微信公众号：计算机与网络安全

根据欧洲委员会的提议，在根据普通立法程序将法案草案提交国家议会后，鉴于：

在数字时代，信息和通信技术是开放、高效和独立的工会管理的基石。不断发展的技术以及数字系统日益增加的复杂性和互连性放大了网络安全风险，使欧盟行政当局更容易受到网络威胁和事件的影响，最终对行政当局的业务连续性和保护其数据的能力构成威胁。虽然云服务使用的增加、信息技术的普遍使用、高度数字化、远程工作和不断发展的技术和连接性是当今联邦行政实体所有活动的核心特征，但数字弹性尚未充分建立。

工会机构、团体和机关面临的网络威胁形势在不断演变。威胁行为者采用的战术、技术和程序在不断演变，而此类攻击的主要动机几乎没有变化，从窃取有价值的未披露信息到赚钱、操纵公众舆论或破坏数字基础设施。他们进行网络攻击的速度不断加快，同时他们的活动越来越复杂和自动化，目标是不断扩大和快速利用漏洞的暴露攻击面。

联盟机构、团体和机关的信息技术环境具有相互依赖性、集成的数据流以及它们的用户之间的密切协作。这种相互联系意味着，任何干扰，即使最初仅限于一个工会机构、团体或机关，也可能产生更广泛的连锁效应，有可能对其他机构产生深远和持久的负面影响。此外，某些机构、团体和机关的信息技术环境与成员国的信息技术环境相联系，导致一个联盟实体的事故对成员国信息技术环境的网络安全构成风险，反之亦然。

欧盟机构、团体和机关是面对高技能和资源充足的威胁行为者以及其他威胁的有吸引力的目标。与此同时，网络复原力的水平和成熟度以及检测和应对恶意网络活动的能力在这些实体之间差异很大。因此，欧洲行政当局的运作需要欧盟的机构、团体和机关通过网络安全基线（一套最低网络安全规则，网络和信息系统及其运营商和用户必须遵守这些规则，以最大限度地降低网络安全风险）、信息交流和协作来实现高水平的共同网络安全。

关于在整个联盟范围内实现高度共同网络安全的措施的指令[提案NIS2]旨在进一步提高公共和私营实体、国家主管当局和机构以及整个联盟的网络安全复原力和事件应对能力。因此，工会机构、团体和机关有必要跟进，确保规则符合指令[NIS2号提案]并反映其目标水平。

为了达到网络安全的高度共同水平，每个联盟机构、团体和机关都必须建立内部网络安全风险管理、治理和控制框架，确保有效和审慎地管理所有网络安全风险，并考虑到业务连续性和危机管理。

工会机构、团体和机关之间的差异要求在执行中具有灵活性，因为一种尺寸不会适合所有人。实现高度共同网络安全的措施不应包括任何直接干涉联盟机构、机关和机关执行任务或侵犯其机构自主权的义务。因此，这些机构、团体和机关应建立自己的网络安全风险管理、治理和控制框架，并采用自己的基线和网络安全计划。

为了避免给欧盟各机构、团体和机关带来过重的财政和行政负担，网络安全风险管理要求应与相关网络和信息系统带来的风险相称，同时考虑到此类措施的最新水平。每个联盟机构、团体和机关都应致力于分配足够比例的信息技术预算，以提高其网络安全水平；从长远来看，应该追求10%左右的目标。

高水平的共同网络安全要求网络安全处于每个联盟机构、团体和机关的最高管理层的监督之下，他们应批准网络安全基线，该基线应解决每个机构、团体和机关将建立的框架下确定的风险。应对网络安全文化，即网络安全的日常实践，是所有欧盟机构、团体和机关网络安全基线的组成部分。

展开全文

工会机构、团体和机关应评估与供应商和服务提供商(包括数据存储和处理服务或托管安全服务提供商）的关系相关的风险，并采取适当措施解决这些风险。这些措施应构成网络安全基线的一部分，并在CERT-EU发布的指导文件或建议中进一步规定。在确定措施和准则时，应适当考虑相关的欧盟立法和政策，包括NIS合作小组发布的风险评估和建议，如欧盟协调风险评估和欧盟关于以下方面的工具箱5G网络安全。此外，根据欧盟第2019/881号条例第49条通过的具体欧盟网络安全认证计划，可能需要对相关信通技术产品、服务和流程进行认证。

2011年5月，欧盟各机构和机关的秘书长决定为欧盟各机构、机关和机关的计算机应急小组建立一个预先配置小组，由一个机构间指导委员会监督。2012年7月，两位秘书长确认了实际安排，并同意保留欧盟计算机应急小组作为一个常设实体，以继续帮助提高欧盟各机构、机关和机关的信息技术安全总体水平，作为网络安全方面机构间合作的一个实例。2012年9月，欧盟应急小组作为欧盟委员会的一个工作队成立，其任务是跨机构的。2017年12月，欧盟各机构就CERT-EU3的组织和运作达成了一项机构间安排。这种安排应继续发展，以支持本法规的实施。

CERT-EU应从“计算机应急响应小组”更名为“网络安全中心”，用于联盟机构、团体和机关，以符合成员国和全球的发展，其中许多CERT更名为网络安全中心，但由于名称识别，它应保留简称“CERT-EU”。

