摘要：從IS Directive開始，介紹歐盟網絡與信息安全監管框架所涉及的各個機構，其中包括歐盟網絡與信息安全局、標準開發機構以及計算機安全事件響應組。

　　關鍵詞：網絡與信息系統指令 歐盟網絡與信息安全局 CEN CENELEC ETSI

　　《網絡傳播》(月刊)創刊于2004年，由中國外文局對外傳播中心主辦。以報道網絡傳播新聞動態、宣傳黨和國家的互聯網方針政策，總結引導網上輿論的經驗，研究網絡傳播規律為主要內容，是為互聯網管理及從業人員提供政策支持、信息服務和理論依據的專業性期刊。

　　1 引言

　　NIS3) Directive(EU) 2016/1148是歐盟范圍內關于網絡與信息系統安全的第一個立法[1]，給出了提高歐盟整體網絡安全水平的法律措施，在第19條“標準化”(Article19 standardisation)，明確指出了ENISA4)在其中的作用。實際情況是，早在2004年，ENISA就已經成立，當時依據的是Regulation (EC) NO 460/2004。

　　鑒于國內對歐盟的監管體系，尤其是網絡與信息安全的整體監管框架，不容易理解，因此在下文中，通過梳理NIS Directive與GDPR的立法過程，同時也介紹了相關機構的作用，以及與國內相關機構的對比。

　　2 關于NIS Directive

　　NIS Directive發布于2016年7月，開篇就指明其目的是“為整個歐盟的網絡和信息系統提供高水平的公共安全保障措施”。但是值得注意的是，在國內，Directive一般翻譯為“指令”，Regulation翻譯為“法規/條例”。但是在國內的法律體系中，并沒有與指令對應的條目。

　　歐盟的Directive與Regulation也存在一定的不同。指令是針對每個成員國而不是當事人(組織或者機構)，但是條例則針對每個成員國以及當事人。而且，指令發布后通常給予成員國一定的時限，成員國可以自行選擇落實的形式，也就是說，指令類似于綱領性文件。條例一般發布后立即生效，并且在成員國內無差別實施。

　　也就是說，NIS Directive是約束歐盟成員國的一個綱領性文件，在這點上，與《中華人民共和國網絡安全法》還是存在一定的不同，與《美國網絡安全法案》(USA Cybersecurity Act)更接近一些。

　　NIS Directive最早起源于COM(2009)149，其中提出關鍵信息技術設施保護(Critical Information Infrastructure Protection， CIIP)，目的是“為保護歐洲免受大規模網絡攻擊和破壞而采取的網絡和信息系統高水平共同安全措施，這旨在加強整個歐盟的防范、安全和恢復能力”。在這之前的COM(2006)786討論的是更廣義的關鍵基礎設施保護(Critical Infrastructure Protection， CIP)。

　　在之后的發展中，具有標志性的事件為2013年發布的《網絡安全戰略》5)。2013年至2015年，歐盟發布了一系列相關的報告，最終在2016年發布NIS Directive。如上文所述，指令的實施可以有緩沖期，在條款25中，明確規定實施的最后期限為2018年3月9日。據文獻[1]報告，主要的成員國都已經按時落實了NIS Directive的條款。

　　NIS Directive一共包含27條，2個附錄，在結構上被劃分為7章。

　　第1章，第1～6條，為通用條款，主要包括應用范圍、相關定義以及相關例外等。第2章，第7～10條，描述了網絡與信息系統安全的國家架構，其中包括戰略(Article 7)、主管部門和統一聯絡處(Article 8)、計算機安全事件響應組(CSITRs)(Article 9)以及國家層面合作(Article 10)。第3章，第11～13條，實際是細化了上述合作機制，其中包括了合作組(Article 11)、CSITRs網絡(Article 12)和國際間合作(Article 13)。第4～5章，第14～18條，分別對基本服務運維商和數字服務供應商提出了安全需求和事件通知(Article 14和Article 16)，以及相應的實現和執行(Article 15和Article 17)，對于后者，還單獨討論了司法權與領土權(Article 18)。第6章，第19～20條，討論了標準化與自愿通知，兩條分別與之對應。第7章，第21～27條，為結束條款，主要包括了懲罰、委員會程序和評審等各項事宜。

　　附錄Ⅰ介紹了CSITRs的要求與任務，附錄Ⅱ對應第4條的(4)，在該條款中定義了基本服務運營商，這個列表中的行業跟關鍵信息基礎設施的范圍較為接近，但是在這里強調的是實體的類型。

　　3 關于ENISA

　　如上文所述，ENISA的建立起源于Regulation (EC) NO 460/2004，之后歷經兩次大修：Regulation(EC) NO 1007/2008和Regulation (EC) NO 580/2011，到目前，該法規已經被Regulation (EU) NO 526/2013所替代。ENISA總部位于希臘的雅典，在希臘的Heraklion Crete也有辦公區。

