歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
日本總務省鑒於311地震時媒體播送的減災效果,在2014年2月14日對日本放送法施行規則的部分修正展開公眾諮詢。此次的修正係基於放送法母法第108條規定。依據該條的規範,基幹放送業者在進行國內的廣播時,若發生暴風、豪雨、洪水、地震、大型火災或有發生之虞時,為預防其發生或減輕其所造成之損害,應進行有效之廣播。 蓋日本在311災後,因其對對社會所產生巨大的衍生影響,後續規劃研擬了許多因應法制政策及措施。根據日本內閣府「2013年防災白皮書」,日本政府在311地震後所規劃政策方向及重要施政措施有:防災對策推進會議檢討會議的最終報告、災害對策法制的改正、與防災基本計畫的修正等各層面工作。 此外,依據日本防災對策推進會議檢討會議在2012年7月所完成之報告,其中對於災害立即回應體制的充實與強化,及建立綜合的防災資訊系統,建議應蒐集並提供必要之資訊,以盡早提供根本性的改善為目標。並且,為因應災害防救需要及強化即時應變能力,建立智慧防救災體系即屬刻不容緩,如何能運用各種多元性傳遞管道,落實將緊急性災害防救重要資訊傳送至每位國民,遂成關鍵議題。 而此次放送法施行規則的修正則擬增訂第86-2條,要求基幹放送業者應就基幹放送設備等向總務省所擬定的「基幹放送等整備計畫」;其中,關於母法108條廣播之確實實施而有特別必要者,並應取得總務省之確認。修正案擬增訂的101-2條除重複上述意旨,並要求總務省在確定確認上述計畫後,並應將公開其計畫的相關內容。 其中,對於地震防災對策特別措施法(地震防災対策特別措置法) 、水防法 與關於在土砂災害災害警戒區域內等的土砂災害防止推進的法律(土砂災害警戒区域等における土砂災害防止対策の推進に関する法律)等規範所訂定易受災區域內發信設備之設置,皆納入上述應被確認計畫的範圍。 日本屬地處地震頻繁國家,對於災害防救體系甚為重視,並投入大量資源加以發展。未來日本對於推動智慧防救災體系,是否會有更多進一步法制修改及調整,值得我們持續進行關注。
美國擬將開放中國家禽類產品之進口美國近期可能開放進口中國大陸將已處理或煮熟的家禽類產品至美國。美國農業部(The U.S. Department of Agriculture)表示中國若將處理過之家禽類產品出口至美國販售,前提是必須遵循美國相關食品進口規範完成妥當的進口申報程序,並且在中國所提出之出口健康認證(export health certificate)中,證明該家禽類產品有確實在適當的溫度等處理過程中進行妥善處理。 美國農業部食品安全及監督服務部門(Food Safety and Inspection Service, 簡稱FSIS)之相關負責官員於2014年6月初在美國國會中國事務執行委員會(Congressional-Executive Commission on China, 簡稱CECC)所舉行的聽證會(hearing)中指出,中國已經將出口健康認證提交給FSIS及動物植物健康監督服務(Animal and Plant Health Inspection Service, 簡稱APHIS)進行審核。在聽證會中,最讓美國負責官員顧慮是否通過開放中國進口家禽類產品之因素在於中國鬆懈的法律規範及其政府的貪汙問題,對於所出具的出口健康認證報告之確實性亦有待考證。美國負責的相關人員建議,中國大陸在產品製造過程的透明度是對於出口健康認證最重要的部分,能夠說服美國相信中國大陸對於食品及藥物安全在管理上的謹慎。 另外一個需要注意的地方在於食品原產地之標示(country-of-origin labeling,簡稱COOL)。在美國食品市場中,若食品大部分的成分來源是在美國境內處理的,則該食品會有「美國產品」(product of U.S.A.)之標示,但對於何謂「美國境內處理的食物」仍沒有明確的標準,對於國外進口美國的產品,在美國經過重新包裝或加工,則依據COOL相關規範,應標示該產品為「美國產品」。因此,在此條件下,若美國允許中國進口經過中國當局出口健康認證的家禽類產品,若進口至美國後,又在美國境內經過重新加工或是包裝,則該食品之COOL將會顯示該食品來自美國,而非出產自中國大陸。這樣的結果恐將會讓美國食品標示出現不完全精確之結果,也會讓消費者開始顧慮其購買的食品來源的顧慮及食品安全的可信度,美國將必須對進口食品的安全管控上建立更嚴謹的規範措施。
美國食品及藥物管理局發布含有奈米物質藥物和生物製劑的最終版指引奈米科技發展愈加成熟,藥物和生物製劑包括主成分、賦形劑等都可能使用奈米物質,奈米藥品可包括口服藥、注射劑及局部外用藥,且適應症亦愈來愈多樣化。隨著奈米藥物申請送審的件數增加,美國食品及藥物管理局(U.S. Food and Drug Administration, USFDA)對於此類藥物的審查,除了依既有的藥品審查原則,亦必須針對奈米物質粒徑小的特性,評估粒徑之改變,是否會影響藥品製劑安全性、療效及品質。 美國食品及藥物管理局於2022年4月22日發布含有奈米粒子藥物之最終版產業指引,該指引的範圍涵蓋生物製劑以及基因治療,其要點包含:相關藥物開發原則、品質、研究具體考量因素,以及學名藥的簡易新藥查驗登記申請方式(Abbreviated New Drug Application, ANDA)。 USFDA 曾於2017年12月18日發布該指引的草案,在綜整各方意見後,本次最終版指引新增兩點修正,首先是於第27頁以下新增指引裡常用的26個名詞解釋,以協助讀者理解該份指引的重要術語;其次是學名藥廠於查驗登記時不能只證明製劑相等性,更要提供藥物動力學、藥理學、毒物學等證據以證明足夠的生物相等性,才可取得上市許可。 台灣目前仍在藥事法與特定醫療技術檢查檢驗醫療儀器施行或使用管理辦法,甚至過渡至再生製劑管理條例之法令結構調整過程中,並深受國內醫療環境與產業現況的影響;面對新興藥物研發方法在後疫情時代的快速發展,對產業可能帶來的衝擊與影響,如何並重藥物監理的審驗標準與前瞻性的促進更多有助新興藥物的發展,助益於我國老齡化社會結構的轉變,可更前瞻的參考USFDA最終版指南與標準,以加速台灣細胞治療或奈米藥物發展。