歐盟推出《網路韌性法案》補充歐盟網路安全框架

  歐盟為提升網路數位化產品之安全性,解決現有網路安全監管框架差距,歐盟執委會於2022年9月提出《網路韌性法案》(EU Cyber Resilience Act)草案,對網路供應鏈提供強制性網路安全標準,並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標:
  1.確保製造商對於提升產品之網路安全涵蓋整個生產週期;
  2.為歐盟網路安全之合法性創建單一且明確之監管架構;
  3.提高網路安全實踐之透明度,以及製造商與其產品之屬性;
  4.為消費者和企業提供隨時可用之安全產品。

  《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時,須滿足法規要求之網路安全標準,始得於市場上銷售,並應提供清晰易懂之使用說明予消費者,使其充分知悉網路安全相關資訊,且至少應於五年內提供安全維護與軟體更新。

  《網路韌性法案》將所涵蓋之數位化產品分為三種類別(產品示例可參考法案附件三):I類別、II類別,以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別,須遵守法規要求之安全標準或經由第三方評估;II類別為與網路安全漏洞具密切關連之高風險產品,須完成第三方合格評估始符合網路安全標準;預設類別則為無嚴重網路安全漏洞之產品,公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品,惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。

  若製造商未能遵守《網路韌性法案》之基本要求和義務,將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。

相關連結
你可能會想參加
※ 歐盟推出《網路韌性法案》補充歐盟網路安全框架, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8915&tp=1 (最後瀏覽日:2026/07/11)
引註此篇文章
你可能還會想看
美國白宮於2019年5月發布總統令,提升聯邦及全國之資安人力

  美國白宮(the White House)於2019年5月2日發布第13870號總統令(Executive Order),旨在說明美國的資安人力政策規劃。   於聯邦層級的資安人力提升(Strengthening the Federal Cybersecurity Workforce)上,由國土安全部(Department of Homeland Security, DHS)部長、管理預算局(Office of Management and Budget, OMB)局長及人事管理局(Office of Personnel Management, OPM)局長共同推動網路安全專職人員輪調工作計畫(cybersecurity rotational assignment program),計畫目標包含:輪調國土安全部與其他機關IT及資安人員、提供培訓課程提升計畫參與者之技能、建立同儕師徒制(peer mentoring)加強人力整合,以及將NIST於2017年提出之國家網路安全教育倡議(National Initiative for Cybersecurity Education, NICE)和網路安全人力框架(Cybersecurity Workforce Framework, NICE Framework,以下合稱NICE框架),作為參與者的最低資安技能要求。同時上述部長及局長,須向總統提交報告說明達成上述目標之執行方案。   於國家層級的資安人力提升(Strengthening the Nation’s Cybersecurity Workforce)上,則表示商務部部長(Secretary of Commerce)、勞工部部長(Secretary of Labor)、教育部部長(Secretary of Education)、國土安全部部長與其他相關機關首長,應鼓勵州、領土、地方、部落、學術界、非營利與私部門實體於合法之情況下,自願於教育、訓練和人力發展中納入NICE框架。此外,將每年頒發總統網路安全教育獎(Presidential Cybersecurity Education Award),給予致力於傳授資安知識之中小學教育工作者。   綜上所述,美國將透過制度、教育與獎勵等方式培育資安人才,提升國內資安人才的質與量,以因應越來越險峻的資安威脅與風險。

歐盟委員會就資料法草案提出修改報告

於2023年2月28日,歐盟議會( European Parliament )工業、研究和能源委員會( Committee on Industry, Research and Energy )就2022年公開之資料法草案( Data Act )提出修正報告,該報告支持資料法草案賦予使用者訪問、使用並共享其資料的權利,以發揮出工業資料的經濟潛力,並就資料法草案內容提出修改之報告(以下簡稱修改草案)。 以下就修改草案對於資料持有者權利之影響摘要說明如下: 1、對資料持有者之營業秘密的保護,資料持有者就其有營業秘密之資料,能要求使用者保護該資料的秘密性,並要求使用者要採取一定之保密措施,若使用者未能執行該保密措施,資料持有者可暫停資料共享; 2、資料持有者提供資料之對象為公司時,可對其請求之合理補償,該合理補償包含產生/處理資料與提供資料等讓資料可用的成本,惟該資料成本若可與其他資料請求分攤,則不應由單一使用者支付全部費用,且對於小/微型企業,不得請求超過提供資料的直接成本; 歐盟為使工業資料可充分發揮其效益,資料法草案旨在推動資料共享並建立相對的遊戲規則,此次修改草案從營業秘密與成本補償的角度切入,以保障資料持有者權利,該修改草案預計於3月中全體會議上進行表決,其規範對象包含有在歐盟提供物聯網/雲端產品或服務之企業,國內企業亦會因網路跨境性質而受影響,可參考資策會科法所所發布之重要數位資料治理暨管理制度規範(EDGS)預做準備。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」

新加坡金融管理局(MAS)發布「人工智慧風險管理工具包」

新加坡金融管理局(MAS)於 2023 年中旬啟動「MindForge 計畫」,旨在協助金融機構強化其人工智慧(AI)風險管理能力。該計畫於2026年3月20日完成第二階段,並發布由MAS聯合24家領先銀行、保險公司與資本市場公司等產業夥伴共同開發的「人工智慧風險管理工具包」。該工具包內含「AI風險管理營運手冊」(下稱「營運手冊」)與「AI風險管理實施案例」(下稱「實施案例」),提供實務資源以管理涵蓋「傳統AI」、「生成式AI」及「新興代理型AI」技術的相關風險,確保產業能安全且負責任的導入AI。「營運手冊」依據MAS的監理期望,將AI 風險管理框架分為四大核心:一、範圍與監管:建立AI治理框架並釐清AI監督的角色與責任。二、AI風險管理:透過組織的系統、政策與程序,識別AI應用情境,進行風險重大性評估,並建立AI盤點清單。三、AI生命週期管理:實施AI應用完整生命週期的控制措施。四、促成因素:發展組織能力、基礎設施與資源,以確保能持續支持負責任的AI應用。「實施案例」則收錄如星展銀行(DBS)及瑞士寶盛(Julius Baer)等機構的AI風險管理實務。未來,MAS 將於「BuildFin.ai」倡議下成立專責小組,持續開發建構管理新興技術風險的框架。 相較於新加坡著重建立全方位治理架構,資訊工業策進會科技法律研究所創意智財中心(下稱「資策會科法所創智中心」)於同年 2 月發布之「金融業人工智慧(AI)風險管理實務指引」,則更強調將風險控管「整合」至既有流程中,透過與業務流程的結合實踐韌性管理。該指引奠基於「人工智慧基本法」,並進一步連結「台灣智慧財產管理規範(TIPS)」驗證角度,協助機構精準掌握應用情境並具體化風險。透過將管控機制立基於資安、資訊及智財三大支柱,降低法遵成本與業務衝擊,並藉由分階段與分級管理,引導金融機構從核心防護逐步深化管控機制。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

電信業者提供視訊服務之外國法制研析

TOP