摘要：從IS Directive開始，介紹歐盟網(wǎng)絡與信息安全監(jiān)管框架所涉及的各個機構，其中包括歐盟網(wǎng)絡與信息安全局、標準開發(fā)機構以及計算機安全事件響應組。

　　關鍵詞：網(wǎng)絡與信息系統(tǒng)指令 歐盟網(wǎng)絡與信息安全局 CEN CENELEC ETSI

　　《網(wǎng)絡傳播》(月刊)創(chuàng)刊于2004年，由中國外文局對外傳播中心主辦。以報道網(wǎng)絡傳播新聞動態(tài)、宣傳黨和國家的互聯(lián)網(wǎng)方針政策，總結引導網(wǎng)上輿論的經(jīng)驗，研究網(wǎng)絡傳播規(guī)律為主要內(nèi)容，是為互聯(lián)網(wǎng)管理及從業(yè)人員提供政策支持、信息服務和理論依據(jù)的專業(yè)性期刊。

　　1 引言

　　NIS3) Directive(EU) 2016/1148是歐盟范圍內(nèi)關于網(wǎng)絡與信息系統(tǒng)安全的第一個立法[1]，給出了提高歐盟整體網(wǎng)絡安全水平的法律措施，在第19條“標準化”(Article19 standardisation)，明確指出了ENISA4)在其中的作用。實際情況是，早在2004年，ENISA就已經(jīng)成立，當時依據(jù)的是Regulation (EC) NO 460/2004。

　　鑒于國內(nèi)對歐盟的監(jiān)管體系，尤其是網(wǎng)絡與信息安全的整體監(jiān)管框架，不容易理解，因此在下文中，通過梳理NIS Directive與GDPR的立法過程，同時也介紹了相關機構的作用，以及與國內(nèi)相關機構的對比。

　　2 關于NIS Directive

　　NIS Directive發(fā)布于2016年7月，開篇就指明其目的是“為整個歐盟的網(wǎng)絡和信息系統(tǒng)提供高水平的公共安全保障措施”。但是值得注意的是，在國內(nèi)，Directive一般翻譯為“指令”，Regulation翻譯為“法規(guī)/條例”。但是在國內(nèi)的法律體系中，并沒有與指令對應的條目。

　　歐盟的Directive與Regulation也存在一定的不同。指令是針對每個成員國而不是當事人(組織或者機構)，但是條例則針對每個成員國以及當事人。而且，指令發(fā)布后通常給予成員國一定的時限，成員國可以自行選擇落實的形式，也就是說，指令類似于綱領性文件。條例一般發(fā)布后立即生效，并且在成員國內(nèi)無差別實施。

　　也就是說，NIS Directive是約束歐盟成員國的一個綱領性文件，在這點上，與《中華人民共和國網(wǎng)絡安全法》還是存在一定的不同，與《美國網(wǎng)絡安全法案》(USA Cybersecurity Act)更接近一些。

　　NIS Directive最早起源于COM(2009)149，其中提出關鍵信息技術設施保護(Critical Information Infrastructure Protection， CIIP)，目的是“為保護歐洲免受大規(guī)模網(wǎng)絡攻擊和破壞而采取的網(wǎng)絡和信息系統(tǒng)高水平共同安全措施，這旨在加強整個歐盟的防范、安全和恢復能力”。在這之前的COM(2006)786討論的是更廣義的關鍵基礎設施保護(Critical Infrastructure Protection， CIP)。

　　在之后的發(fā)展中，具有標志性的事件為2013年發(fā)布的《網(wǎng)絡安全戰(zhàn)略》5)。2013年至2015年，歐盟發(fā)布了一系列相關的報告，最終在2016年發(fā)布NIS Directive。如上文所述，指令的實施可以有緩沖期，在條款25中，明確規(guī)定實施的最后期限為2018年3月9日。據(jù)文獻[1]報告，主要的成員國都已經(jīng)按時落實了NIS Directive的條款。

