abstract： Starting from NIS Directive， this paper introduces the various institutions involved in the EU network and information security regulatory framework， including ENISA（The European Union Agency for Network and Information Security）， SDO（Standards Development Organization）， and CSIRTs （Computer Security Incident Response Teams）.

Key words： NIS Directive， ENISA， CEN， CENELEC， ETSI

1 引言

NIS3） Directive（EU） 2016/1148是歐盟范圍內(nèi)關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全的第一個立法[1]，給出了提高歐盟整體網(wǎng)絡(luò)安全水平的法律措施，在第19條“標準化”（Article19 standardisation），明確指出了ENISA4）在其中的作用。實際情況是，早在2004年，ENISA就已經(jīng)成立，當時依據(jù)的是Regulation （EC） NO 460/2004。

鑒于國內(nèi)對歐盟的監(jiān)管體系，尤其是網(wǎng)絡(luò)與信息安全的整體監(jiān)管框架，不容易理解，因此在下文中，通過梳理NIS Directive與GDPR的立法過程，同時也介紹了相關(guān)機構(gòu)的作用，以及與國內(nèi)相關(guān)機構(gòu)的對比。

2 關(guān)于NIS Directive

NIS Directive發(fā)布于2016年7月，開篇就指明其目的是“為整個歐盟的網(wǎng)絡(luò)和信息系統(tǒng)提供高水平的公共安全保障措施”。但是值得注意的是，在國內(nèi)，Directive一般翻譯為“指令”，Regulation翻譯為“法規(guī)/條例”。但是在國內(nèi)的法律體系中，并沒有與指令對應(yīng)的條目。

歐盟的Directive與Regulation也存在一定的不同。指令是針對每個成員國而不是當事人（組織或者機構(gòu)），但是條例則針對每個成員國以及當事人。而且，指令發(fā)布后通常給予成員國一定的時限，成員國可以自行選擇落實的形式，也就是說，指令類似于綱領(lǐng)性文件。條例一般發(fā)布后立即生效，并且在成員國內(nèi)無差別實施。

也就是說，NIS Directive是約束歐盟成員國的一個綱領(lǐng)性文件，在這點上，與《中華人民共和國網(wǎng)絡(luò)安全法》還是存在一定的不同，與《美國網(wǎng)絡(luò)安全法案》（USA Cybersecurity Act）更接近一些。

NIS Directive最早起源于COM（2009）149，其中提出關(guān)鍵信息技術(shù)設(shè)施保護（Critical Information Infrastructure Protection， CIIP），目的是“為保護歐洲免受大規(guī)模網(wǎng)絡(luò)攻擊和破壞而采取的網(wǎng)絡(luò)和信息系統(tǒng)高水平共同安全措施，這旨在加強整個歐盟的防范、安全和恢復(fù)能力”。在這之前的COM（2006）786討論的是更廣義的關(guān)鍵基礎(chǔ)設(shè)施保護（Critical Infrastructure Protection， CIP）。

在之后的發(fā)展中，具有標志性的事件為2013年發(fā)布的《網(wǎng)絡(luò)安全戰(zhàn)略》5）。2013年至2015年，歐盟發(fā)布了一系列相關(guān)的報告，最終在2016年發(fā)布NIS Directive。如上文所述，指令的實施可以有緩沖期，在條款25中，明確規(guī)定實施的最后期限為2018年3月9日。據(jù)文獻[1]報告，主要的成員國都已經(jīng)按時落實了NIS Directive的條款。

