欧盟理事会通过网络安全新法《NIS2指令》

　　通过NIS2指令

　　据报道，NIS2指令将正式建立欧洲网络危机联络组织网络EU-CyCLONe，支持大规模网络安全事件和危机的协调管理。　　NIS2指令要求在事件发生24小时内向有关部门报告网络安全事件、修补软件漏洞以及准备风险管理措施以保护网络。如果不遵守规定，基础服务运营商将面临高达年营业额2%的罚款，而对于重要服务提供商，最高罚款为年营业额的1.4%。

　　欧盟理事会表示，NIS2指令将涵盖在关键领域运营的大中型组织，其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。不过，NIS2指令不适用于在国防或国家安全、公共安全和执法等领域开展活动的实体，司法机构、议会和中央银行也被排除在外。

　　这项指令将在欧盟官方公报上发布，并将于发布后的第20天生效。欧盟各成员国将在指令生效后的21个月内将这些规定纳入所在国家法律。

　　据悉，早在2016年7月6日，欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》(以下简称“NIS指令”)，旨在加强基础服务运营商、数字服务提供者的网络与信息系统安全，要求这两者履行网络风险管理、网络安全事故应对与通知等义务。

　　消息人士认为，由于社会的数字化和互联程度不断提高，全球网络恶意活动的数量不断增加，原来的NIS指令在当今网络安全形势下需要进行更新，NIS2指令应运而生，并将取代现行的NIS指令。

　　采取多项举措

　　当下，网络安全越来越受到重视，欧盟作为全球重要经济实体，已将网络空间等新领域视为建设重点。

　　欧盟声称，针对欧盟的网络攻击日趋严重，着手应对网络安全威胁愈发重要。据欧盟委员会统计，2019年针对欧盟区域内基础设施的网络攻击超过450次，2020年欧盟遭受的网络攻击高达750余起。今年4月，包括欧盟委员会在内的一系列欧盟机构遭到网络攻击，对欧盟的安全造成严重影响。

　　NIS2指令是在欧洲多国政府机构就网络安全采取一系列重大举措之后发布的，其中包括英国的产品安全和电信基础设施(PSTI)法案，该法案对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。

　　去年，欧盟制定了建立联合网络部门的计划，目标是汇集欧盟及其成员国可用资源和专业知识，有效预防、遏制和应对大规模网络攻击。但鉴于日益严峻的全球网络安全形势和日趋复杂的网络生态，以及在统筹成员国网络安全管控资源、协调并整合内部政策与行动等方面障碍重重，该计划的发展依然面临诸多挑战。

　　此外，欧盟还出台网络防御新政策，以加强欧洲网络安全防御为核心，突出军地合作、填补潜在安全漏洞、减少战略依赖和发展网络技术等内容。欧盟政治和安全委员会将定期对欧盟可能面临的关键网络安全漏洞进行战略评估，制定网络技术路线图。该委员会将在新政策框架下建立网络技术培训机构，向各成员国提供网络防御服务。

　　提高防范能力

　　NIS2指令取得的进展既是欧盟近年来加强网络安全弹性，推动数字化转型的又一举措，也是对当前国际网络安全形势的回应。

　　欧盟委员会执行副主席玛格丽特·韦斯塔格等多位欧盟重量级人士都表达过相似的观点，即网络安全是数字化和互联欧洲的基石，在网络安全事件频发的背景下，任何打击网络犯罪的新举措都是受欢迎的。

　　欧盟委员会负责促进欧洲生活方式的副主席马加里蒂斯·斯希纳斯说：“最近(欧盟遭遇)的勒索软件攻击应该作为一个警示，我们必须保护自己，免受可能破坏我们的安全和欧洲生活方式的威胁。”他认为，通过NIS2指令可以更好地应对网络攻击，防范网络风险，提高行动能力，建立一个可信任和安全的数字世界。

　　马加里蒂斯·斯希纳斯还表示，网络安全对于保护经济和社会免受网络威胁始终至关重要，目前欧盟在数字化转型中不断前进，这一点也随之变得越来越重要。“随着NIS2指令的出台，我们正在履行提高欧盟网络安全标准的承诺。”　　欧盟委员会内部市场专员蒂埃里·布雷顿也认为NIS2指令的出台有助于提升欧盟网络安全。他同时指出：“目前全球范围内，网络威胁变得更加大胆和复杂。我们必须调整网络安全框架，以适应新的现实，确保公民和基础设施得到保护。”

　　欧盟外交事务和安全政策高级代表何塞普·博雷说：“NIS2指令是欧洲保护其政府、公民和企业免受网络威胁的非常重要的一步。面对网络攻击，我们都很脆弱，我们需要保卫自己，也需要促进全球稳定和安全的网络空间。”