　　NIS Directive一共包含27條，2個附錄，在結構上被劃分為7章。

　　第1章，第1～6條，為通用條款，主要包括應用范圍、相關定義以及相關例外等。第2章，第7～10條，描述了網(wǎng)絡與信息系統(tǒng)安全的國家架構，其中包括戰(zhàn)略(Article 7)、主管部門和統(tǒng)一聯(lián)絡處(Article 8)、計算機安全事件響應組(CSITRs)(Article 9)以及國家層面合作(Article 10)。第3章，第11～13條，實際是細化了上述合作機制，其中包括了合作組(Article 11)、CSITRs網(wǎng)絡(Article 12)和國際間合作(Article 13)。第4～5章，第14～18條，分別對基本服務運維商和數(shù)字服務供應商提出了安全需求和事件通知(Article 14和Article 16)，以及相應的實現(xiàn)和執(zhí)行(Article 15和Article 17)，對于后者，還單獨討論了司法權與領土權(Article 18)。第6章，第19～20條，討論了標準化與自愿通知，兩條分別與之對應。第7章，第21～27條，為結束條款，主要包括了懲罰、委員會程序和評審等各項事宜。

　　附錄Ⅰ介紹了CSITRs的要求與任務，附錄Ⅱ對應第4條的(4)，在該條款中定義了基本服務運營商，這個列表中的行業(yè)跟關鍵信息基礎設施的范圍較為接近，但是在這里強調(diào)的是實體的類型。

　　3 關于ENISA

　　如上文所述，ENISA的建立起源于Regulation (EC) NO 460/2004，之后歷經(jīng)兩次大修：Regulation(EC) NO 1007/2008和Regulation (EC) NO 580/2011，到目前，該法規(guī)已經(jīng)被Regulation (EU) NO 526/2013所替代。ENISA總部位于希臘的雅典，在希臘的Heraklion Crete也有辦公區(qū)。

　　ENISA是一個專業(yè)化機構，類似于美國的NIST6)，其主要職責是為信息安全開發(fā)良好實踐(good practice)，以及“提高對網(wǎng)絡和信息安全的認識，并在社會上發(fā)展和促進網(wǎng)絡工作和信息安全的文化，使歐盟內(nèi)的公民、消費者、企業(yè)和公共部門組織受益 ”7)。例如，2017年12月，ENISA發(fā)布了《提高ICT安全標準認識》(Improving recognition of ICT security standards)，副標題為《歐盟成員符合NIS Directive相關建議》(Recommendations for the Member States for the conformance to NIS Directive)，這就是針對NIS Directive所給出的比較有代表性的指南文檔[2]。

　　自2019年6月，歐洲網(wǎng)絡安全法案[Regulation (EU) 2019/881]開始實施，ENISA還負責“歐洲網(wǎng)絡安全認證框架(European cybersecurity certification schemes)”的準備工作。歐洲網(wǎng)絡安全法案引入了支持ICT產(chǎn)品、流程和服務網(wǎng)絡安全認證的流程。而且為ICT產(chǎn)品、流程和服務的網(wǎng)絡安全認證制定了歐盟范圍內(nèi)的規(guī)則以及歐洲框架。或者說，EU Cybersecurity Act將標準化與認證之間聯(lián)系起來。在這個新發(fā)布的歐洲網(wǎng)絡安全認證框架下，ENISA是最重要的角色之一。

　　綜上所述，ENISA主要的任務包括：

　　● 對網(wǎng)絡安全提出建議，或者一些獨立的建議;

　　● 支持政策制定并促進其落實;

　　● 聯(lián)絡工作，與歐盟范圍內(nèi)的各種組織展開直接合作;

　　● 協(xié)調(diào)應對歐盟范圍內(nèi)大規(guī)模跨境的網(wǎng)絡安全事件;

　　● 制定歐洲網(wǎng)絡安全認證方案。

　　4 關于CEN、CENELEC和ETSI

　　但是，ENSIA并不是專門的標準開發(fā)機構(Standards Development Organization，SDO)，歐洲主要的標準開發(fā)機構為CEN8)、CENELEC9)和ETSI10)。歐盟采用的標準主要為上述三家機構輸出，當然也包括國際標準化組織(ISO)。

