歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
歐盟執委會(The EU Commission)於2022年2月3日發布了一項研究,其繪製並預估歐盟27個成員國以及冰島、挪威、瑞士和英國等國家彼此之間的主要雲端基礎設施的資料流量。該研究概述了各級產業、位置、企業規模和雲端服務類型的雲端資料流入和流出的流量和類型。政策、決策者、商業領袖與公共行政部門可以將其作為參考,以支持對未來貿易協定、工業決策和雲端投資的決策。 在歐盟的歐洲資料戰略中,認識到獲取有關資料流的經濟情報的戰略重要性,因此提出了資料流戰略分析框架的發展。為了實現這一關鍵行動,歐盟執委會開展了上述關於繪製資料流的研究,首次開發和測試了一種全新、自我維持與可複製的方法,從而產生了資料流可視化工具,用於測量、映射和分析歐洲31個國家與地區的各級產業、地理和企業規模的雲端資料流。而該資料流可視化工具中顯示的資料預計將每年更新一次。使用的資料收集來源從官方統計資料等主要來源到調查和訪談等次要來源。 該工具得以讓歐盟執委會: 一、繪製和估計歐盟27個成員國(即歐盟內部資料流)和冰島、挪威、瑞士和英國(即歐盟外資料流)的雲端計算領域主要資料流的數量 二、預測至2030年的資料流出 三、分析各產業、公司規模和雲端服務類型的資料流量 該研究顯示2020年最大的資料流來自醫療衛生產業,而德國的資料流入量最大。該報告還估計,到2030年,來自歐洲企業的資料流量將是2020年的15倍。 作為資料流市場關鍵層面之一,透過進一步調查資料趨勢,將協同即將出現的資訊法案打造一個更加生動、動態和流動的雲端市場。
任天堂將自YOUTUBE影片上傳者收取利潤YOUTUBE遊戲頻道 - Rooster Teeth’s Let’s Play的建立者Lewis Turner近期擁有111部上傳遊戲剪輯並超過74890次瀏覽量,現被任天堂(NINTENDO)控訴侵害著作權。 任天堂依YOUTUBE的Content ID政策,向Lewis Turner主張凡運用任天堂遊戲剪輯而賺取收益的部分,一旦這些剪輯被識別包含Content ID所認定之完整或部分的內容,均被要求需支付獲利予任天堂。Content ID為YOUTUBE 的著作權政策,有助保護企業並控制相關影片上傳的內容,藉識別使用者上傳的相關影片(視訊或音訊)的內容,與著作權人提供的內容比對是否侵權的功能,進而採取預先選擇的處理方式,如:透過影片賺取收益或封鎖這類的影片。 許多玩家習慣將時下流行的遊戲闖關歷程上傳至社群網站與其他玩家分享,展現如何破解高難度關卡,或進階的闖關技巧,任天堂此舉,招來許多玩家的不滿,甚至表示再也不玩任天堂的遊戲或上傳更多的遊戲歷程剪輯。一名”Let’s play”玩家表示:「電動遊戲非如電影或電視;當我看到別人正在看的影片,我可能不會再去看;但當我看到別人正在玩的遊戲,我會想自己體驗。每個遊戲過程,都有其獨特視覺經驗,藉由瀏覽遊戲歷程能夠引起購買慾望。」 對此,任天堂則聲明,若是為了持續推動並確保為任天堂的遊戲,仍可透過社群平台分享,即玩家仍可繼續在YOUTUBE上分享任天堂的遊戲歷程;而非像對待娛樂公司一樣,阻止玩家使用任天堂智慧財產權(著作權)的原因。
澳洲法院正審理乳癌或卵巢癌基因檢測產品可專利性訴訟BRCA1與BRCA2乃兩個已經被確認的基因,係用來檢測婦女是否容易罹患乳癌或卵巢癌的重要基因。在澳洲這個檢測產品是由基因技術有限公司(Genetic Technologies Limited, 以下簡稱GTL)所擁有。因檢測費用高達3,700元美金且無法有其他的檢測選擇,形成獨占。 今(2010)年3月,美國紐約聯邦地方法院(United States District Court Southern District of New York)認為BRCA1與BRCA2等人類基因乃如同血液、空氣或水的結構,屬於自然的產物,不具有可專利性,系爭專利阻礙了乳癌與卵巢癌相關研究與創新,並限制檢測的選擇性,因而作出BRCA1與BRCA2基因不具可專利性之判決。 受到美國判決之影響,今(2010)年6月澳洲的癌症之聲消費者團體(Cancer Voices),及一名患有乳癌的婦女同向雪梨聯邦法院(Australian Federal Court in Sydney)提起訴訟,希望免除GTL對於檢測乳癌與卵巢癌產品的獨占權利。主要理由包括,對人類的一部分(基因)給予專利,不但阻礙了後續研究,也會阻礙乳癌與卵巢癌治療方法的研發,更提高許多病患接受此檢測的障礙。固然專利權人得維持高檢測費用,但有別於傳統工程或技術上的專利,生物技術專利也含有高度追求人類健康之公共利益,因此握有生物技術專利者,實不應利用獨占地位阻礙的人類健康的維持與追求,阻礙醫療或治療方式的研究。 過去澳洲專利局認為自自然產物分離的基因或物質是具有可專利性的,此案若勝訴,澳洲專利局將調整原先承認自自然產物分離的基因或物質,具可專利性之見解,所以該案的後續發展值得我們關注。
歐盟議會否決新版著作權指令案,指令案將於9月再次進行表決歐盟議會於2018年7月5日針對新版著作權指令案進行投票,其中278票贊成、318票反對、31票棄權,否決新版著作權指令案。 指令案被否決之主要原因在於其中具爭議性之Article 11、13。Article 11規定,網路資訊整合平台業者(aggregation service)未來在引用他人所發佈之新聞資料或以超連結,連結至該新聞網頁時,非營利之平台業者需取得出版者之同意,營利之平台業者則需支付使用費,外界將此稱為「超連結稅」(link tax);而Article 13則規定,網路資訊整合平台業者需確保上傳之內容未侵害他人之著作權,否則當上傳資訊有侵害他人著作權之情形,平台業者亦應負相關責任。 非營利之網路資訊整合平台業龍頭之一〈維基百科(Wikipedia)〉認為該指令案之通過恐將對其造成影響,為表達抗議於2018年7月4日關閉維基百科西班牙、義大利及波蘭版,而其共同創辦人之一Jimmy Wales亦於個人Twitter上發文表達反對意見。惟另一方面,歐洲電視台、出版業者及Paul McCartney(披頭四成員之一)等藝術創作者則認為,新版著作權指令案將有助於著作權之保護,而表達支持之立場。 新版著作權指令案將於修正後,於同年9月份再付議會表決。因指令案通過與否,將對相關平台業者造成實質上之影響,後續動態值得繼續追蹤及注意。