歐盟通過網路與資訊系統安全指令
歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。
故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。
此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。
該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
施弘文
專案經理 編譯整理
DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC (last visited Aug. 30, 2016).
EU Network and Information Security Directive finalized, http://www.out-law.com/en/articles/2016/july/eu-network-and-information-security-directive-finalised/ (last visited Sep. 1, 2016).
加拿大安大略省議會於2016年5月三讀通過修正健康資訊保護法(Health Information Protection Act, HIPA)。該法案藉由一連串措施,包括增加隱私保護、問責制與提升透明度,以提高病人地位。 1.在符合指令定義內,將違反隱私之行為強制性地通報與資訊與隱私專員; 2.強化違反個人健康資訊保護法之起訴流程,刪除必須於犯罪發生之六個月內起訴之規定; 3.個人犯罪最高額罰款提升到50,000元至100,000元,組織則為250,000元至500,000元。 而健康資訊保護法也將更新照護品質資訊保護法(Quality of Care Information Protection Act, QCIPA),有助於提升透明度,以保持醫療系統的品質,更新內容包括: 1.確認病患有權得知其醫療相關資料; 2.釐清不得對關於受影響的病患與家屬保留重要事項之資訊與事實; 3.要求健康與長照部(Minister of Health and Long-Term Care)每五年定期審查照護品質資訊保護法。 安大略省亦正著手研究由專家委員會提出,所有關於提升照護品質資訊保護法所稱重大事故透明度之建議。 藉著透過該目標,將可提供病患更快的醫療,更好的家庭與社區照顧,安大略政府希望可以透過上開手段以保護病患隱私以及加強其資訊透明度。
何謂英國金融科技創新計畫( Project Innovate )?為了全力打造英國成為「FinTech 全球領導者地位」,及引領FinTech 國際監管規則的大國,英國金融業務監理局(Financial Conduct Authority, FCA)於2014年10月啟動了金融科技創新計畫(Project Innovate),目的就是能夠追蹤進入金融市場的新興商業模式,其中最重要的建立監理沙盒制度(Regulatory Sandbox),旨在提供企業可以在安全空間內對創新產品、服務、商業模式等進行測試,而不會立即招致參與相關活動的所有監管後果。 金融科技創新計畫增設創新中心(Innovation Hub),為創新企業提供與監管對接等各種支持。 金融科技創新計畫通過促進破壞式創新鼓勵挑戰現有的商業模式,而創新中心主要透過政策與金融科技業者交流,了解是否監管政策能夠更好的支持創新。
德國聯邦網路局發布電信網路安全要求要點德國聯邦網路局(BNetzA)於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定,與聯邦資訊安全局(BSI)和德國聯邦資料保護與資訊自由委員會(BfDI)達成協議後制定,並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路,因該技術係為未來核心關鍵基礎設施,為確保技術發展之安全性,電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性,故用於構建5G之技術必須符合最高安全標準,且應盡可能排除安全問題,該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下: (1)系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規,且值得信賴之供應商處獲得。 (2)必須定期且持續監控網路流量異常情況,如有疑問,應採取適當的保護措施。 (3)僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件(以下簡稱關鍵核心組件)。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。 (4)安全相關的關鍵核心組)應在交付期間進行適當之驗收測試後方能使用,且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。 (5)在安全相關領域,只能聘用經過培訓之專業人員。 (6)電信網路營運商須證明所使用的產品中,實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。 (7)在規劃和建立網路時,應使用來自不同製造商的網路和系統組件,以避免類似「單一耕作」(Monokulturen),即避免技術生態圈無法均衡發展,以及易受市場波動影響之不良效應。 (8)外包與安全相關勞務時,僅可考慮有能力,可靠且值得信賴的承包商。 (9)對於關鍵且與安全相關的關鍵核心組件,必須提供足夠的冗餘(Redundanzen)。 鑑於德國於3月中旬已拍賣5G頻譜,聯邦政府將大力推廣附加要求,並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求,聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範,並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商,應適用於整體供應鏈。此外,德國聯邦政府擬針對聯邦資訊安全局法進行修訂,包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定,將在認證框架內提供可信賴性證明。
加拿大在商展中展現數位內容產業之實力加拿大領導廠商 ICTV ,在 NCTA 國家商展 (NCTA National Show) 中,帶來了加拿大在互動電視內容方面的最新科技展現。 ICTV 是著名產品 HeadendWare 的製造商,此產品是在寬頻產業中傳輸互動電視內容最強大的平台。此一平台目前已取得多家加拿大廠商的協力合約,將共同在此平台上發展遊戲、娛樂與資訊內容等將關服務。 ICTV 解決方案部門的主管表示,加拿大確實是在互動數位內容方面的技術領先國家,並且正持續吸引更多的廠商與其合作。確實,加拿大的科技產業在全球屬領先地位,過去國內廠商對於新科技的注意力,大都放在美國、歐洲及日韓等國,或許,對加拿大進行更深入的關心與瞭解,可以挖掘到更多的報寶藏。