APP下载

信息安全管理系列之五十八 欧盟网络与信息安全监管框架介绍

2019-12-23谢宗晓李宽

中国质量与标准导报 2019年11期

谢宗晓 李宽

摘要:从NIS Directive开始,介绍欧盟网络与信息安全监管框架所涉及的各个机构,其中包括欧盟网络与信息安全局、标准开发机构以及计算机安全事件响应组。

关键词:网络与信息系统指令 欧盟网络与信息安全局 CEN CENELEC ETSI

Introduction to EU Network and Information Security Regulatory Framework

Xie Zongxiao (China Financial Certification Authority)

Li Kuan (Agricultural Bank of China)

Abstract: Starting from NIS Directive, this paper introduces the various institutions involved in the EU network and information security regulatory framework, including ENISA(The European Union Agency for Network and Information Security), SDO(Standards Development Organization), and CSIRTs (Computer Security Incident Response Teams).

Key words: NIS Directive, ENISA, CEN, CENELEC, ETSI

1 引言

NIS3) Directive(EU) 2016/1148是欧盟范围内关于网络与信息系统安全的第一个立法[1],给出了提高欧盟整体网络安全水平的法律措施,在第19条“标准化”(Article19 standardisation),明确指出了ENISA4)在其中的作用。實际情况是,早在2004年,ENISA就已经成立,当时依据的是Regulation (EC) NO 460/2004。

鉴于国内对欧盟的监管体系,尤其是网络与信息安全的整体监管框架,不容易理解,因此在下文中,通过梳理NIS Directive与GDPR的立法过程,同时也介绍了相关机构的作用,以及与国内相关机构的对比。

2 关于NIS Directive

NIS Directive发布于2016年7月,开篇就指明其目的是“为整个欧盟的网络和信息系统提供高水平的公共安全保障措施”。但是值得注意的是,在国内,Directive一般翻译为“指令”,Regulation翻译为“法规/条例”。但是在国内的法律体系中,并没有与指令对应的条目。

欧盟的Directive与Regulation也存在一定的不同。指令是针对每个成员国而不是当事人(组织或者机构),但是条例则针对每个成员国以及当事人。而且,指令发布后通常给予成员国一定的时限,成员国可以自行选择落实的形式,也就是说,指令类似于纲领性文件。条例一般发布后立即生效,并且在成员国内无差别实施。

也就是说,NIS Directive是约束欧盟成员国的一个纲领性文件,在这点上,与《中华人民共和国网络安全法》还是存在一定的不同,与《美国网络安全法案》(USA Cybersecurity Act)更接近一些。

NIS Directive最早起源于COM(2009)149,其中提出关键信息技术设施保护(Critical Information Infrastructure Protection, CIIP),目的是“为保护欧洲免受大规模网络攻击和破坏而采取的网络和信息系统高水平共同安全措施,这旨在加强整个欧盟的防范、安全和恢复能力”。在这之前的COM(2006)786讨论的是更广义的关键基础设施保护(Critical Infrastructure Protection, CIP)。

在之后的发展中,具有标志性的事件为2013年发布的《网络安全战略》5)。2013年至2015年,欧盟发布了一系列相关的报告,最终在2016年发布NIS Directive。如上文所述,指令的实施可以有缓冲期,在条款25中,明确规定实施的最后期限为2018年3月9日。据文献[1]报告,主要的成员国都已经按时落实了NIS Directive的条款。

NIS Directive一共包含27条,2个附录,在结构上被划分为7章。

第1章,第1~6条,为通用条款,主要包括应用范围、相关定义以及相关例外等。第2章,第7~10条,描述了网络与信息系统安全的国家架构,其中包括战略(Article 7)、主管部门和统一联络处(Article 8)、计算机安全事件响应组(CSITRs)(Article 9)以及国家层面合作(Article 10)。第3章,第11~13条,实际是细化了上述合作机制,其中包括了合作组(Article 11)、CSITRs网络(Article 12)和国际间合作(Article 13)。第4~5章,第14~18条,分别对基本服务运维商和数字服务供应商提出了安全需求和事件通知(Article 14和Article 16),以及相应的实现和执行(Article 15和Article 17),对于后者,还单独讨论了司法权与领土权(Article 18)。第6章,第19~20条,讨论了标准化与自愿通知,两条分别与之对应。第7章,第21~27条,为结束条款,主要包括了惩罚、委员会程序和评审等各项事宜。

附录Ⅰ介绍了CSITRs的要求与任务,附录Ⅱ对应第4条的(4),在该条款中定义了基本服务运营商,这个列表中的行业跟关键信息基础设施的范围较为接近,但是在这里强调的是实体的类型。

3 关于ENISA

如上文所述,ENISA的建立起源于Regulation (EC) NO 460/2004,之后历经两次大修:Regulation(EC) NO 1007/2008和Regulation (EC) NO 580/2011,到目前,该法规已经被Regulation (EU) NO 526/2013所替代。ENISA总部位于希腊的雅典,在希腊的Heraklion Crete也有办公区。

