資料來源 : 歐盟執委會新聞稿https://ec.europa.eu/commission/presscorner/detail/en/speech_23_2145

歐盟執委會內部市場執委Thierry Breton 2023年4月5日於法國里耳舉辦之國際網路安全論壇(International Cybersecurity Forum)開幕致詞，詳細闡釋歐盟集體網路安全之重要性，歐盟各會員國雖已制定國家規範，但在歐洲層面網路技術、營運和政治仍過於分散。歐盟戰略羅盤政策(Strategic Compass)已將網路視為歐洲新興國防領域(如太空、海洋)，有賴歐洲共同保護，打造「歐洲網路盾」以因應為外來威脅，達到保護、偵測、防守及威攝(protect, detect, defend and deter)等目標，重點摘要如下：

(一)保護：歐盟將透過技術與法規提高單一市場的網路韌性與安全的標準：

１、技術面：歐盟正建立其技術路徑圖，集中民用及軍用之歐盟及會員國經費，降低網路依賴性，發展後量子加密技術(post-quantum encryption)。

２、法規面：歐盟已致力干預及協調會員國提高規範的標準：

(１)歐盟網路暨資安指令修正案(Revision of Network and Information Security Directive，NIS 2，(EU) 2022/2555))：該修正案對關鍵經濟部門的經濟參與者新增資安要求(例如數據中心和公家機關)、創建歐洲層級的網路脆弱性註記制度，並關注價值鏈的安全性(如網路管理軟體供應商)。NIS 2對歐盟內部安全性的調和至關重要，會員國須盡快將NIS 2納入國內法規範。

(２)網路韌性法(Cyber Resilience Act，CRA)：歐盟2022年提出的網路韌性法(CRA)為輸銷歐盟的產品和軟體制訂最低資安規範，CRA將為所有產品提高資安標準，並引入資安設計(cybersecurity by design)的概念。所有輸銷歐盟約90%產品須根據CRA提出符合性聲明即可，但具關鍵資安風險(如工業防火牆、路由器或操握系統) 的30項產品，則須經第三方進行符合性驗證，而執委會亦得要求高風險產品撤出歐盟市場。事實上，美國上月宣布的網路安全法即是借鑒歐盟的NIS與CRA制訂。

(３)5G資安工具箱(5G cybersecurity toolbox)：為部署安全網路，歐盟持續確保該工具箱之實施，目前所有歐盟成員均已同意自其網路(CORE與RAN)排除高風險供應商，23個會員國已通過這方面的法律，但只有7個國家施行且排除其認為構成安全風險的供應商。B執委認為，依據最新盤點，上述會員國未確實落實5G資安之情，將對歐洲大陸構成風險，並籲會員國及電信廠商儘速展開必要行動。

(４)雲與邊緣運算聯盟(cloud and edge alliance)：歐盟已發起雲與邊緣運算聯盟在歐盟市場建立產業資料及維護相關資料安全。目前歐盟的合作夥伴與系統性對手在此領域大量投資，歐盟極需提高雲的技術水準。此外，歐盟已通過資料治理法(Data Governance Act)與資料法(Data Act)，調整歐盟的資料監管框降，並引進反雲條款(anti-cloud clauses)避免歐洲的資料被非法取用。

(二)偵測：目前偵測一個複雜的網路攻擊平均要190天，歐盟極需將此時程減少至幾小時，相關作法如次：

１、執委會將提出「網路團結法案」(Cyber Solidarity Act)，建立安全營運中心(security operation centres)，作為歐洲的網路盾牌。

２、歐盟亦將加強關鍵基礎設施(critical infrastructure)的安全和韌性，相關設施包括機場、發電廠、天然氣管道、電網等。為此，歐盟刻與會員國合作，模擬攻擊場景和滲透測試，盼找出設施的漏洞並加以改善。

(三)防守：執委會將提出的網路團結法包括網路應變機制(Cyber emergency mechanism)。去年B執委與歐盟負責外交政策高級代表Josep Borrell共同提出之網路防禦(Cyber Defense)，即籲加強凝聚歐洲層級之網路防禦合作。

(四)威攝：上述加強歐洲網路設施韌性、共同偵測、儲備等行動均有助強化歐洲之網路威攝地位。此外，歐盟可透過其網路外交框架(cyber diplomacy framework)採取例如一年前實施的強效制裁政策，有助強化其網路威攝力量。