歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
羅文妗
專案經理 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
奈及利亞目前為非洲發展新創企業最為成功的國家,於2021年獲得了超過18億美元的投資。而奈及利亞為了擴大新創發展,於2021年6月開始初擬奈及利亞新創企業條例草案(The Nigeria Startup Bill 2021,以下簡稱「新創草案」),並於同年9月完成草案,於10月提交予總統,並於2022年3月交付奈及利亞參議院進行立法,直至目前已通過二讀。 新創草案將確保奈及利亞新創相關法規清晰、有計劃地適用於科技新創生態系統,並認為將有助於為科技新創企業成長、發展和運營,同時打造出可以吸引和保護投資之有利於科技新創企業之環境。此外,該草案亦希望能促進奈及利亞科技相關人才的發展和成長,並將奈及利亞的新創生態系統打造成非洲領先的科技發展重鎮,培養出擁有科技尖端技能和出口能力之優秀創業家。 新創草案希冀能透過該草案達成建立數位發展及創業委員會、支持新創企業和潛在參與人、定義新創企業、發展創投基金、培訓新創企業及其未來發展、設計稅收或財政激勵措施、取得相關法規支持、招攬加速器或孵化器、形成新創園區或產業聚落。其中,新創草案對於新創企業之定義為:公司成立未滿10年、公司經營項目為數位科技之創新項目、公司需研發或持有數位科技產品,最後公司須由一名或多名奈及利亞人持有至少51%股份。
無所不在的間諜軟體 日本發布利用AI時的安全威脅、風險調查報告書,呼籲企業留意利用AI服務時可能造成資料外洩之風險日本獨立行政法人情報處理推進機構於2024年7月4日發布利用AI時的安全威脅、風險調查報告書。 隨著生成式AI的登場,日常生活以及執行業務上,利用AI的機會逐漸增加。另一方面,濫用或誤用AI等行為,可能造成網路攻擊、意外事件與資料外洩事件的發生。然而,利用AI時可能的潛在威脅或風險,尚未有充分的對應與討論。 本調查將AI區分為分辨式AI與生成式AI兩種類型,並對任職於企業、組織中的職員實施問卷調查,以掌握企業、組織於利用兩種類型之AI時,對於資料外洩風險的實際考量,並彙整如下: 1、已導入AI服務或預計導入AI服務的受調查者中,有61%的受調查者認為利用分辨式AI時,可能會導致營業秘密等資料外洩。顯示企業、組織已意識到利用分辨式AI可能帶來的資料外洩風險。 2、已導入AI利用或預計導入AI利用的受調查者中,有57%的受調查者認為錯誤利用生成式AI,或誤將資料輸入生成式AI中,有導致資料外洩之可能性。顯示企業、組織已意識到利用生成式AI可能造成之資料外洩風險。 日本調查報告顯示,在已導入AI利用或預計導入AI利用的受調查者中,過半數的受調查者已意識到兩種類型的AI可能造成的資料外洩風險。已導入AI服務,或未來預計導入AI服務之我國企業,如欲強化AI資料的可追溯性、透明性及可驗證性,可參考資策會科法所創意智財中心所發布之重要數位資料治理暨管理制度規範;如欲避免使用AI時導致營業秘密資料外洩,則可參考資策會科法所創意智財中心所發布之營業秘密保護管理規範,以降低AI利用可能導致之營業秘密資料外洩風險。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國專利商標局針對最近可專利性客體之相關判決發布了備忘錄美國專利商標局下之專利審查政策處(Office of Patent Examination Policy)於2016年11月2日發布了一份備忘錄(memorandum),就近來聯邦巡迴上訴法院所做之可專利性客體(subject matters eligibility, SME)相關判決為整理並對專利審查者提出若干指引。 該備忘錄表示,美國可專利性客體審查手冊(SME guideline,下稱SME審查手冊)自今年5月修改後,聯邦巡迴上訴法院陸續做出相關判決,因此除了先就相關事項為一整理,之後亦會依據這些判決所確立之一些原則以及專利之利益相關人(patent stake holders)之回饋意見對SME審查手冊進行修改。 此備忘錄主要討論的判決為McRO案以及BASCOM案,在此兩判決中,聯邦巡迴上訴法院均認為下級審法院錯誤地依Alice規則認定專利無效。在McRO案,法院認為有關利用電腦所執行之自動人臉語音同步之動畫系統(automatic lip synchronization and facial expression animation )之方法請求項係屬有效。審查者在適用Alice規則時應依據SME手冊的2階段步驟對請求項進行整體考量,且不應忽略請求項中許多特定要件,過度簡化請求項為抽象概念。其並指出「電腦相關技術之改良」,不僅止於電腦運作或是電腦網路本身,若是一些規則(rules)(主要為一些數理關係式(mathematical relationship))可以增進改善電腦之效能者亦屬之。 備忘錄另藉著BASCOM案提醒審查者,在決定請求項是否無效時,應考慮所有的請求項之元件(elements),以判斷該請求項是否已經具備實質超越(substantial more)一般常規、通用之元件(conventional elements)之要素。同時備忘錄並提醒審查者不應依據一些法院決定不做為先例之判決(nonprecedential decisions)之意見。