国家计算机网络应急技术处理协调中心|张冰

国家计算机网络应急技术处理协调中心江苏分中心|董宏伟

欧盟网络和信息安全局（ENISA）作为欧盟的一个独立政府机构，其主要职能包括提供咨询和建议、支持政策制定和实施，以及协调各成员国在相关产业方面的合作，在欧洲国家网络空间战略发展中提供了重要的技术和政策支撑。当前，我国在网络和信息安全立法、执法等网络空间战略发展方面处于探索阶段，ENISA在有关网络和信息安全法律的制定和实施、人才培养及制度的形成等方面积累的经验，对我国网络强国战略的实施和完善有着重要的借鉴意义。

ENISA：加强产业合作，提高安全应对能力

ENISA是一个独立的政府机构，成立于2004年，自2005年9月1日起全面投入运营，对欧盟委员会及其成员国负责，主要从事3方面的活动：提供建议、支持政策制定和实施、协调欧盟各成员国与网络安全产业界相互合作。其首要目标是强化欧盟各成员国和工商企业间的协调，以提高应对网络和信息安全问题的能力。其主要任务是：收集适当的信息，分析当前和潜在的网络安全问题，并把分析结果提供给各成员国和欧洲理事会。ENISA协助欧盟委员会、成员国、行业企业满足网络和信息安全的要求，包括欧盟在该层面的立法。

ENISA位于希腊克里特岛的伊拉克利翁市（2005年成立之总部），在雅典设有办事处（2013年成立）。其机构包括管理委员会、执行委员会、执行主任、永久的利益相关者集团和特设工作组，其中执行主任对该机构负责并独立履行其职责。ENISA还建立了国家联络官（NLOs）网络，由各欧盟和欧洲经济区国家、欧洲委员会和欧盟理事会的代表组成，ENISA通过NLOs构成了国家联系网络，加强了该组织在各成员国的活动。

欧盟委员会于2017年10月4日公布了关于“修改ENISA授权立法和建立信息通信技术产品及服务网络安全认证制度”的立法草案。该法案自称“网络安全法”，根据法案，该机构更名为“欧盟网络安全局”，负责在欧盟层面制定和执行网络安全政策、提升网络安全能力、搜集网络安全信息、构建统一的网络安全产品和服务市场，也涉及研发和创新等工作。

ENISA推动国家网络空间战略的实践

ENISA在推动国家网络空间战略发展中的主要实践行动，大致可以分为以下几点。

对成员国的网络空间战略提供建设性意见，有针对性地细化和完善法律等“硬性”规则。

欧盟通过法律法规监管网络安全，依据所制定规范的效力分为强制性的规定即“硬法”，以及具有指导性的“软法”，主要包括条例、指令、决定、推荐意见与建议。

其中，条例具有最高法律效力，有普遍适用性和全面的效力，产生巨大影响力的有建立欧洲网络与信息安全局(ENISA)的第460/2004号条例。指令的适用频率最高，它通常针对个别成员国生效，是协调成员国的重要手段。决定、推荐意见与建议仅是欧盟就某一问题对成员国提出的建设性意见，对成员国不具有法律约束力，具有“软法”性质。比如，在建议层次方面，ENISA陆续发布了一系列信息化安全发展的“建议”“指南”，有针对性地细化和完善信息安全法律规定，从微观上构筑了欧洲内部互联网安全的又一道严密防线。此外，ENISA致力于建立公私合作伙伴（PPP）、信息共享与分析中心（ISAC），提供了许多有关设置和运行的实际建议，发布了《有效PPP的合作模式良好实践指南》《信息共享与分析中心的合作模型(2017)》等多份相关报告。

支持欧盟各成员国网络安全政策制定和实施，对各国国家网络安全战略进行效果评估。

2012年5月8日，ENISA发布《国家网络安全战略——为加强网络空间安全的国家努力设定路线图》，简要分析了美、加、日3国的网络空间安全战略，并提出了欧盟成员国国家网络安全战略应该包含的内容和要素。2012年12月19日，发布了《国家网络安全战略：制定和实施的实践指南》，形成了统一和全面的国家网络安全战略的制定与实施，评估与调整两个阶段的20项具体行动。2016年11月14日，ENISA发布新版《NCSS最佳实践指南》，更新了原始指南的步骤、目标和最佳实践，分析了欧盟和欧洲自由贸易区的NCSS状况，以支持欧盟成员国努力开发和更新其NCSS。

