德國聯邦網路局發布電信網路安全要求要點

  德國聯邦網路局(BNetzA)於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定,與聯邦資訊安全局(BSI)和德國聯邦資料保護與資訊自由委員會(BfDI)達成協議後制定,並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路,因該技術係為未來核心關鍵基礎設施,為確保技術發展之安全性,電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性,故用於構建5G之技術必須符合最高安全標準,且應盡可能排除安全問題,該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下:

(1)系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規,且值得信賴之供應商處獲得。

(2)必須定期且持續監控網路流量異常情況,如有疑問,應採取適當的保護措施。

(3)僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件(以下簡稱關鍵核心組件)。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。

(4)安全相關的關鍵核心組)應在交付期間進行適當之驗收測試後方能使用,且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。

(5)在安全相關領域,只能聘用經過培訓之專業人員。

(6)電信網路營運商須證明所使用的產品中,實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。

(7)在規劃和建立網路時,應使用來自不同製造商的網路和系統組件,以避免類似「單一耕作」(Monokulturen),即避免技術生態圈無法均衡發展,以及易受市場波動影響之不良效應。

(8)外包與安全相關勞務時,僅可考慮有能力,可靠且值得信賴的承包商。

(9)對於關鍵且與安全相關的關鍵核心組件,必須提供足夠的冗餘(Redundanzen)。

  鑑於德國於3月中旬已拍賣5G頻譜,聯邦政府將大力推廣附加要求,並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求,聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範,並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商,應適用於整體供應鏈。此外,德國聯邦政府擬針對聯邦資訊安全局法進行修訂,包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定,將在認證框架內提供可信賴性證明。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 德國聯邦網路局發布電信網路安全要求要點, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8273&no=55&tp=1 (最後瀏覽日:2026/07/05)
引註此篇文章
你可能還會想看
強化AI安全防線:八國連署AI與機器學習供應鏈風險管理指南

日本國家網路安全辦公室(国家サイバー統括室)於2026年3月5日,代表日本連署了「AI、機器學習供應鏈風險與緩和措施」(Artificial intelligence and machine learning Supply chain risks and mitigations)之國際文書(下稱本文書),並公布本文書內容。本文書是由隸屬於澳洲訊號局(Australian Signals Directorate,簡稱ASD)之澳洲網路安全中心(Australian Cyber Security Centre,簡稱ACSC)主導訂定,主要針對有導入或開發 AI、機器學習系統與元件等需求的組織,揭示其可能存在供應鏈風險與提升整體網路安全之重要性,並就AI開發或採購階段,組織應留意相關風險與可採行之緩和措施。有關連署國家,除了日本與澳洲以外,也包括加拿大、紐西蘭、韓國、新加坡、英國與美國等共八個國家皆已完成連署。 本文書內容強調組織於管理 AI、機器學習等風險時,應將 AI 供應鏈視為整體網路安全戰略的一環,同時評估產品或服務之整體生命週期風險,不應著重於單一技術,而是組織需要掌握整體供應鏈的全貌,包括特定關係事業者、活用AIBOM(AI物料清單,主要用來記錄AI模型相關資產與資訊,提供快速定位與管控AI問題模型功能)或SBOM(軟體物料清單,主要記錄軟體相依元件,用於漏洞管理與供應鏈透明度)、意識到是否已針對AI、機器學習系統可能帶來的風險,進行漏洞管理,以及針對AI、機器學習系統所導致之網路安全事件建立應處機制等。 本文書將AI、機器學習供應鏈風險大致區分為五類:AI 數據、機器學習模型、AI 軟體、AI 基礎設施(含硬體),以及第三方服務,本文書指出AI、機器學習應用於供應鏈時可能產生之風險,其中包括數據品質不良、資料受竄改、模型遭植入惡意程式碼、軟體元件複雜導致難以保證其安全、硬體與韌體擴大攻擊面,以及導入第三方服務致使供應鏈產生弱點等。 此外,本文書也針對各類風險提出可行的因應方法,例如: 1.數據面:需做標準化搜集、外部資料檢疫、資料前處理與完整性驗證。​ 2.模型面:需從可信來源取得透明模型,實施性能驗證與惡意程式偵測。​ 3.軟體面:需做完整性驗證、元件審核,並透過 SBOM 掌握已知弱點。 4.硬體面:需確認設備無惡意內容,並在網路中適當分區。 5.第三方服務面:需持續評估與監控供應商的資安實務與脆弱性管理。 總結來說,日本已意識到國家網路安全治理下,針對AI、機器學習的安全,不單是模型安全,而是涉及整體性供應鏈安全。日本藉由與他國連署國際文書,不僅強化國際合作,同時建立供應鏈網路安全共識,因應AI對於國家供應鏈之網路安全挑戰,從資料、模型、軟體、硬體到第三方服務等視角提出具體因應方法,作為全面提升國家整體網路安全環境之參考指引。日本透過強化與他國合作,提升國家網路安全治理之作法,值得我國未來借鏡參考。

