歐盟委員會發布NIS 2實施條例以定義資安重大事件
歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件:
1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。
2. 造成商業機密洩漏。
3. 已造成或能造成自然人死亡。
4. 對自然人健康已造成或能造成大量傷害。
5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。
6. 反覆發生的事件。
7. 符合第5條至第14條特定資訊服務的事件。
實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。
歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
- EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024)
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
毛定瑜
副法律研究員 編譯整理
EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024),https://ec.europa.eu/newsroom/dae/redirection/document/109217 (last visited Nov. 07, 2024).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32022L2555 (last visited Nov. 07, 2024).
歐盟執委會(European Commission, EC)於2020年3月24日發表新聞稿,說明在COVID-19疫情期間,各國政府要求人民保持社交距離甚或自我隔離;人民無法會面互動下,數位政府政策成為維持正常生活的解套方式。歐盟於新聞稿中重申先前建構「歐盟內部市場電子交易之電子身分認證與信賴服務規則」(REGULATION EU No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC,以下簡稱 eIDAS)、電子識別(electronic identification, eID)以及發展信任服務(trust services)的必要性,例如電子戳記(eTimestamps)、電子圖章(eSeals)、電子簽章(eSignatures)、網站認證(Website authentication)等均屬之。歐盟公民無須離開住宅,即可和公部門互動。 除了公部門,信任服務可以支援歐盟企業(特別是疫情嚴重地區的中小型企業)遠端執行業務,維持業務連續性。例如金融服務對交易、認證、安全性及防洗錢等領域發展數位化:eID識別客戶身分、整合同一客戶的海外金融帳戶服務、遠端驗證防洗錢要求;電子簽章可與客戶遠端簽署金融服務契約;電子註冊交付服務(electronic registered delivery service)則作為安全交換重要文件或契約之機制。 在零售業而言,安全的電子交易對於線上業務尤為重要。例如eID可對購買酒類等管制商品或藝術品等高價商品之消費者進行更嚴格的身分檢查;電子簽章和電子戳記則強化文件及流程追蹤機制,降低追蹤成本。 在運輸部門,以汽車共享服務為例,eID可用於證明客戶的身份,提供安全登錄,並允許客戶進行遠端車輛解鎖。而貨運及物流產業,若在不同營運商運送之間遇有延遲,則電子戳記可使責任歸屬更加明確。另外,對重要文件使用電子圖章,可證明文件完整性、有效性並減少對紙本文件的依賴,並降低疫情期間會面之風險。
澳洲政府公布「國家電池戰略」,概述澳洲將如何擴大電池製造能力和技術,提升經濟韌性和安全性澳洲政府2024年5月23日公布「國家電池戰略」(National Battery Strategy),這是澳洲政府推動「澳洲未來製造」(Future Made in Australia)政策計畫重要的一環。該戰略概述政府將如何擴大澳洲電池製造能力和發展專業技術,提升澳洲的經濟韌性和安全性。 戰略文件中,主要行動分為五項: 一、建立電池製造能力,增強經濟韌性,利用優勢促進國家經濟增長: 以2024年4月公布的《澳洲未來製造法》(Future Made in Australia Act)作為支持電池行業的法源。政府未來10年會提供227億澳元,投資包括再生氫、綠色金屬、低碳液體燃料、關鍵礦產精煉和清潔能源製造技術。 二、培養人才知識和技能,創造澳洲本土工作機會: 建立電池製造園區,結合企業和研究機構,將電池研究集中在有顯著需求和具市場潛力的領域。 