　　CEN為歐洲標準化委員會，成立于1961年，目前包含34個歐洲成員國。CENELEC為歐洲電工標準化委員會，建立于1973年，是由CENELCOM和CENEL合并而成。ETSI是歐洲電信標準化協(xié)會，成立于1988年。這三個機構的輸出文件主要如表1所示。

　　除以上三個主要機構，歐盟還有一些其他標準開發(fā)機構，例如，歐洲關鍵設施保護參考網(wǎng)絡(ERNCIP11))等。

　　5 關于CSIRTs

　　NIS Directive中第12條，要求建立CSIRTs網(wǎng)絡，“以促進成員國之間建立信心和信任，促進快速有效的運維合作”。CSIRTs網(wǎng)絡由歐盟成員國指定的CSIRTs和CERT-EU所組成。歐洲委員會(European Commission)作為觀察員參加了該網(wǎng)絡。

　　CSIRTs網(wǎng)絡為會員提供了一個合作、交流信息和建立信任的論壇。成員們將能夠改進對跨境網(wǎng)絡安全事件的處理，甚至討論如何以協(xié)調(diào)一致的方式對具體事件做出響應。

　　ENISA與CSIRTs的關系為，ENISA積極支持CSIRTs合作，并根據(jù)要求為秘書處和事件協(xié)調(diào)提供積極支持。ENISA發(fā)布了一系列關于CSIRTs的報告。

　　6 關于EU GDPR

　　EU GDPR [Regulation(EU)2016/679]是近20年以來歐盟在數(shù)據(jù)隱私立法方面的最大變化，其主要目的在于：1)統(tǒng)一協(xié)調(diào)歐洲各地的數(shù)據(jù)隱私法;2)保護和授權所有歐盟公民的數(shù)據(jù)隱私;3)重塑整個歐盟區(qū)域內(nèi)處理數(shù)據(jù)隱私的方式。嚴格來說，隱私保護與信息安全并不是同一個領域[3]。在信息安全管理系列之四十七已經(jīng)介紹過，本文不再贅述，請參考文獻[4]。

　　7 小結

　　本文以NIS Directive為綱，梳理了歐盟網(wǎng)絡與信息安全監(jiān)管框架涉及的重要機構，其中包括最重要的專業(yè)機構ENISA，三個最重要的標準開發(fā)機構：CEN、CENELEC和ETSI，以及一個由成員國所組成的CSIRTs網(wǎng)絡。

　　參考文獻

　　[1] MARKOPOULOU D， PAPAKONS TANTINOU V，DE HERT P. The new EU cybersecurity frame-work： The NIS Directive， ENISA’s role and the General Data Protection Regulation [J/OL]， Computer Law & Security Review： The International Journal of Technology Law and Practice， https：//doi.org/10.1016/j.clsr.2019.06.007.

　　[2] ENISA. Improving recognition of ICT security standards[R/OL].(2018-02-01)[2019-06-01] https：//www.enisa.europa.eu/publications/improving-recognition-of-ict-security-standards.

　　[3] 李松濤，謝宗曉.數(shù)據(jù)分類/分級及其相關標準解析[J] .中國質量與標準導報， 2019(4)：14-16.

　　[4] 劉雨晨，謝宗曉.歐盟通用數(shù)據(jù)保護法規(guī)解析[J].中國質量與標準導報， 2018(12)：30-34+39.

　　“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發(fā)表論文80多篇，出版專著近20本。

　　信息安全管理系列之五十八

　　自2018年5月25日，EU GDPR1)正式實施，替代之前的Directive 95/46 / EC2)，數(shù)據(jù)安全以及隱私保護得到了前所未有的關注。但是，對于歐盟網(wǎng)絡與信息安全的整體監(jiān)管框架，國內(nèi)還是缺乏了解的，孤立地理解這些標準并不現(xiàn)實，本文從這個角度進行了探討。