ENISA是一个专业化机构,类似于美国的NIST6),其主要职责是为信息安全开发良好实践(good practice),以及“提高对网络和信息安全的认识,并在社会上发展和促进网络工作和信息安全的文化,使欧盟内的公民、消费者、企业和公共部门组织受益 ”7)。例如,2017年12月,ENISA发布了《提高ICT安全标准认识》(Improving recognition of ICT security standards),副标题为《欧盟成员符合NIS Directive相关建议》(Recommendations for the Member States for the conformance to NIS Directive),这就是针对NIS Directive所给出的比较有代表性的指南文档[2]。

自2019年6月,欧洲网络安全法案[Regulation (EU) 2019/881]开始实施,ENISA还负责“欧洲网络安全认证框架(European cybersecurity certification schemes)”的准备工作。欧洲网络安全法案引入了支持ICT产品、流程和服务网络安全认证的流程。而且为ICT产品、流程和服务的网络安全认证制定了欧盟范围内的规则以及欧洲框架。或者说,EU Cybersecurity Act将标准化与认证之间联系起来。在这个新发布的欧洲网络安全认证框架下,ENISA是最重要的角色之一。

综上所述,ENISA主要的任务包括:

● 对网络安全提出建议,或者一些独立的建议;

● 支持政策制定并促进其落实;

● 联络工作,与欧盟范围内的各种组织展开直接合作;

● 协调应对欧盟范围内大规模跨境的网络安全事件;

● 制定欧洲网络安全认证方案。

4 关于CEN、CENELEC和ETSI

但是,ENSIA并不是专门的标准开发机构(Standards Development Organization,SDO),欧洲主要的标准开发机构为CEN8)、CENELEC9)和ETSI10)。欧盟采用的标准主要为上述三家机构输出,当然也包括国际标准化组织(ISO)。

CEN为欧洲标准化委员会,成立于1961年,目前包含34个欧洲成员国。CENELEC为欧洲电工标准化委员会,建立于1973年,是由CENELCOM和CENEL合并而成。ETSI是欧洲电信标准化协会,成立于1988年。这三个机构的输出文件主要如表1所示。

除以上三个主要机构,欧盟还有一些其他标准开发机构,例如,欧洲关键设施保护参考网络(ERNCIP11))等。

5 关于CSIRTs

NIS Directive中第12条,要求建立CSIRTs网络,“以促进成员国之间建立信心和信任,促进快速有效的运维合作”。CSIRTs网络由欧盟成员国指定的CSIRTs和CERT-EU所组成。欧洲委员会(European Commission)作为观察员参加了该网络。

CSIRTs网络为会员提供了一个合作、交流信息和建立信任的论坛。成员们将能够改进对跨境网络安全事件的处理,甚至讨论如何以协调一致的方式对具体事件做出响应。

ENISA与CSIRTs的关系为,ENISA积极支持CSIRTs合作,并根据要求为秘书处和事件协调提供积极支持。ENISA发布了一系列关于CSIRTs的报告。

6 关于EU GDPR

EU GDPR [Regulation(EU)2016/679]是近20年以来欧盟在数据隐私立法方面的最大变化,其主要目的在于:1)统一协调欧洲各地的数据隐私法;2)保护和授权所有欧盟公民的数据隐私;3)重塑整个欧盟区域内处理数据隐私的方式。严格来说,隐私保护与信息安全并不是同一个领域[3]。在信息安全管理系列之四十七已经介绍过,本文不再赘述,请参考文献[4]。

7 小结

本文以NIS Directive为纲,梳理了欧盟网络与信息安全监管框架涉及的重要机构,其中包括最重要的专业机构ENISA,三个最重要的标准开发机构:CEN、CENELEC和ETSI,以及一个由成员国所组成的CSIRTs网络。

参考文献

[1] MARKOPOULOU D, PAPAKONS  TANTINOU V,DE HERT P. The new EU cybersecurity  frame-work: The NIS Directive, ENISAs role and the General Data Protection Regulation [J/OL], Computer Law & Security Review: The International Journal of Technology Law  and Practice, https://doi.org/10.1016/j.clsr.2019.06.007.

[2] ENISA. Improving recognition of ICT security standards[R/OL].(2018-02-01)[2019-06-01] https://www.enisa.europa.eu/publications/improving-recognition-of-ict-security-standards.

[3] 李松涛,谢宗晓.数据分类/分级及其相关标准解析[J] .中国质量与标准导报, 2019(4):14-16.

[4] 刘雨晨,谢宗晓.欧盟通用数据保护法规解析[J].中国质量与标准导报, 2018(12):30-34+39.

“十二五”國家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近20本。

信息安全管理系列之五十八

自2018年5月25日,EU GDPR1)正式实施,替代之前的Directive 95/46 / EC2),数据安全以及隐私保护得到了前所未有的关注。但是,对于欧盟网络与信息安全的整体监管框架,国内还是缺乏了解的,孤立地理解这些标准并不现实,本文从这个角度进行了探讨。

谢宗晓(特约编辑)