歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
繼歐盟實施 WEEE 和 RoHS 指令掀起一股綠色風潮之後,歐盟又將啟動能源使用產品生態化設計指令 (Directive of Eco-design Requirements of Energy-using Products ,簡稱 EuP 指令),該指令協調歐盟產品環保設計的通則與標準,要求耗能產品(運輸工具除外)採取以內部設計管制或管理系統評估的方式,進行評鑑以證明其符合這項指令之規定,並取得 CE Marking 的符合性宣告,產品方能在歐盟境內上市。歐盟要求各會員國應於 2007 年 8 月前完成國內立法。 EuP 指令要求產品製造商須採用生命週期( Life Cycle )的思考方式,將生態化設計的要求 (Rrequirement of Eco-Design) 融入產品設計開發之中,藉此提高產品效能,增加能源供應的安全性,並達到高度環保要求。雖然目前歐盟尚未公告各項產品之生態化設計要求,但初期已列出包括:加熱與鍋爐設備、辦公事務設備、消費電子、照明、通風與空調、電動馬達、家用電器等 14 項優先管制產品,該等產品實施方法仍在研擬中,未來將逐步擴大管制項目。 依海關統計資料, 2005 年我國輸歐盟 14 類產品之總金額達 2,127 億元台幣。預期 EuP 指令的實施,將對我國產業帶來新的挑戰和機會。為協助我國廠商預先準備因應 EuP 指令,經濟部工業局已逐步協助並輔導業界建立 EuP 符合性評估之基礎,期帶領廠商面對 EuP 指令的挑戰,進而於綠色採購與綠色消費的潮流中持有競爭力。
眾議員提出新法以因應數位科技轉換產生的權利保護問題為避免數位科技轉換所可能發生的權利保護缺口,美國眾議院司法委員會主席 James Sensenbrenner Jr. 與議員 John Conyers 於本月 16 日共同提出了「 Digital Transition Content Security Act 」( DTCSA , H.R.4569 ),要求業者應在次世代的數位影像製品中加入反盜版技術。該草案的提出,無疑地為飽受盜版所苦的好萊塢注入一劑強心針。 原本可受到著作權法保護的數位內容,一旦由數位轉換為類比( analog )形式,再由類比轉換回數位後,其品質上雖稍受影響,但此一新的數位內容即不再受著作權法的保障,眾議員 John Conyers 將之稱為「類比漏洞」( analog hole ), DTCSA 的提出即在於因應此一棘手問題。未來草案若能順利通過,除非業者能提出有效阻斷違法複製的策略,否則在一年緩衝期過後,業者凡有製造或販售可將類比影像訊號轉換為數位訊號之設備,均將被宣布為違法。可能因此受到影響者,包括了電腦調頻器( PC-based tuner )與數位錄影機( digital video recorder )等。 全美電影協會( MPAA )對此新法大表歡迎,主席 Dan Glickman 認為 DTCSA 的提出,不僅保護了權利人,同時也將提供消費者更多的選擇。但另一方面,在 DTCSA 賦予商業部( Commerce Department )更大的權力以監視家電製造業者之下,草案無可避免地將遭致來自業者一方強大的反彈力量。
日本通過國家戰略特別區域法修正案日本國會在2020年5月27日通過《國家戰略特別區域法》修正案(国家戦略特別区域法の一部を改正する法律),亦即「超級城市法」(スーパーシティ法)。所謂超級城市,係指符合(1)在交通、物流、支付、行政、醫療、照護、教育、能源/水、環境/垃圾、防災/安全等10大領域中,至少滿足其中5個領域日常生活需求;(2)加速實現未來社會生活;(3)透過民眾參與,建立從民眾觀點出發之理想社會等三大條件之未來都市。 超級城市法修正重點有二,首先為實現超級城市構想之相關制度整備,包括(1)賦予蒐集、整理、提供各種類型服務相關資料之資料聯合平台(データ連携基盤)業者法律上地位;(2)因相關制度涉及不同法規及主管機關,故超級城市法內特別設計可併同檢討跨領域法規修正之特別程序;(3)其他規定︰如明定各中央政府機關應提供具體協助、應檢討制定Open API規範,以及本法施行後3年應檢討施行狀況等。其次,本次修法新增地區限定型之監理沙盒制度(地域限定型規制のサンドボックス制度),針對自駕車、無人機等科技創新實驗,透過強化事後監督體制,事前放寬道路運輸車輛法、道路交通法、航空法、電信法之限制,以加速實驗進行。
歐盟提出智慧醫院防禦網路攻擊建議歐盟網路與資訊安全局於2016年11月(ENISA)提出醫院導入智慧聯網技術因應資訊安全之研究建議,此研究說明智慧醫院之ICT應用乃以風險評估為基礎,聚焦於相關威脅與弱點、分析網路攻擊情節,同時建立使用準則供醫院遵守。由於遠端病患照護之需求,將使醫院轉型,運用智慧解決機制之際,仍須考量安全防護問題,且醫院可能成為下一階段網路攻擊之目標,醫院導入智慧聯元件的同時,將增加攻擊媒介使醫院面對網路攻擊更加脆弱,因此,報告建議如下: 1.醫療照護機構應提供特定資訊安全防護,要求智慧聯網元件符合最佳安全措施。 2.智慧醫院應確認醫院內之物件及其如何進行網路連結,並根據所得資料採取相應措施。 3.設備製造商應將安全防護納入現有資安系統,並在設計系統與服務之初邀請健康照護機構參與。 在我國部分,2016年9月行政院生技產業策略諮議委員會議中即提到,強調將建立智慧健康生活創新服務模式,提供民眾必要健康資訊及更友善支持環境,同時結合ICT與精密機械及材料,發展智慧健康服務的模式。2016年11月,行政院推動「生醫產業創新推動方案」,藉由調適法規等方式統整醫療體系與運用ICT技術及異業整合,其中在智慧聯網應用下之資訊安全防護議題實屬重要。