NIS Directive一共包含27條，2個附錄，在結(jié)構(gòu)上被劃分為7章。

第1章，第1～6條，為通用條款，主要包括應(yīng)用范圍、相關(guān)定義以及相關(guān)例外等。第2章，第7～10條，描述了網(wǎng)絡(luò)與信息系統(tǒng)安全的國家架構(gòu)，其中包括戰(zhàn)略（Article 7）、主管部門和統(tǒng)一聯(lián)絡(luò)處（Article 8）、計算機安全事件響應(yīng)組（CSITRs）（Article 9）以及國家層面合作（Article 10）。第3章，第11～13條，實際是細化了上述合作機制，其中包括了合作組（Article 11）、CSITRs網(wǎng)絡(luò)（Article 12）和國際間合作（Article 13）。第4～5章，第14～18條，分別對基本服務(wù)運維商和數(shù)字服務(wù)供應(yīng)商提出了安全需求和事件通知（Article 14和Article 16），以及相應(yīng)的實現(xiàn)和執(zhí)行（Article 15和Article 17），對于后者，還單獨討論了司法權(quán)與領(lǐng)土權(quán)（Article 18）。第6章，第19～20條，討論了標準化與自愿通知，兩條分別與之對應(yīng)。第7章，第21～27條，為結(jié)束條款，主要包括了懲罰、委員會程序和評審等各項事宜。

附錄Ⅰ介紹了CSITRs的要求與任務(wù)，附錄Ⅱ?qū)?yīng)第4條的（4），在該條款中定義了基本服務(wù)運營商，這個列表中的行業(yè)跟關(guān)鍵信息基礎(chǔ)設(shè)施的范圍較為接近，但是在這里強調(diào)的是實體的類型。

3 關(guān)于ENISA

如上文所述，ENISA的建立起源于Regulation （EC） NO 460/2004，之后歷經(jīng)兩次大修：Regulation（EC） NO 1007/2008和Regulation （EC） NO 580/2011，到目前，該法規(guī)已經(jīng)被Regulation （EU） NO 526/2013所替代。ENISA總部位于希臘的雅典，在希臘的Heraklion Crete也有辦公區(qū)。

ENISA是一個專業(yè)化機構(gòu)，類似于美國的NIST6），其主要職責是為信息安全開發(fā)良好實踐（good practice），以及“提高對網(wǎng)絡(luò)和信息安全的認識，并在社會上發(fā)展和促進網(wǎng)絡(luò)工作和信息安全的文化，使歐盟內(nèi)的公民、消費者、企業(yè)和公共部門組織受益 ”7）。例如，2017年12月，ENISA發(fā)布了《提高ICT安全標準認識》（Improving recognition of ICT security standards），副標題為《歐盟成員符合NIS Directive相關(guān)建議》（Recommendations for the Member States for the conformance to NIS Directive），這就是針對NIS Directive所給出的比較有代表性的指南文檔[2]。

自2019年6月，歐洲網(wǎng)絡(luò)安全法案[Regulation （EU） 2019/881]開始實施，ENISA還負責“歐洲網(wǎng)絡(luò)安全認證框架（European cybersecurity certification schemes）”的準備工作。歐洲網(wǎng)絡(luò)安全法案引入了支持ICT產(chǎn)品、流程和服務(wù)網(wǎng)絡(luò)安全認證的流程。而且為ICT產(chǎn)品、流程和服務(wù)的網(wǎng)絡(luò)安全認證制定了歐盟范圍內(nèi)的規(guī)則以及歐洲框架。或者說，EU Cybersecurity Act將標準化與認證之間聯(lián)系起來。在這個新發(fā)布的歐洲網(wǎng)絡(luò)安全認證框架下，ENISA是最重要的角色之一。

綜上所述，ENISA主要的任務(wù)包括：

● 對網(wǎng)絡(luò)安全提出建議，或者一些獨立的建議;

● 支持政策制定并促進其落實;

● 聯(lián)絡(luò)工作，與歐盟范圍內(nèi)的各種組織展開直接合作;

● 協(xié)調(diào)應(yīng)對歐盟范圍內(nèi)大規(guī)?？缇车木W(wǎng)絡(luò)安全事件;

● 制定歐洲網(wǎng)絡(luò)安全認證方案。

4 關(guān)于CEN、CENELEC和ETSI

但是，ENSIA并不是專門的標準開發(fā)機構(gòu)（Standards Development Organization，SDO），歐洲主要的標準開發(fā)機構(gòu)為CEN8）、CENELEC9）和ETSI10）。歐盟采用的標準主要為上述三家機構(gòu)輸出，當然也包括國際標準化組織（ISO）。

