歐盟通過網路與資訊系統安全指令
歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。
故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。
此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。
該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
施弘文
專案經理 編譯整理
DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC (last visited Aug. 30, 2016).
EU Network and Information Security Directive finalized, http://www.out-law.com/en/articles/2016/july/eu-network-and-information-security-directive-finalised/ (last visited Sep. 1, 2016).
美國自911事件後,事後檢討之建議之一為統合全美單一公共安全網路,可供跨部門之第一線救災人員使用。俟後美國於2008年拍賣700MHz頻段 (Auction 73)時,原本將Block D (788-793MHz/ 758-763MHz)共10MHz規劃為全國單一執照(Nationwide License),並與公共安全(public safety)頻段相連,得標者須與美國政府簽訂網路分享協議(Network Sharing Agreement, NSA),在必要時供緊急服務優先使用,惟該頻段歷經兩次拍賣均低於底價流標。2012年,商務部成立獨立機構First Responder Network Authority (下稱FirstNet),規劃如何統合所有與公共安全相關之通訊網路,FCC在2016年將前述流標之700MHz頻段撥交FirstNet使用。 FirstNet 2017年3月宣布與AT&T達成25年之合作協議,由AT&T協助該機構建置緊急服務人員專用之全國性LTE無線寬頻網路,該網路之主要用途為當緊急事故發生時,第一線之人員可利用該關鍵基礎設施進行通訊聯繫之用。FirstNet與AT&T的合作協議主要包括以下三個部分: FirstNet將提供上下行合計共20MHz 之頻譜 (788-798MHz / 758-768MHz),該頻段係美國主要之LTE頻段,商業價值極高,且設備之生態圈極為成熟。此外,FirstNet也將在未來5年提供65億美金的建設經費,該經費來源為FCC過去頻譜拍賣之標金收入。 AT&T承諾於25年內投入400億美金用於網路基礎設施的建設與維運,並確保網路的覆蓋率。 FirstNet同意在該網路未用於緊急服務時,得做為AT&T商業網路之一部分進行營運,但是當有緊急服務需求時,應立即提供緊急救難使用。 近年來,公共安全災防 (Public Protection and Disaster Relief)寬頻網路已成為許多先進國家的首要推動政策,包含英國與境內第一大電信商Everything Everywhere (EE)合作,芬蘭政府近來亦與電信商Telia共同合作測試LTE技術之公共安全網路。
日本經濟產業省公布自動駕駛後續之政策方針報告書 GSM 協會公布未來行動電話市場的規範原則建議在面對未來3G行動通訊市場的激烈競爭中,主管機關應如拿捏管制的強度?GSM協會於2006年2月6日公布未來行動通訊市場的規範原則建議有執法者應持續注意管制干預手段可能造成的成本及效益;管制目標及政策應該被清晰定義,且管制手段應符合最小干預及必要性;管制的內容必須是可公開即可受公評;應以市場現況,並從微觀及宏觀角度進行規範;在發照政策上應鼓勵新進業者對於電信設施的建設並促進有效市場競爭;頻譜的核配應從促進經濟上的效率、有效競爭及從市場結構面進行考量;對於行動通訊網路的限制應基於以科學、技術或確實研究結果,而不以公共顧慮為考量;對於客戶資料的不當用途,應設計安全防範措施等等。
自日本產業競爭力強化法暨特區立法談監理沙盒立法之推動與課題