既有建築改善翻新措施─德國政策參考

既有建築改善翻新措施─德國政策參考 科技法律研究所 2013年07月11日 壹、事件摘要   內政部於6月20日公布資訊指出,我國為達成環境永續發展之目標,於1999年開始推行綠建築標章評估系統,迄今已有3,943件新建或既有建築,取得綠建築標章或候選綠建築證書,每年皆可有效節水與節電;同時,自2003年起,針對既有中央辦公廳舍及國立大專院校所辦理的改善翻新,亦具有顯著的節能減碳成果。 貳、重點說明   為因應全球暖化與氣候變遷問題,我國針對建築部門推動許多兼顧節能減碳與生態保護的綠建築政策。首先,內政部在1999年針對新建建築之規劃設計,訂定綠建築標章評估系統。行政院另於2001年3月核定「綠建築推動方案」,率先實施對公部門新建及既有建築之綠化工作,內政部並依據該方案實施方針第7條,推動「綠廳舍暨學校改善補助計畫」。接著,為了強化民間產業投入綠建築,行政院再於2008年1月核定「生態城市綠建築推動方案」,依據該方案實施方針第11條「辦理綠建築更新診斷與改造計畫」,繼續推動既有中央辦公廳舍及國立大專院校建築物之改善翻新。此外,為鼓勵民間既有建築參與綠建築改善,並於100年1月訂定內政部獎勵民間綠建築示範作業要點。   由上述政策發展可以看出,我國既有建築之改善翻新,乃循公部門先帶頭示範,再輔以對民間建築給予獎勵補助,與歐美等先進國家政策推動模式一致。 參、事件評析   根據統計,我國既有建築約佔全國建築總量97%,這些早期建造的建築物,於設計規劃之初皆未納入綠建築之概念。因此,雖然許多既有建築仍舊堪用,但建築本身卻普遍存在著高耗能問題。這使得推動既有建築進行改善翻新,提升其能源效率,成為一重要議題。而依內政部公布之資訊,公部門既有建築改善翻新獲得卓越之成效,確實令人欣喜。然而,公部門既有建築畢竟仍屬少數,故如何推動民間既有建築進行改善翻新,會是我國落實綠建築政策的關鍵。在此,本文將介紹德國政府之相關政策,希望能供我國作參考。   在既有建築改善翻新政策中,德國政府同樣先要求公部門建築必須進行改善翻新,以逐年降低其能源消耗量。與此同時,德國政府也認知到有超過75%的既有建築,至今仍未進行改善翻新。因此德國交通、建築暨都市發展部(Bundesministerium für Verkehr, Bau und Stadtentwicklung, BMVBS,簡稱交通部)推出了降低二氧化碳排放的建築改善翻新方案,不僅給予補助,更與德國復興信貸銀行(Kreditanstalt für Wiederaufbau, KfW)合作,提供改善翻新的低利率貸款。   今年6月1日,為了促進民眾積極採取「具體的」改善翻新行動,交通部與德國聯邦經濟暨技術部(Bundesministerium für Wirtschaft und Technologie, BMWi,簡稱經濟部)共同推出建築節能改善翻新的線上評估服務。讓民眾即使在家中,也可以進行節能與節省成本的行動。 該線上評估服務分為三大步驟,首先,必須輸入建築物的狀態。接著,便可以選擇欲改善翻新的項目及措施。最後,系統會產生整體改善翻新的結果,包括改善翻新前後的能源需求狀態、二氧化碳排放量,以及改善翻新所需經費,並提供聯邦、邦政府財政補助及KfW貸款方案的連結。   德國政府希望藉此向民眾傳達改善翻新的好處,在於節能、節省長期的能源成本,並增加建築物之價值。儘管德國政府在此線上評估服務網站上表明,評估結果僅供參考,並無法取代專業能源顧問的具體評估建議。然而,事先透過簡單、便利的線上評估,不僅增加民眾對於既有建築改善翻新的瞭解及興趣,更是進一步驅動民眾尋求專業評估的動力。   由此可知,節能減碳若要具體落實,全面性的規劃絕對是必要的。我國若能以德國的政策為借鏡,給予民眾更多關於既有建築改善翻新的協助,提供更多資訊。相信可以鼓勵更多民眾自主投入既有建築節能之行列,使我國綠建築政策獲得全面性的落實。