　　ENISA是一個專業化機構，類似于美國的NIST6)，其主要職責是為信息安全開發良好實踐(good practice)，以及“提高對網絡和信息安全的認識，并在社會上發展和促進網絡工作和信息安全的文化，使歐盟內的公民、消費者、企業和公共部門組織受益 ”7)。例如，2017年12月，ENISA發布了《提高ICT安全標準認識》(Improving recognition of ICT security standards)，副標題為《歐盟成員符合NIS Directive相關建議》(Recommendations for the Member States for the conformance to NIS Directive)，這就是針對NIS Directive所給出的比較有代表性的指南文檔[2]。

　　自2019年6月，歐洲網絡安全法案[Regulation (EU) 2019/881]開始實施，ENISA還負責“歐洲網絡安全認證框架(European cybersecurity certification schemes)”的準備工作。歐洲網絡安全法案引入了支持ICT產品、流程和服務網絡安全認證的流程。而且為ICT產品、流程和服務的網絡安全認證制定了歐盟范圍內的規則以及歐洲框架。或者說，EU Cybersecurity Act將標準化與認證之間聯系起來。在這個新發布的歐洲網絡安全認證框架下，ENISA是最重要的角色之一。

　　綜上所述，ENISA主要的任務包括：

　　● 對網絡安全提出建議，或者一些獨立的建議;

　　● 支持政策制定并促進其落實;

　　● 聯絡工作，與歐盟范圍內的各種組織展開直接合作;

　　● 協調應對歐盟范圍內大規模跨境的網絡安全事件;

　　● 制定歐洲網絡安全認證方案。

　　4 關于CEN、CENELEC和ETSI

　　但是，ENSIA并不是專門的標準開發機構(Standards Development Organization，SDO)，歐洲主要的標準開發機構為CEN8)、CENELEC9)和ETSI10)。歐盟采用的標準主要為上述三家機構輸出，當然也包括國際標準化組織(ISO)。

　　CEN為歐洲標準化委員會，成立于1961年，目前包含34個歐洲成員國。CENELEC為歐洲電工標準化委員會，建立于1973年，是由CENELCOM和CENEL合并而成。ETSI是歐洲電信標準化協會，成立于1988年。這三個機構的輸出文件主要如表1所示。

　　除以上三個主要機構，歐盟還有一些其他標準開發機構，例如，歐洲關鍵設施保護參考網絡(ERNCIP11))等。

　　5 關于CSIRTs

　　NIS Directive中第12條，要求建立CSIRTs網絡，“以促進成員國之間建立信心和信任，促進快速有效的運維合作”。CSIRTs網絡由歐盟成員國指定的CSIRTs和CERT-EU所組成。歐洲委員會(European Commission)作為觀察員參加了該網絡。

　　CSIRTs網絡為會員提供了一個合作、交流信息和建立信任的論壇。成員們將能夠改進對跨境網絡安全事件的處理，甚至討論如何以協調一致的方式對具體事件做出響應。

　　ENISA與CSIRTs的關系為，ENISA積極支持CSIRTs合作，并根據要求為秘書處和事件協調提供積極支持。ENISA發布了一系列關于CSIRTs的報告。

　　6 關于EU GDPR

　　EU GDPR [Regulation(EU)2016/679]是近20年以來歐盟在數據隱私立法方面的最大變化，其主要目的在于：1)統一協調歐洲各地的數據隱私法;2)保護和授權所有歐盟公民的數據隱私;3)重塑整個歐盟區域內處理數據隱私的方式。嚴格來說，隱私保護與信息安全并不是同一個領域[3]。在信息安全管理系列之四十七已經介紹過，本文不再贅述，請參考文獻[4]。

　　7 小結

　　本文以NIS Directive為綱，梳理了歐盟網絡與信息安全監管框架涉及的重要機構，其中包括最重要的專業機構ENISA，三個最重要的標準開發機構：CEN、CENELEC和ETSI，以及一個由成員國所組成的CSIRTs網絡。

　　參考文獻

　　[1] MARKOPOULOU D， PAPAKONS TANTINOU V，DE HERT P. The new EU cybersecurity frame-work： The NIS Directive， ENISA’s role and the General Data Protection Regulation [J/OL]， Computer Law & Security Review： The International Journal of Technology Law and Practice， https：//doi.org/10.1016/j.clsr.2019.06.007.

　　[2] ENISA. Improving recognition of ICT security standards[R/OL].(2018-02-01)[2019-06-01] https：//www.enisa.europa.eu/publications/improving-recognition-of-ict-security-standards.

　　[3] 李松濤，謝宗曉.數據分類/分級及其相關標準解析[J] .中國質量與標準導報， 2019(4)：14-16.

　　[4] 劉雨晨，謝宗曉.歐盟通用數據保護法規解析[J].中國質量與標準導報， 2018(12)：30-34+39.

　　“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文80多篇，出版專著近20本。

　　信息安全管理系列之五十八

　　自2018年5月25日，EU GDPR1)正式實施，替代之前的Directive 95/46 / EC2)，數據安全以及隱私保護得到了前所未有的關注。但是，對于歐盟網絡與信息安全的整體監管框架，國內還是缺乏了解的，孤立地理解這些標準并不現實，本文從這個角度進行了探討。