2022年3月,當歐洲仍在震驚於俄羅斯對烏克蘭的侵略消息時,歐盟部長們在法國尼維爾(Nevers)討論了增強歐洲國家應對大規模網路攻擊的想法,提議建立一個網路安全緊急基金,提供給成員國政府,聘用可信任的網路安全公司進行審計和事件應變。此舉為「網路團結法案」的開端,歐盟委員會預計於4月5日提交該法案的草案,該模型參考烏克蘭以公共機構和私人企業合作的方式確保網路安全。
該法案預計成立網路後備部隊(cyber reserve),由經過認證的信任服務提供商組成,並支援對重大網路攻擊的回應。選擇這些可信任供應商的標準仍然不清楚,但 Atos、Thales、WithSecure 和 BitDefender 最有可能成為候選人。然而,是否僅開放給美國公司如 Microsoft 進入後備部隊仍是一個問題,外國公司可能受到某些限制。至少排除那些被認為與敵對勢力關係太近的公司,就像華為。
歐盟網路安全機構 ENISA 自去年夏天以來一直在推動一個名為「可信任合作夥伴計劃」的試驗項目,該試驗項目發布了價值 2800 萬歐元的公開招標,分為28個標案,適用於歐盟27個成員國和一個歐洲級別的標案。在這些國家,符合條件的候選人必須獲得國家、北約或歐盟的安全審查、證明或認可。
政策框架:
歐盟正在推出一項名為「網路團結倡議」的計畫,旨在建立跨國合作框架,以提高歐洲的網路安全。計畫的目標是建立歐盟層面的威脅情報共享機制,並協助建立支撐歐洲檢測基礎設施。然而,委員會目前仍未決定是否需要立法來實現這項計畫,因為可能會引起歐盟部長理事會的反感。此外,各國代表也覺得能力有限,更希望專注於現有的「網路韌性法案」。
在國家層面,歐盟國家正忙於實施修訂後的網路和資訊安全(Networks and Information Security,NIS2)、關鍵實體彈性指令,以及區域安全營運中心(Security Operation Centres,SOCs)的實施,但這些計畫需要資金支持。因此,委員會提出了「網路團結倡議」的立法提案,以確保資金能夠分配到合適的地方。然而,委員會嘗試強制要求成員國分享威脅情報,這個提議遭到歐盟國家的反對,因為敏感資訊如果落入壞人手中,可能會危及國家安全。
最近的先例可以從「晶片法案」中看出,該法案規定了在哪些條件下為提高歐洲半導體產能做出貢獻的公司可以獲得國家援助。有資格獲得可信任供應商支持的組織是 NIS2 中認定的關鍵實體。然而,由歐盟國家收取分配資金的費用可能不符合歐盟國家援助規則。治理問題相當敏感,因為這牽涉到歐洲網路安全能力中心(European Cybersecurity Competence Centre,ECCC)的角色。
治理:
歐洲網路安全能力中心成立於 2021 年,是為了增強歐洲的網路安全能力。然而,歐盟委員會原本希望將該能力中心留在比利時首都-布魯塞爾,但羅馬尼亞成功獲得了在羅馬尼亞的首都-布加勒斯特設立第一個歐盟機構的機會。
正如「歐洲動態」(EURACTIV)去年4月報導的那樣,歐盟執委會推遲了對該中心新執行董事的任命,以保持其主權。成立兩年後,歐盟網路安全局仍然缺乏最高職位,而且人手嚴重不足。然而,委員會不願意讓能力中心完全獨立,因為它的職責是管理專門用於加強歐盟網路安全能力的資金。
預算:
「網路團結倡議」的資金將來自「數位歐洲計劃」,但這個計畫可能會與已經捉襟見肘的歐盟預算以及成員國不願投入額外資源的現實發生衝突。此外,「網路防禦政策」已預見到這些預算限制,並指出,歐盟將透過確保此類歐盟的可用性和準備性來增加價值,儘管具體干預措施的行動範圍和成本分配將取決於歐盟可用資金。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Luca Bertuzzi(2023). What to expect from the EU’s Cyber Solidarity Act. euractiv. 檢自:https://www.euractiv.com/section/cybersecurity/news/what-to-expect-from-the-eus-cyber-solidarity-act/ (Mar. 7, 2023)
