欧盟 - 网安法 - 法律法规库 · 国外法律 · 国外法律

欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws）公益翻译小组荣誉出品欧盟《网络安全法》全文中译本译校者：李璐瑶、李夏云、赵彤彤、付荣华、陈磊、黄晨雪、于雪、郭青峰、李为 2020 年 1 月 1 日版权专有，未经书面授权，禁止商业性使用，禁止演绎 1 欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws）组长：李璐瑶，全程负责和组织翻译、校对的工作。翻译人员：李夏云（开头--序言(32)），小米隐私合规法务赵彤彤（序言(73)--序言(104)），小米信息安全与隐私高级工程师付荣华（序言(33)--序言（72）和序言(105)—第 7(2)条），互联网公司隐私合规法务陈磊（第 7(3)条-- 第 17(3)条），上海市大数据中心数据治理架构师黄晨雪（第 17(4)条--第 27(1)条），从事数据安全合规法务工作于雪（第 27(2)条--第 43 条），中国社会科学院大学（研究生院）法硕研究生郭青峰（第 44 条—第 54(1)条），法雷奥中国区信息安全官李为（第 54(2)条—第 61(2)条），广东国智律师事务所律师李璐瑶（第 61(3)条--最后），在线途游（北京）科技有限公司海外法务专员校对人员：付荣华（序言 36--序言 101），互联网公司隐私合规法务李璐瑶（序言 102—最后），在线途游（北京）科技有限公司海外法务专员 2 欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws） 2019 年 4 月 17 日欧洲议会和欧盟理事会共同通过的欧盟第 2019/881 号条例，关于欧盟网络安全局（ENISA）和信息和通信技术（ICT）网络安全认证，并废止欧盟第 526/2013 号条例(网络安全法) 欧洲议会和欧盟理事会考虑到“欧盟运作条约”，特别是其中第 114 条，考虑到欧盟委员会的提议，在向各国议会转交立法草案后，综合考虑了欧洲经济及社会委员会的意见1，各区域委员会的意见2，将按照普通立法程序行事3。鉴于：（1）网络和信息系统以及电子通信网络和服务在社会中发挥着至关重要的作用，并已成为经济增长的支柱。信息和通信技术(ICT)是支持日常社会活动的复杂系统的基础，使我们的经济在保健、能源、金融和运输等关键部门保持运转，特别支持了内部市场的运作。 1 OJC227，28.6-2018，第 86 页。 2 OJC176，23.5.2018，第 29 页。欧洲议会于 2019 年 3 月 12 日的立场(尚未在《官方公报》中公布)和理事会 2019 年 4 月 9 日的决定。 3 3 欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws）（2）现在，欧盟公民、组织和企业使用网络和信息系统的现象十分普遍。数字化和连通性正在成为越来越多的产品和服务的核心特征，随着物联网(IoT)的出现，预计未来十年内，将在整个欧盟范围内部署极多的联网数字设备。虽然越来越多的设备连接到互联网上，但在设计时并未充分内置安全性和恢复力，导致网络安全性不足。在这方面，认证的使用有限，导致个人、组织和企业用户对 ICT 产品、ICT 服务和 ICT 流程的网络安全特征的信息不足，这破坏了对数字解决方案的信任。但是网络和信息系统能够支持我们生活的各个方面，并推动欧盟的经济增长，是实现单一数字市场的基石。（3）越来越多的数字化和连通性的增加了网络安全风险，从而使整个社会更容易受到网络威胁，并加剧了包括儿童等弱势群体在内的个人所面临的危险。为了减轻这些风险，需要采取一切必要的措施来改善欧盟的网络安全，以便更好地保护公民、组织和企业使用的网络和信息系统、通信网络、数字产品、服务和设备 -从 2003/361/EC 欧盟委员会建议中界定的中小型企业到关键基础设施运营商免受网络威胁。（4）通过向公众公开相关信息，欧洲议会和理事会共同通过的欧盟第 526/2013 号条例4设立的欧洲联盟网络和信息安全机构(ENISA)为欧盟网络安全行业，特别是中小企业和初创企业的发展做出了贡献。ENISA 应努力与大学和研究实体开展更密切的合作，以帮助减少对来自欧盟以外的网络安全产品和服务的依赖，并欧洲议会和理事会 2013 年 5 月 21 日关于欧盟网络和信息安全机构（ENISA）的第 526/2013 号条例（EU）， 4 并废除第 460/2004 号法规（OJL165，18.6.2013，第 41 页）。 4 欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws）加强联盟内部的供应链。（5）网络攻击的数量正在增加，一个容易受到网络威胁和攻击的互联的经济和社会需要更强大的防御能力。然而，尽管网络攻击通常是跨越国界发生的，但网络安全和执法当局的权限和政策主要是国家性的。大规模的事件可能会扰乱整个欧盟的基本服务。这就需要在欧盟一级采取有效、协调一致的对策和危机管理，并以专门的政策和更广泛的手段为基础，促进欧洲的团结互助。此外，根据可靠的联盟数据，定期评估联盟的网络管理和复原力状况，以及在联盟和全球一级对未来发展、挑战和威胁进行系统预测，对决策者、行业和用户都很重要。