截至2014年底，越来越多的欧洲国家开始将网络安全战略视为事关经济民生的关键政策，有18个欧盟成员国发布了国家网络安全战略，其中不少国家已经进入重新评估优化国家网络安全战略的第二阶段。这18个国家包括爱尔兰、芬兰、瑞典、爱沙尼亚、拉脱维亚、立陶宛、波兰、德国、丹麦、英国、法国、捷克共和国、葡萄牙、意大利、希腊、塞浦路斯、奥地利、克罗地亚、斯洛伐克、保加利亚、罗马尼亚、西班牙、比利时、匈牙利、卢森堡、荷兰、马耳他和斯洛文尼亚。

对此，2 014年11月27日，ENISA发布了《国家网络安全战略评估框架》，主要包括安全战略评估的概念逻辑模型及关键绩效评估列表。ENISA执行理事Udo Helmbrecht教授评价称：“国家网络安全战略是欧盟成员国应对网络安全风险和挑战的重要环节，需要持续发展并正确评估，以适应社会、技术和经济的发展。ENISA提供了一个系统性和指导性很强的评估框架，有助欧盟成员国提升其国家网络安全战略制定水平。”

推进欧盟各成员国与网络安全产业界合作。

引领执行NIS指令。2016年7月6日，欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》（简称NIS指令）。NIS指令要求建立一个合作组，以增进欧盟成员国之间的战略合作与信息共享，该合作组由欧盟成员国代表、欧盟委员会、ENISA构成。ENISA在NIS指令的执行中扮演重要的角色，任务包括支援欧盟机构、成员国与产业界，对网络威胁与信息安全问题快速作出反应；通过开发阈值、模板和工具，支持欧盟范围内的网络安全事件报告流程；在执行任务中协助各国间成立合作小组；协助成员国与执委会，提供专业意见和建议等。指令还要求各成员国指定一家或多家计算机安全事件响应工作组（CSIRT）进行安全风险和事件处理，欧盟层面成立协作小组负责安全事件信息共享及安全协作事宜；还要求成员国CSIRT与CERTEU代表构建CSIRT网络，并将欧盟委员会作为观察员；ENISA设立相应的秘书处支撑机制运行。

致力于建立公私合作伙伴关系（PPP）。伙伴关系包括来自欧盟和各成员国、各地区以及当地的公共管理机构、研究中心以及学术界的成员，旨在促进研究和创新过程早期阶段的合作，并为能源、卫生、交通和金融等多个行业制定网络安全解决方案。2013年4月，欧洲部分私人网络安全公司联合成立了“欧洲网络安全小组”，通过联合600多名网络安全专家针对问题作出快速有效的反应，建立伙伴关系。同时利用“一线经验”优势，在网络防御政策、风险预防等问题上向政府、企业和监管机构提供更有效和实用的建议。2016年8月，欧盟委员会与业界建立第一个欧洲网络安全公私合作伙伴关系，预计至2020年将投入18亿欧元，以更好地应对网络攻击，并加强其网络安全部门的竞争力。为给设置和运作PPP关系提供具体的激励措施和实际建议，ENISA自2014年起组织召开了6届研讨会。

致力于发展信息共享与分析中心（ISAC）。ISAC是非营利组织，为收集有关网络威胁的信息中心提供资源，允许私人和公共部门之间双向共享信息，分享经验、知识和分析。在许多欧盟成员国中，都有类似ISAC的组织，欧盟NIS指令和网络安全法等法律体系，促进了在欧盟内部建立ISAC和PPP这样的部门。

