歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境

歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。

(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。

(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。

(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8973&no=645&tp=1 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
日本政府將於東京都及愛知縣成立「自駕車實證一站式中心」

  日本政府於2017年9月4日所召開之國家戰略特區區域會議(下稱戰略區域會議),決定由政府、東京都及愛知縣,共同成立「自駕車實證一站式中心」,協助企業及大學之自駕車相關實證研究。在自動駕駛實驗開始前,中心接受道路交通法等各程序相關諮詢,必要時可將相關程序以其他方式置換,將複數程序整合為一,推動相關實驗。   戰略區域會議並決定將窗口設置於東京都及愛知縣,欲進行實驗之企業可至前述窗口諮詢,東京都及愛知縣應與相關省廳及所管轄之警察、交通部門進行協調,並將所需之資訊彙整後回覆予企業,如此一來,企業可減輕實驗前繁瑣程序所帶來之負擔,進而降低啟動實驗之門檻。   東京都小池百合子知事於會後向記者們表示「自駕系統於汽車產業中,已是國家間之競爭」,且東京都將致力於「沙盒特區」體制之推動,於必要時可暫時停止相關現行法規之限制。愛知縣大村秀章知事則期待「透過實證實驗累積技術,促使愛知縣能維持引領世界汽車產業聚集地之地位」。   針對上述特區的設置,未來實際落實情況以及法規排除作法與範圍,值得我國持續投入關注。

日本發布資料素養指南之資料引領判斷篇,旨在呼籲企業透過資料分析結果改善並優化企業經營

日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南(下稱《指南》)》,指南分為三大章,第一章為整體資料環境之變化;第二章為資料治理;第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料引領判斷篇,主要為呼籲企業透過資料分析結果改善企業經營。 《指南》資料引領判斷篇指出,在進行資料驅動的判斷流程時,需留意三點事項,分述如下: (一) 提出假說、驗證並進行決策 首先盤點利害關係人,蒐集各自的需求與課題,考量可以適用的技術與服務,並以此為基礎提出與事業相關的假說。其次,盤點必要資料並確認其利用可能性,同時針對所缺乏的資料進行取得可能性之評估。下一步,以所取得的資料為基礎進行假說與資料分析結果之驗證。而後,將假說與資料分析結果的驗證成果提供給利害關係人,並以利害關係人的意見為基礎,進行追加資料的取得並同時修正假說內容。最後,基於資料分析結果進行決策。 (二) 判斷決策所必要之資料的信賴性 企業在盤點必要之資料以進行分析並據此進行決策時,由於資料沒有達到特定數量無法用於分析、資料蒐集需花費時間成本,且判斷時點有時亦有其時效性,因此,在確保必要之資料時,會先檢視企業內部所持有之資料,而後確認政府機關的公開資料,如仍缺乏必要之資料,則會確認從資料市場取得之可能性等。在確保必要之資料後,則會判斷決策所必要之資料的信賴性,其主要分為兩點,一為針對資料本身之信賴性,包含資料是否有偏頗、對於資料產出者的信賴性以及資料取得日期、地區等;一為資料傳輸、編輯的信賴性,包含對於資料仲介者的信賴性、資料編輯程式以及資料整合方針。在無法完全確保資料的信賴性時,則會透過相關聯的資料進行資料正確性的檢驗。 (三) 服務導入與監視 資料分析並不僅侷限於現在資料的分析,亦會涵蓋未來資料的預測。舉例而言,自動駕駛資料不僅會分析車輛狀況以及周圍狀況,亦會預測並自動判斷是否需要剎車。透過資料分析結果導入服務後,亦應透過監視檢視決策成效,方法包含滿意度調查、平均使用時間調查等,並針對調查結果進行改善。 我國企業如欲將其所持有之資料用於分析並依照分析結果進行企業經營決策,除可參考日本所發布之《指南》資料引領判斷篇建立內含PDCA四面向之管理制度以外,亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,針對自身所持有之資料建立包含PDCA四面向之管理制度。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