许多网络攻击是针对工会机构、团体和机构群体或包括工会机构、团体和机构在内的利益群体的更广泛运动的一部分。为了实现主动检测、事件响应或缓解措施，联盟机构、团体和机关应通知CERT-EU重大网络威胁、重大漏洞和重大事件，并分享适当的技术细节，以便能够检测或缓解以及应对其他联盟机构、团体和机关的类似网络威胁、漏洞和事件。按照指令[提案NIS2]中设想的相同方法，当实体意识到重大事故时，应要求它们在24小时内向CERT-EU提交初始通知。此类信息交换应使CERT-EU能够向其他联盟机构、团体和机关以及适当的对应方传播信息，以帮助保护联盟IT环境和联盟对应方的IT环境免受类似事件、威胁和漏洞的影响。

除了赋予欧盟计算机应急小组更多的任务和扩大的作用之外，还应建立一个机构间网络安全委员会（IICB)，该委员会应通过监测欧盟各机构、团体和机关对该条例的执行情况，监督欧盟计算机应急小组对一般优先事项和目标的执行情况，并向欧盟计算机应急小组提供战略指导，促进欧盟各机构、团体和机关之间的高度共同网络安全。IICB应确保各机构的代表性，并通过工会机构网络纳入各机构和团体的代表。

欧盟计算机应急小组应通过向IICB提出指导文件和建议的提案或发出行动呼吁，支持实施高度共同的网络安全措施。此类指导文件和建议应由IICB批准。如有需要，欧盟应急小组应发出呼吁描述紧急安全措施的行动，敦促工会组织、团体和机构在设定的时间框架内采取这些措施。

IICB应监测该条例的遵守情况以及欧盟应急小组发布的指导文件和建议以及行动呼吁的后续行动。IICB应在技术问题上得到IICB认为合适的技术咨询小组的支持，这些小组应与欧盟应急小组、欧盟各机构、团体和机关以及其他必要的利益攸关方密切合作。必要时，IICB应发布不具约束力的警告，并建议进行审计。

CERT-EU的使命应该是为所有联盟机构、团体和机关的信息技术环境的安全做出贡献。CERT-EU应充当欧盟机构、团体和机关的指定协调人，以协调向指令[NIS提案2]第6条中提及的欧洲漏洞注册中心披露漏洞。

2020年，CERT-EU的指导委员会为CERT-EU设定了一个新的战略目标，以保证所有联盟机构、团体和机关的全面网络防御水平，具有适当的广度和深度，并持续适应当前或即将到来的威胁，包括针对移动设备、云环境和物联网设备的攻击。战略目标还包括监控网络的广谱安全运营中心（SOC)，以及对高严重性威胁的全天候监控。对于较大的联盟机构、团体和机关，CERT-EU应支持其IT安全团队，包括一线24/7监控。对于较小和一些中等规模的联盟机构、团体和机关，CERT-EU应提供所有服务。

欧盟计算机应急小组还应履行指令[提案NIS2]中为其规定的职责，与计算机安全事故反应小组网络进行合作和信息交流。此外，根据欧盟委员会建议(EU)2017/15844，欧盟应急小组应与相关利益攸关方合作并协调应对措施。为了在整个欧盟范围内促进高水平的网络安全，欧盟应急小组应与国家对应方分享具体事件的信息。欧盟应急小组还应与包括北约在内的其他公共和私营对应方合作，但需得到IICB的事先批准。

在支持运营网络安全方面，CERT-EU应通过欧洲议会和理事会第2019/881号条例（EU)中规定的结构化合作，利用欧洲联盟网络安全局的可用专业知识5。在适当的情况下，两个实体之间应建立专门的安排，以界定这种合作的实际执行，并避免活动的重复。欧盟计算机应急小组应与欧洲联盟网络安全局合作进行威胁分析，并定期与该机构分享其威胁形势报告。

为了支持根据欧盟委员会2021年6月23日的建议建立的联合网络单位，欧盟计算机应急小组应与利益攸关方合作并交流信息，以促进业务合作，并使现有网络充分发挥其保护欧盟的潜力。

根据该法规处理的所有个人数据都应根据数据保护法规进行处理，包括欧洲议会和理事会的法规（EU）2018/1725。

CERT-EU和联盟机构、团体和机关对信息的处理应符合条例[信息安全拟议条例]中规定的规则。为确保在安全事务上的协调，国家安全和情报机构发起或寻求的与欧盟反恐小组的任何联系都应及时通报欧盟委员会安全局和IICB主席。

由于CERT-EU的服务和任务符合所有联盟机构、团体和机关的利益，每个有IT支出的联盟机构、团体和机关都应公平分担这些服务和任务。这些捐款不影响联盟各机构、机关和机关的预算自主权。

IICB应在欧盟反恐小组的协助下，审查和评估该条例的执行情况，并向欧盟委员会报告其调查结果。在此基础上，欧盟委员会应向欧洲议会、理事会、欧洲经济和社会委员会以及地区委员会报告。

通过了本法规：

欧盟《网络安全条例》中文版.pdf

粉丝群