歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
日前(美國時間 3 月 24 日 ),美國聯邦選舉委員會( the Federal Election Commission; FEC )就擴張聯邦選舉法令適用範圍及於網際網路一事,提出最新版本草案。 草案認為,諸如網頁之橫幅廣告或搜尋網站贊助商之廣告連結等,須支付對價始能刊登之網路廣告,應與利用其他種類媒體刊登或播送之廣告接受相同處遇。此外,於網誌(部落格)支持特定候選人或發表政治性質言論者,則應與吾人向來使用之傳統媒體享有同等言論自由。最後,收件人數 500 以下之電子郵件,性質並非付費廣告之影音宣傳品,選民自發進行之線上宣傳活動等,均應排除於法令規制範圍之外。 去年該委員會即曾就此議題提出規制較為嚴格的版本,而遭部分網誌作家及國會議員強烈批判;其後委員會之法律專家就此重加研議,明確釐清適用範圍,改採較為寬鬆之規制取向。雖然目前之版本尚難謂完全明確,不過言論自由人士對於目前發展仍表樂觀其成。
美國聯邦上訴法院維持地方法院之原判,判定暢銷藥物Plavix 所基於的關鍵專利為有效繼美國紐約南區地方法院於2007年6月判定暢銷藥物Plavix所基於的專利為有效後,美國聯邦上訴法院於2008年12月再次認定Plavix之專利為有效。此判決有助於阻止Plavix學名藥進入美國市場直至該專利於2011年到期。 Plavix為一降低血液黏稠度之藥物,乃Bristol-Myers Squibb Co. 公司最銷售之產品及Sanofi-Aventis公司第二銷售之產品。加拿大Apotex公司宣稱Plavix之專利為無效,於2006年開始在美國販售Plavix 之學名藥。Bristol-Myers Squibb 與Sanofi-Aventis於贏得訴訟後表示將要求Apotex Inc.支付於販售學名藥期間對兩家藥商所造成的損失。 澳美國聯邦上訴法院法官表示地方法院已徹底的討論Apotex 所提出的專利無效論點,否決Apotex所提出的該專利並未包含新發明及Sanofi-Aventis之科學家使用已知研究方法及已知化合物製成Plavix 之主要組成物。上訴法院法官表示於判斷非顯而易見上,使用「後見之明」(hindsight)是不適合的。 針對此判決,Apotex公司表示他們認為上訴法院之決定為錯誤的並將持續努力尋求於美國銷售有品質的且一般大眾負擔得起的Plavix 學名藥。
維吉尼亞州最高法院判定該州之垃圾郵件法規違憲維吉尼亞州最高法院以維吉尼亞州電腦犯罪法(Virginia Computer Crimes Act)中關於垃圾郵件之條文違反美國憲法第一修正案對言論自由之保護,於2008年9月12日判定該條文違憲。 2003年時,維吉尼亞州檢方為追查垃圾郵件發送人,而搜索居住於加州地區之Jeremy Jaynes,據信Jeremy Jaynes透過發送垃圾郵件每月可獲利達75萬美元。在該次搜索過程中,維吉尼亞州檢方發現Jeremy Jaynes持有大量電子郵件位址資訊以及上百萬美國線上公司(AOL)用戶之電子郵件帳號及其他個人資訊,檢方便以維吉尼亞州電腦犯罪法中關於垃圾郵件之規範起訴他。Jeremy Jaynes在一審及二審均被判有罪,然其抗辯維吉尼亞州電腦犯罪法中關於垃圾郵件規範之條文違反美國憲法第一修正案所保障之言論自由。 維吉尼亞州最高法院認為,電腦犯罪法中關於垃圾郵件之規範並不以商業性電子郵件為限,則包含政治性言論以及宗教性言論之非商業性電子郵件亦將受到此一條文之限制。有鑑於發表匿名言論乃是美國憲法第一修正案所保護之言論自由的一環,該法條即必須通過嚴格審查標準,亦即該管制規範必須係為達州之重大公共利益之侵害最輕微的手段,電腦犯罪法之該條文並無法通過此一審查標準之檢驗,故而判定違憲。
eBay銷售TIFFANY & Co.仿冒品恐構成錯誤虛假廣告由於仿冒業者在知名的網路拍賣平台eBay上販售標有” TIFFANY & Co”的商品,eBay於2004年起被珠寶商TIFFANY & Co.(以下簡稱TIFFANY)控告侵犯商標權,且該廣告構成錯誤虛假廣告(False advertising)。位於紐約的第二上訴巡迴法院於今年4月1日作出判決,認為eBay不構成商標權的侵害,但可能該當錯誤虛假廣告之行為。 關於是否構成侵害商標權之判斷,考量eBay本身為網路拍賣平台提供者,並非實際將商品上架之人,並且年花數百萬美元處理平台上的銷售仿冒品行為,故第二上訴巡迴法院認定eBay並未侵害TIFFANY的商標權。 這個判決結果對於類似eBay的網路平台業者而言,無非是個喜訊,但在是否構成錯誤虛偽廣告,上訴法院作出與第一審法院不同之見解。 在此案件中,第一審法院認為該廣告頁面文字並不會使消費者產生誤認之虞,但第二上訴巡迴法院則持相反見解,認為除非eBay在網頁上註明警告字句,提醒消費者賣家所售商品可能是仿冒品,eBay才有可能免除責任,否則,eBay應該對其平台上出現可能導致消費者混淆誤認的文字負責。由於TIFFANY在判決後宣稱要上訴,因此該錯誤虛假廣告認定之爭議,仍有待最高法院之判斷。 不過,第二上訴巡迴法院亦在判決中強調,eBay已善盡相當的努力來打擊仿冒品。每年花費將近兩千萬美元防止網站上詐欺,並且設立買家保護機制,更要求員工應特別關注反侵權方面的議題。eBay隨後發表聲明,認為此判決結果對於打擊仿冒品將有莫大助益,而其將繼續以合作代替訴訟。