三、確保澳洲在全球電池供應鏈中的地位: 重點支持構建供應鏈韌性的製造業,透過國際合作,應對氣候挑戰,支持電力轉型,創造清潔能源貿易機會,推廣高ESG標準。 四、在永續、標準和循環經濟方面引領世界 支持澳洲各地建立電池回收設施,補助電池回收技術的研究和測試,同時要求電池產業採取嚴格和有效的ESG措施。 五、促進各級政府合作 與各級政府合作,採取一致的標準和方法發展電池技術。透過聯合採購推動電池產業,並集中管理和輔導澳洲電池製造商。 澳洲擁有豐富的礦物資源,供應全球一半的鋰,但是其所製造的加工電池元件占全球不到1%;「國家電池戰略」的發布顯示澳洲政府希望利用自身優勢,在全球能源轉型中佔有一席之地的企圖心。
OECD公布「為中小企業永續發展提供資金—推動力、阻力和政策」研究報告OECD於2022年12月6日公布一份標題為「為中小企業永續發展提供資金—推動力、阻力和政策」(Financing SMEs for sustainability — Drivers, Constraints and Policies)的報告,報告中檢視現行支援中小企業參與永續金融的工具與政策,並指出政府在制定公共政策與支援措施時應考慮的要點,期能加速中小企業的綠色轉型。 報告中首先分析中小企業綠色轉型的阻力與推動力。在阻力方面,中小企業由於規模小,不易取得銀行的融資,也無多餘人力關注綠色議題與相關可用資源的發展,因此不敢貿然從事具有高度不確定性的綠色投資,綠色轉型意識普遍低落。更由於中小企業永續金融生態系的參與者廣泛,包括國際及國家法規和準則的制定者、政策制定者、永續資金提供者、ESG的中介機構等,這些永續機構、工具及實踐行動會隨著永續金融發展持續增加,令中小企業無所適從。在推動力方面,包含消費者的永續意識提升、越來越多金融機構與投資者將永續績效納入投資決策考量,以及氣候變遷與淨零轉型帶來的商機,皆使得中小企業有必要加強綠色轉型的努力,才能從淨零商機中獲利,免於陷入競爭劣勢。 為了提高中小企業綠色轉型的動機,OECD建議可透過財務性及非財務的支援,雙管齊下。目前財務性的支援以融資工具為主流,其它還有綠色基金、補助金、津貼、補貼、減稅、降低費用、股權或混合式的支援工具等。非財務性的支援則有與永續相關的技術支援、意見提供、諮詢服務和教育培訓等。這些主要是透過政府、金融機構、或是國際倡議進行,也有政府及民間機構獨自或合作建立的線上平台,提供一站式的服務,使得資源的取得更加便捷有效率。 中小企業永續金融仍存在許多問題需要進一步了解與因應,包括中小企業的淨零轉型意識與知識間的落差、永續金融資訊的不足、環境績效評量與報告能力的欠缺,以及該如何強化中小企業永續金融生態系,以增加永續金融的供需量等。OECD未來會繼續深入探究這些議題,支援落實「2022年G20/OECD更新中小企業融資高級別原則」(the 2022 Updated G20/OECD High Level Principles on SME Financing)中新增的「加強永續金融」原則,這顯示推動中小企業永續金融已是國際共識,我國政府與業者也應及早擬訂對策因應之。
關於EMI唱片公司控告MP3tunes公司及其公司創辦人Michael Robertson侵犯其智財權一案之最新發展關於EMI代表其他共14家唱片公司及隸屬旗下之出版業者於2007年11月控告MP3tunes公司及其公司創辦人及執行長Michael Robertson侵犯其智慧財產權一案,美國紐約南區聯邦法院(U.S. District Court for the Southern District of New York)法官近日做出裁定,駁回EMI針對Michael Robertson個人提出的控告,只受理EMI所提出的MP3tunes公司侵害其音樂著作權之主張。 聯邦法院法官William Pauley認為因紐約不是Michael Robertson的主要住所且無足夠證據顯示Michael Robertson於紐約進行經常性的商業活動且因此賺取大量的收益。因此,紐約法院對Michael Robertson個人不具有司法管轄權。另一方面,法官認為MP3tunes公司所提供的網上服務並非純為被動式的,MP3tunes公司提供軟體讓客戶上傳、下載、藉由網上管理其所擁有的歌曲,此種服務為互動式的且有些更精進的服務需付費。法官因此認為MP3tunes公司於紐約進行商業活動,紐約法院因此具有管轄權。 Michael Robertson於此判決後表示鬆了口氣,但承認其公司MP3tunes面對EMI的侵權控訴仍有一段長遠的路要走。Michael Robertson認為此案件之判定將決定日後客戶是否可將他們的歌曲存放在商業性的網站上就如同他們現在將文件、照片與其他個人資訊存放在網站上一樣。