歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
美國的無線地面電視於今(2009)年6月12日起關閉類比訊號,全面進行數位播送。聯邦通訊委員會(The Federal Communications Commission, FCC)預期政府雖已進行大規模宣傳,但仍有部分家庭尚未完成準備。依尼爾森(Nielsen)公司調查,至6月14日止,尚有兩百五十萬用戶無法接收數位電視訊號;此外,相較於全部家庭中僅2.2%未完成數位轉換的準備,非洲裔與西班牙裔家庭未完成的比例則分別達4.6%與3.6%。 目前美國多數家庭是收看付費的有線電視與衛星電視,數位轉換對此部分觀眾並無明顯影響,但仍有數百萬家庭收看免費的無線電視。在數位轉換後,舊型電視機須加裝數位轉換盒,方能接收數位訊號;對此,美國政府已發放優待券補助用戶購買轉換盒(至7月底為止)。FCC表示,部分家庭裝置轉換盒與電台改善傳輸訊號,尚須花費數週時間,而民眾利用FCC的協助專線進行諮詢時,最普遍的問題則是有關優待券方案與轉換盒的安裝。 此外,電視台原本擔心在數位轉換後,部分受影響的人口(特別是年輕觀眾)將可能不再觀看電視,而選擇利用網路收視電視節目。但尼爾森公司的調查指出,數位轉換後整體收視率僅有些微下滑,除了數位化外,亦可能是受到天氣較佳或重要運動賽事轉播較少等因素影響。
歐盟考慮設立中央網路犯罪防制機構歐盟部長理事會(Council of Ministers)已於今(2010)年4月27日要求執委會檢視其網路犯罪防制目標,並調查是否有需要設立一中央機構,以儘速達成下列幾項目標,包括:提高調查人員、檢察官、法官及法院相關人員的專業標準、鼓勵各國警方資訊分享以及協調歐盟27個會員國間打擊網路犯罪所採取之方式。 部長理事會提議由執委會進行設立專責機構之可行性調查研究,擬由該專責機構負責前述目標之達成,亦須評估並監督預防性與調查性措施之實行。該調查研究中應特別考量欲設立專責機構之目的、範圍及可能的經費來源,另外亦需考慮是否將其設置於位於海牙的歐盟刑警組織(European Police Office, Europol)中。考量網路犯罪跨國界之特性,為使打擊網路犯罪之相關措施更有效,必須有良好的國際合作及司法執行互助配合。部長理事會認為藉由專責機構之設立,不僅能夠協助培訓法官、警方及檢察官,亦能做為聯繫網路使用者、受害者組織及其他私部門的常設機構。 本部長理事會將歐盟現有之網路犯罪防制相關計畫分成短、中、長期計畫,要求執委會定期追蹤各項相關計畫之執行情況,亦將設立網路犯罪防制專責機構列入執委會後續四年所持續執行有關犯罪與安全治理的斯德哥爾摩計畫(Stockholm Programme)中。 此外,部長理事會也呼籲歐盟各國追蹤用於網路犯罪之IP位置及網域名稱,同時要求執委會協助建立共通的廢止機制,以進行網路犯罪防制。 位於希臘的歐盟網路與資訊安全機構(European Network and Information Security Agency, ENISA),是現階段歐盟網路犯罪防治的研究機構,其進行資訊安全威脅行為之調查,並提供相關建議,但僅是資訊服務單位,未實際投入打擊犯罪行動。
美國聯邦上訴法院判決,加州政府禁止販賣暴力電玩予未成年人之法案,係屬違憲美國聯邦第九區巡迴上訴法院,於2009年2月20日判決中維持下級審見解,認定『禁止暴力電玩法案』係違反憲法所保護的言論自由。系爭法案於2005年由加州國會通過,並由州長Arnold Schwarzenegger所簽署批准。根據該法案規定,禁止販售或出租所謂『特別殘酷、極端邪惡或道德敗壞(especially heinous, cruel or depraved)』的暴力電玩給未滿18歲的未成年人;符合法條所描述之暴力電玩並應該在包裝盒上加註除現行ESRB分級標誌以外的特別標示(18禁);且賦予零售商於販賣暴力電玩時,有檢查顧客年齡之義務,違者將可處1000美元罰款。 聯邦法院法官認為,被告(加州政府)無法證明『暴力電玩』會影響青少年心理及精神方面的健康,或者出現反社會或激進的行為舉止;被告也無法證明透過立法禁止的手段,能有效達到法案所宣稱保護未成年人的立法目的;法院也認為,系爭條文規定過於模糊,並未能說明暴力電玩之判斷標準。 原告Video Software Dealers Association 和Entertainment Software Association表示,要達到加州政府所宣稱的保護未成年人的立法目的,應從加強既有ESRB分級制度的教育宣導、落實零售商遵守分級制度以及透過父母的管教監督等方式著手,而非增加不適當的內容審查機制。然而,支持該法案者則主張,禁止暴力電玩如同禁止對未成年人散佈色情內容一樣(最高法院認為政府禁止對未成年人散佈色情內容並未違憲),本案被告加州州長Schwarzenegger也表示將上訴到底。 日前在德國也出現修正刑法,將販賣或散佈暴力電玩入罪之提議,在暴力電玩分級制度所引起的爭議日益擴大之際,各國相關作法及其所引起之爭議,或許值得我國主管機關重新檢討「電腦軟體分級辦法」之借鏡參考。
德國2021年再生能源法修正草案最新發展德國的再生能源法(Renewable Act)在經歷過2014年及2016年兩次較大的修正後,今年度九月由部分上議院議員提出修正草案。 德國再生能源法起源於20年前,當時主要重點在於提升離岸發電、太陽光電(Solar PV)及生物氣體、水力資源對於城市用電的供應率。由於現階段德國幾乎半數的城市用電仰賴上開再生能源,因此2021年度的修法上,主要導向了協助再生能源廠得以更完善的準備進入市場,包括與現有的政策發展接軌,例如2020年的國家氫能源政策(hydrogen strategy)及電動車的電價制定等。以下將列舉數項較為重大之項目: 實現2050年碳中立的目標 結合歐盟遠大的氣候目標 擴大再生能源產能 重新制定再生能源徵收稅款 提高公眾對於再生能源的接收度 於德國南方增設更多風力發電的渦輪機及生物燃料 訂定彈性電價 提升太陽能板安裝回饋酬勞 響應氫能源政策,擬使氫能源廠商於使用再生能源時得免付費(但此項提案尚待利害關係人取得共識)。 本次再生能源法的修正提案誠然立意良善,但仍有不少批評者認為,本次修法未將日後使用再生能源的人數可能增加一事納入考量,且未將老舊風機重新供電等事納入法規中。 而根據11月份修法決議結果,德國政府並未採納上開提案,其中主要理由是認為該草案所列之內容無法達成氣候目標(climate targets),並建議該提案應擴張再生能源產能,尤其是離岸風電及太陽能。德國能源部則認為提案中所預估的2030年電力需求過低,無法切實因應未來的需求,是以,未來德國再生能源法之修法方向仍有待持續觀察。