南韓司法單位擬懲處黃禹錫等四人

  去(2005)年11月,全球幹細胞研究先驅-韓國首爾大學黃禹錫(Hwang Woo-suk)教授承認其研究有國際醫學倫理瑕疵,引發軒然大波。其後,相關的醜聞頻傳,黃教授更被控研究造假,使得原本以前瞻之胚胎幹細胞研究技術(即體細胞核轉置技術”somatic cell nuclear transfer”)獨步全球的韓國科學界,研究信譽遭受嚴重打擊。   偵辦「黃禹錫科研論文造假醜聞案」的南韓檢察當局,經連日傳訊相關人員後,正考慮對黃禹錫等四人採取司法懲處。 對於被查出不法獲得並使用科研用卵子的黃禹錫,檢方考慮依據違反「生命倫理及安全之法律」等條文予以懲處。   據指出,檢方在調查中,掌握了2004年及2005年刊登在「科學」雜誌上的科研論文,黃禹錫等人捏造體細胞複製幹細胞,和為病患複製培育胚胎幹細胞的科研數據,矇騙了整個科學界。調查顯示,黃禹錫去年十一月檢驗幹細胞的遺傳基因(DNA)指紋之前,似乎真的不曉得根本就不存在為病患量身打造複製培育胚胎幹細胞的事實。但檢方卻證實黃禹錫確實指示屬下研究員,將部分照片等科研數據和資料,自我膨脹等造假的事實。   由於生醫研究給許多病患帶來新的治療希望,因此其通常會以實際行動(即自願捐贈研究用檢體、協助經費募集等)表達支持。惟研究瑕疵或造假則會讓病患及一般民眾認為遭受欺騙,進而影響其未來捐贈檢體或以受試者身份參與生醫研究之意願。可見生醫倫理並不僅是道德呼籲,也是生醫研究能否順利進行、生醫研究能否生根發芽的重要基石。 黃禹錫案之相關報導可參見 The Economists, December 3 rd 2005, p. 71; The Economist, December 24 th 2005, p. 109-110

歐盟將修正公部門資訊再利用(PSI)指令

  2019年1月22日,歐盟執委會(European Commission)、歐洲議會(European Parliament)與歐盟理事會(Council of the EU)就修正「公部門資訊再利用指令」(The Directive on the re-use of public sector information,PSI Directive)的提案達成協議。歐洲議會則於4月4日通過提案,待歐盟理事會簽署正式的指令。   PSI Directive經過2003年制定(Directive 2003/98/EC)、2013年修正(Directive 2013/37/EU),於2017年為了履行指令規定的定期審查義務,召開了公眾線上諮詢,之後歐盟執委會根據諮詢結果及對指令的影響評估,於2018年4月25日通過修訂指令的提案,並於2019年1月達成協議。   此次修正將該指令更名為「開放資料與公部門資訊指令」(The Directive on the Open Data and Public Sector Information,以下稱新指令),預計能排除目前仍存在的公部門資訊取得障礙,並且要求將政府資助研究所產出的研究資料(publicly funded research data)也開放給公眾。此次修正的重點內容如下: 1、所有依據國家取用文件規定(national access to documents rules)下可取用的公部門資訊,原則上可以免費再利用,或者公部門可以收取為了提供、傳播資料所產出的費用,但該費用以不超過邊際成本(marginal costs)為限。這項改變,將使更多的中小企業和新成立公司能順利進入資料經濟市場。 2、新指令特別指出統計資料或地理空間資料屬於高價值資料集(high-value datasets),這些資料集具有高商業潛力,可以加速各種資訊產品或增值服務的產出,例如人工智慧。而新指令特別要求這些資料集應免費提供、使機器可讀,且透過應用程式介面(APIs)使他人能取用。但經評估後發現免費提供會造成市場競爭扭曲時,則不在此限。 3、關於公營事業及公共運輸所產生的有價值資料,不在現行PSI Directive規範範圍內,而各國對於是否必須提供資料有著不同的規定,但現在都必須依照新指令的規定使公眾可以免費再利用,不過仍可設定合理規費來收回相關行政費用。 4、有些公部門與私人企業制定了複雜的資料協定,導致公部門資訊被壟斷,新指令則要求各會員國應落實資訊透明,以及限制公部門與私部門訂立排除其他人可再利用公部門資訊的協定。 5、促進公部門資訊以動態即時資料方式發布,並透過使用者介面(APIs)使更多動態即時資料能被使用。而這也將使企業發展創新產品或服務,例如行動APP。 6、關於政府資助的研究,新指令將促進「政府資助研究而產出的研究資料」能更容易的被再利用,故各成員國被要求建立一致的再利用政策,使這些研究資料能透過資料庫(repository)被開放取用(open access),包含先前已經存入該資料庫的資料。   總而言之,本次修正將能夠降低中小企業進入市場的障礙,並增加公部門資訊的透明度和即時流通,也使公營事業資訊及政府出資研究所產出的研究資料能納入開放資料的範疇。

TOP