推进全社会信息、安全文化的建设。

ENISA负责组织、协调欧盟各成员国的网络信息安全的战略规划、实践、基础设施保护和应急响应等工作，包括各成员国为了提升国民信息安全素养应当采取的各项措施。在欧洲，ENISA及欧盟成员国在不遗余力地推进全社会信息、安全文化的建设。并且针对社会各类人群的特征，划分了不同的目标群体：从个人用户到中小企业用户以及传媒，都纳入了信息安全文化建设的范畴，并且对各目标群体提出了有针对性的安全意识提升计划。此外，ENISA还通过网络战演练等方式提高欧洲各国的网络安全防御能力，如2018年11月4日，由ENISA和欧盟联合研究中心主办的首次全欧范围内的网络演练，目的是演练各国对付网络黑客攻击的能力。欧盟22个成员国和冰岛、挪威、瑞士等非欧盟成员国的代表参加演练，其他成员国则派观察员参加。

对我国的启示和建议

健全监管组织，注重对私营部门权益的保障，推动行业自治与共治发挥效用。欧盟在实践中正逐渐建立的监管模式，体现出由政府、行业组织和社会共同监管，并通过法律的形式予以明确的特征。这个模式的特点是由欧盟层面和成员国层面的官方机构发挥主导作用，鼓励行业组织和企业进行自律。我国非常重视政府在安全监管中的作用，但政府的监管能力是有限的，在具体的信息安全监管过程中，行业组织、技术联盟、私营部门等具有极强的影响力。它们通过制定行业规则、技术标准等手段，加强对信息安全的监管。这就要求我国在完善政府主导的治理模式的同时，邀请自律性监管主体参与其中，分明职权，共同监管。同时，建立一个类似欧盟ENISA—样的信息交流平台，负责“协调”和“咨询”工作，组织实施网络监管实践。通过开展公私合作创新项目、签署合作协议等多种方式畅通合作渠道，增强私营部门合作的积极性和互动性。

推动建立信息共享机制。欧盟非常注重信息共享，在战略中屡次强调要推动建立ENISA主管政府部门与执法部门之间、政府部门与企业之间的信息共享渠道。美国等其他国家也曾在多个法案中确立信息共享方式和程序。由于网络安全事件具有涉及范围广、传播速度快、出现频率高的特点，在其预警、防范、恢复过程中，信息共享确实非常必要。目前，我国网络信息安全信息共享机制仍处于初步阶段，其机制和效率都有很大的提升空间，建议参考美欧等国做法，设立专门的网络安全信息共享分析中心，负责政府部门之间及政府部门与企业之间的信息共享工作。同时，应通过法律或规章制度，最大程度地确保共享信息的保密性，让共享各方能自愿、放心地交换信息。

配套制度建设全面铺开，落地实施进一步强化。无论基于何种体例，网络安全立法的任何一个领域都需逐层展开，构筑法律、监管框架、部门制度、指引标准的配套系统。这一方面是立法技术本身的要求，另一方面则是技术立法的显著特点。目前我国已发布并实施《网络安全法》，配套相关法律法规、国家标准已同步发布实施或仍处于制定、征求意见阶段。一方面，部分重点领域仍存在法律空白，如个人信息保护等尚未颁布相关管理规范，已发布的国家标准为推荐性标准，缺乏有效的约束性与规范性。建议加快相关立法进程，为行业组织、企业与个人行为提供操作指引，为行政执法提供法律依据。另一方面，逐步改变现阶段被动立法的局面，积极预测新技术、新业务发展可能引发的网络与信息安全风险，在风险发生前构建管理侧的安全防护屏障，最大程度上隔离并防范可能发生的风险。此外，立法和配套制定后的有效实施问题普遍存在，强化落地实施的评估方式、执法检查等也应成为下一步的重点。

加强专业人员教育培训，提升全民安全意识重点加强领域专业人才的高校培养与职业培训，全面普及全民网络安全意识。一方面，夯实高校网络与信息安全相关专业的教育培养，提升专业人才的理论知识储备与专业技能，构建专业人才梯队，为政府、企业输送专业人才，提升安全防御能力；另一方面，加强全民网络与信息安全意识的培养与提升，通过宣传日、主题日、主题展览等多种形式的活动，提升网络普通网民的安全意识，防范各类安全事件的发生。