（6）鉴于欧盟面临日益增加的网络安全挑战，有必要在欧盟以往行动的基础上，制定一套全面措施，以促进相辅相成的目标。这些目标包括进一步加强成员国和企业的能力和准备，并改善成员国和联盟机构、机关、办事处和代理机构之间的合作、信息共享和协调。此外，鉴于网络威胁的无边界性质，需要增强联盟层面的能力，以补充会员国的行动，特别是在大规模跨界事件和危机的下，考虑到保持和进一步加强国家能力以应对各种规模的网络威胁的重要性。（7）还需要更多的努力来提高公民、组织和企业对网络安全的认识。此外，鉴于一些偶发事件破坏了数字服务提供商和单一数字市场，特别是消费者对单一数字市场的信任，应通过以透明的方式提供有关 ICT 产品、ICT 服务和 ICT 流程的安全级别的相关信息来进一步增强信任。强调即使高度的网络安全认证也不能保证 ICT 产品、ICT 服务和 ICT 流程完全安全。欧盟层面的认证可以为为国家市场 5 欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws）和部门提供共同的网络安全需求和评价标准，从而促进信任。（8）网络安全不仅是一个与技术有关的问题，也是一个与人类行为同样重要的一个问题。因此，应该大力推广“网络卫生”，即由公民、组织和企业定期实施和执行的，简单的、常规的措施，以最大程度地降低其造手网络威胁的风险。（9）为了加强欧盟的网络安全结构，必须维护和发展成员国全面应对网络威胁，包括应对跨界事件的能力。（10）企业和个人消费者应具有与其 ICT 产品、ICT 服务和 ICT 流程安全性以通过认证保证水平的准确信息。同时，没有任何 ICT 产品或 ICT 服务完全是网络安全的，因此，必须促进和优先考虑网络卫生的基本规则。鉴于物联网设备越来越多，私营部门可以采取一系列自愿措施来加强对 ICT 产品、ICT 服务和 ICT 流程安全性的信任。（11）现代 ICT 产品和系统通常集成和依赖于一种或多种第三方技术和组件，如软件模块、库或应用程序编程接口。这种“依赖关系”可能会带来其他的网络安全风险，因为第三方组件中发现的漏洞也可能影响 ICT 产品、ICT 服务和 ICT 流程的安全性。在许多情况下，识别和记录这类依赖关系使 ICT 产品、ICT 服务和 ICT 流程的最终用户能够改善其网络安全风险管理活动，例如改善用户的网络安全漏洞管理和补救程序。 6 欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws）（12）应鼓励参与设计和开发 ICT 产品、ICT 服务或 ICT 流程的组织、制造商或供应商在最早阶段采取措施，最大程度地保护这些产品、服务和流程的安全，从而推测书可能的网络攻击并将其影响降至最低("安全设计")。应通过不断发展的设计和开发流程来确保 ICT 产品、ICT 服务或 ICT 流程在整个生命周期中的安全性，以减少恶意开发造成的伤害风险。（13）企业、组织和公共部门应配置尤其设计的 ICT 产品、ICT 服务或 ICT 流程以确保更高级别的安全性，使第一位用户能够以尽可能安全的设置接收默认配置（“默认为“安全性”），从而减少了用户必须适当配置 ICT 产品、ICT 服务或 ICT 流程的负担。默认情况下，安全性不应要求用户进行广泛的配置或需要特定的技术理解，或是非直观的行为，并且在实现时可以应轻松可靠地工作。如果根据具体情况进行风险和可用性分析得出的结论是，默认情况下这种设置不可行，则应提示用户选择最安全的设置。（14）欧洲议会和欧洲理事会共同通过的第 460/2004 号条例5设立了 ENISA，其宗旨是促进实现以下目标：确保联盟内高水平和有效的网络和信息安全，并发展一种网络和信息安全文化，造福于公民、消费者、企业和公共行政部门。欧洲议会和理事会共同通过的第 1007/2008 号条例 6将 ENISA 的任务期限延长至欧洲议会和欧洲理事会 2004 年 3 月 10 日关于建立欧洲网络的第 460/2004 号条例(EC)和信息安全机构 5 （OJL77，13.3.2004，第 1 页）。欧洲议会和欧洲理事会 2008 年 9 月 24 日第 1007/2008 号条例（EC）2008 年 9 月 24 日修订了第 460/2004 6 号条例，规定了欧洲网络和信息安全机构关于其期限的第 460/2004 号条例（OJL293，2008 年 10 月 31 日，第 1 页）。 7 欧盟《网络安全法》全文中译本 | 数据法盟（DataLaws） 2012 年 3 月。欧洲议会和欧洲理事会共同通过的第 580/2011 号条例7进一步将 ENISA 的任务期限延长至 2013 年 9 月 13 日。欧盟第 526/2013 号条例将 ENISA 的任期延长至 2020 年 6 月 19 日。（15）欧盟已经采取了重要步骤，以确保网络安全和增强对数字技术的信任。 2013 年，欧盟通过了“欧盟网络安全战略”，以指导欧盟应对网络威胁和风险的政策。为了更好地保护网上公民，欧盟于 2016 年以欧洲议会和理事会共同通过的第 2016/1148 号指令的形式通过了欧盟在网络安全领域的第一项法律法案8。第 2016/1148 号指令提出了关于网络安全领域国家能力的要求，建立了加强成员国之间战略和业务合作的第一个机制，并规定了涉及能源、运输