為了確保網絡安全,歐盟頒佈新的網路安全計畫
網絡活動無遠弗屆,其所帶來的影響也逐漸引起世界各國的關注。依據歐盟針對網絡安全現況所做的調查發現,首先,現行估計存有150,000隻電腦病毒在網路間流竄,並已造成148,000部電腦受到威脅;第二,世界經濟論壇(World Economic Forum)指出,在未來的十年內,主要重大資訊基礎設施估計將有10%遭到破壞,其將導致2500億美金的損失;第三,著名資安公司(Symantec與McAfee)估計,全世界因網路犯罪而受害者,每年將會損失2900億歐元。相反地,因網路犯罪而受益者,其獲利將可高達每年7500億歐元;第四,依據 Eurobarometer在2012年針對網絡安全的民調指出,38%歐盟網路使用者因網絡安全因素已改變他們的網路行為方式;74%使用者同意,成為網絡安全受害者的風險已經逐漸增加;12%使用者已經遭受線上詐欺且89%使用者已避免在網上揭露個人資料;第五,據網絡暨資訊安全(NIS)的公眾諮詢發現,56.8%受訪者指出,在過去一年已經歷NIS事件對其網絡活動所帶來的嚴重影響;第六,Eurostat figures指出,直到2012年一月,在歐盟境內的企業僅有26%已經制定出完整的ICT安全政策。
有鑑於網路安全風險所帶來的效應已漸受重視,歐盟執委會(European Commission)會同歐盟外交暨安全政策高級代表(High Representative of the Union for Foreign Affairs and Security Policy共同發佈網絡安全策略,並計畫延引出歐盟執委會在NIS面向上的新指令(directive)。新的歐盟網絡安全策略,名為「開放、安全與可靠網絡空間」,代表著歐盟在預防和反應網絡攻擊和侵擾問題上的全面性預見。在該策略中,包含五個重大優先處理事項:
一、達到網絡韌性(Achieving cyber resilience)
二、徹底減少網路犯罪(Drastically reducing cybercrime)
三、針對一般安全暨防禦政策,發展網絡防禦政策和能力(Developing cyber defence policy and capabilities related to the Common Security and Defence Policy (CSDP))
四、對網絡安全發展出企業性和技術性資源(Developing the industrial and technological resources for cyber-security)
五、為歐盟建立一個完整的國際網絡空間政策與促進歐盟核心價值(Establishing a coherent international cyberspace policy for the European Union and promoting core EU values)
為了達成歐盟網絡安全策略所形塑的優先事項,歐盟執委會亦計畫針對NIS來頒佈新的指令以落實策略項目,其中包含,首先,要求歐盟會員國必須採納NIS策略且指定國家級機關(需具有足夠人力和財務資源)來預防、處理和回應NIS風險與事件;第二,透過安全基礎設施和組成一般性的同儕審議,在歐盟會員國與執委會間建立合作機制來分享NIS風險和事件的早期預警;第三,某些領域重大基礎設施的運作者(金融服務、交通、能源或健康)、資訊社會服務的推動者(app商店電子商務平台、線上支付、雲端運算、搜尋引擎、社群網絡)和公家行政部門必須在其核心服務上,採納風險管理作法和報告主要網絡安全事件。
從歐盟網絡安全策略和執委會計畫頒佈的NIS指令可以發現,歐盟對於新世代的網絡安全風險已經有完整的預見與具體的因應措施。針對新型態的網絡安全威脅,我國如何能及早適時預警並作出相應的防範機制,以確保產業經濟、公共交通、資訊工業和國防安全等不會受到外部威脅,將是我國政府必須先行正視的問題。
本文為「經濟部產業技術司科技專案成果」
日本經濟產業省(簡稱經產省)於2025年3月5日發布《資安產業振興戰略》(サイバーセキュリティ産業振興戦略),目前日本大多使用海外製造的資安產品,且相當重視使用產品的實際體驗,進而導致日本國產資安產品難以銷售獲利,陷入缺乏資金開發投資的惡性循環,為求打破現狀促進日本資安產業發展,具體因應政策如下: 1. 創造有利資安新創企業進入市場的環境:彙整具有前景的資安新創企業名單,提供予政府參考,讓政府率先試行導入資安新創企業提供的產品與服務,展示實際使用資安產品與服務的成果,藉此提升資安新創企業知名度,降低其進入市場的難度。 2. 發掘具有潛力的技術及具市場競爭力之產品或服務:實施競賽形式的獎金制度,發掘可提升資安、解決問題,對社會具有貢獻的技術,並推動約300億日圓的研發計畫,促進技術實際落地運用,改善不利開發投資的環境。建立系統整合商、日本國產產品與服務供應商之間的媒合機制,讓供應商可在產品銷售過程中發揮影響力。 3. 充實高階專業人才拓展國際市場:擴大高階專業人才培育計畫,提升並宣傳資安人才的職業魅力,支援產業向海外發展,與合作國家共同促進企業與人才交流,以因應資安產業整體基礎不足,難以培育人才,拓展國際市場等問題。
歐盟計畫降低學名藥壁壘 開罰Teva和Cephalon 6050萬歐元歐盟執行委員會(以下簡稱執委會)於2020年11月以延遲平價學名藥進入市場、違反歐盟反托拉斯法為由,裁罰以色列學名藥廠Teva和美國生物製藥公司Cephalon共6050萬歐元。 Cephalon販售的Modafinil是用於治療猝睡症的藥物,為長年佔Cephalon全球營業額40%以上的暢銷產品。儘管其主要專利已於2005年在歐洲到期,但Cephalon仍保有部分Modafinil的延續性專利(secondary patents)。原先欲以Modafinil學名藥進軍市場的Teva也有Modafinil的相關專利,然而Cephalon和Teva達成「延遲給付」(pay-for-delay)協議,Teva同意暫緩進入市場且不去挑戰Cephalon的專利。執委會經調查發現,該協議排除Teva成為Cephalon的市場競爭者,使Cephalon的專利即使到期多年產品仍可維持高價位。 延遲給付協議在專利和解上通常是合法行為,但執委會認為此舉使患者和健保體系無法即早受惠於市場競爭帶來的低價,協議廠商卻享有缺乏競爭所產生的額外利潤。歐盟日前發布的《歐洲藥品戰略》(Pharmaceutical Strategy for Europe)更強調藥品應是全民可負擔、可取得及安全的,而維持自由競爭對達成此目標至關重大。執委會認為延遲給付協議違反《歐盟運作條約》(Treaty on the. Functioning of the European Union, TFEU)第101條,以協議限制或扭曲歐盟內部市場競爭,故裁處高額罰款。2022年歐盟將採取措施降低學名藥進入市場的阻礙,考慮進行審查、要求廠商使其專利藥品在全歐盟境內都可被取得,否則將縮短其智財權的保護期間。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
司法改革的一小步,替代性紛爭解決機制的一大步-談日本「ADR 利用促進法 歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。