美國眾議院外交事務委員達成協議,修訂《國家關鍵能力防禦法案》建立對外投資審查制度

  美國眾議院外交事務委員會於2022年6月13日在兩黨創新法案(HR4521)會議上,就對外投資機制新提案發表聯合聲明。兩黨達成協議修訂《國家關鍵能力防禦法案》(National Critical Capabilities Defense Act of 2022, NCCDA),擴大對外投資審查制度。促使美國制定NCCDA對外投資審查立法乃係源於經濟和國家安全考量,美國關注特定技術向中國轉讓以及美國企業可能透過特定投資幫助提升中國能力之風險。因此,雖然NCCDA會給國際投資帶來不確定性,但美國兩黨及兩院內部仍支持實施特定形式的對外投資審查程序,並且與利益相關者就如何制定強而有力且具針對性的對外投資機制進行建設性的討論,目的是確保美國不會將關鍵產業製造能力拱手讓給外國競爭對手。   NCCDA授權成立國家關鍵能力委員會(Committee on National Critical Capabilities),由美國貿易代表署擔任主席並與供應鏈安全相關聯邦機構成員共同組成,審查特定對外業務交易和活動包括:界定需要境外投資審查的活動範圍、明訂出境審查流程、及關鍵產業項目等。依據NCCDA第11條「國家關鍵能力(National Critical Capabilities)」定義,指對美國至關重要的有形及無形的系統和資產,若此類系統和資產無法開發、失能或遭到破壞,將對國家安全造成破壞性影響。委員會應負責界定涉及「國家關鍵能力」產品、供應鏈和服務;列舉國家關鍵能力產業領域包括:能源、醫療、通訊、國防、運輸、航空航太、機器人、人工智慧、半導體、造船、水等。若美國人和外國實體從事「涵蓋活動」者,必須在展開活動前至少60天以書面形式通知委員會。委員會將會通知審查,若確定所涵蓋的活動對國家關鍵能力構成不可接受的風險,委員會可以實施緩解措施,或建議總統採取特定行動,包括暫停和禁止該活動。美國兩黨期待各方利益相關者能以書面形式參與討論,確保NCCDA法案通過並滿足各方需求,使美國與盟友國的對外投資機制保持一致。

歐洲食品安全局頒佈利益申報實施細則

  為了有效管理歐洲食品安全局(European Food Safety Authority, EFSA)內部各項活動間之利益管控與監督,EFSA日前於3月5日公布利益申報(Declarations of Interest, DOIs)施行規則(Implementing Rules),並計畫於2012年7月1日正式實施,且同時搭配一個為期4個月的過渡(Transition Period)配套措施方案。該利益申報施行規則,乃為EFSA於今年初所核准之「獨立性與科學決策過程」(Independence and Scientific Decision-Making Processes)政策的基礎規範項目之一。   本次EFSA所頒布之利益申報施行規則,其訂定之理由係因,原任職於EFSA旗下基因工程植物之首席風險評估專家,轉任至一家專門研發及生產該種植物之生物科技公司;為避免並且釐清相關因該事件所衍生之利益衝突問題,乃制定本規範。故此,為具體有效管理EFSA內部人員與其他涉及EFSA各項活動之機構間的利益監督事宜,EFSA遂進一步於今年初開始著手進行相關措施之規劃。目前該利益申報施行規則除了主要針對EFSA旗下之各層級人員訂定各項利益類型之規範準則外,更重要的是,其亦提供其旗下之專業科學研究人員,各項能有效具體確認其利益界線之劃分的保護措施。由於該利益申報施行規則授與EFSA選取與管理利益申報議題若干彈性,因此EFSA能具體且有效的利用相關規範延攬頂尖研究人員,進而協助EFSA提升其內部研發人員之創新研發能力。   政府機關成員之利益申報與迴避問題,乃為全球各國政府需面對之問題,而對於如何有效且彈性的進行相關議題之管控,更是相關政策制訂時需加以考量之點。EFSA之利益申報施行規則不僅有效管理內部人員之利益衝突與申報問題,同時亦藉由彈性的管理規範方式,延攬優秀頂尖人才,達到具體提升研發水準之功效;對此,EFSA之規範方式與運作成效,實值得加以觀察與效仿。

TOP