CEN為歐洲標準化委員會，成立于1961年，目前包含34個歐洲成員國。CENELEC為歐洲電工標準化委員會，建立于1973年，是由CENELCOM和CENEL合并而成。ETSI是歐洲電信標準化協(xié)會，成立于1988年。這三個機構(gòu)的輸出文件主要如表1所示。

除以上三個主要機構(gòu)，歐盟還有一些其他標準開發(fā)機構(gòu)，例如，歐洲關(guān)鍵設(shè)施保護參考網(wǎng)絡(luò)（ERNCIP11））等。

5 關(guān)于CSIRTs

NIS Directive中第12條，要求建立CSIRTs網(wǎng)絡(luò)，“以促進成員國之間建立信心和信任，促進快速有效的運維合作”。CSIRTs網(wǎng)絡(luò)由歐盟成員國指定的CSIRTs和CERT-EU所組成。歐洲委員會（European Commission）作為觀察員參加了該網(wǎng)絡(luò)。

CSIRTs網(wǎng)絡(luò)為會員提供了一個合作、交流信息和建立信任的論壇。成員們將能夠改進對跨境網(wǎng)絡(luò)安全事件的處理，甚至討論如何以協(xié)調(diào)一致的方式對具體事件做出響應(yīng)。

ENISA與CSIRTs的關(guān)系為，ENISA積極支持CSIRTs合作，并根據(jù)要求為秘書處和事件協(xié)調(diào)提供積極支持。ENISA發(fā)布了一系列關(guān)于CSIRTs的報告。

6 關(guān)于EU GDPR

EU GDPR [Regulation（EU）2016/679]是近20年以來歐盟在數(shù)據(jù)隱私立法方面的最大變化，其主要目的在于：1）統(tǒng)一協(xié)調(diào)歐洲各地的數(shù)據(jù)隱私法;2）保護和授權(quán)所有歐盟公民的數(shù)據(jù)隱私;3）重塑整個歐盟區(qū)域內(nèi)處理數(shù)據(jù)隱私的方式。嚴格來說，隱私保護與信息安全并不是同一個領(lǐng)域[3]。在信息安全管理系列之四十七已經(jīng)介紹過，本文不再贅述，請參考文獻[4]。

7 小結(jié)

本文以NIS Directive為綱，梳理了歐盟網(wǎng)絡(luò)與信息安全監(jiān)管框架涉及的重要機構(gòu)，其中包括最重要的專業(yè)機構(gòu)ENISA，三個最重要的標準開發(fā)機構(gòu)：CEN、CENELEC和ETSI，以及一個由成員國所組成的CSIRTs網(wǎng)絡(luò)。

參考文獻

[1] MARKOPOULOU D， PAPAKONS ?TANTINOU V，DE?HERT P. The new EU cybersecurity ?frame-work：?The NIS Directive， ENISAs role and the General?Data Protection Regulation [J/OL]， Computer Law &?Security Review： The International Journal of?Technology Law ?and Practice， https：//doi.org/10.1016/j.clsr.2019.06.007.

[2] ENISA. Improving recognition of ICT security standards[R/OL].（2018-02-01）[2019-06-01] https：//www.enisa.europa.eu/publications/improving-recognition-of-ict-security-standards.

[3] 李松濤，謝宗曉.數(shù)據(jù)分類/分級及其相關(guān)標準解析[J] .中國質(zhì)量與標準導(dǎo)報， 2019（4）：14-16.

[4] 劉雨晨，謝宗曉.歐盟通用數(shù)據(jù)保護法規(guī)解析[J].中國質(zhì)量與標準導(dǎo)報， 2018（12）：30-34+39.

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之五十八

自2018年5月25日，EU GDPR1）正式實施，替代之前的Directive 95/46 / EC2），數(shù)據(jù)安全以及隱私保護得到了前所未有的關(guān)注。但是，對于歐盟網(wǎng)絡(luò)與信息安全的整體監(jiān)管框架，國內(nèi)還是缺乏了解的，孤立地理解這些標準并不現(xiàn)實，本文從這個角度進行了探討。

謝宗曉（特約編輯）