歐盟委員會發布NIS 2實施條例以定義資安重大事件
歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件:
1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。
2. 造成商業機密洩漏。
3. 已造成或能造成自然人死亡。
4. 對自然人健康已造成或能造成大量傷害。
5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。
6. 反覆發生的事件。
7. 符合第5條至第14條特定資訊服務的事件。
實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。
歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
- EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024)
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
毛定瑜
副法律研究員 編譯整理
EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024),https://ec.europa.eu/newsroom/dae/redirection/document/109217 (last visited Nov. 07, 2024).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32022L2555 (last visited Nov. 07, 2024).
2015年9月25日,聯合國發布「2030永續發展議程(2030 Agenda for Sustainable Development)」,強調科研創新是推動永續發展願景的核心關鍵(STI for SDGs),透過科學(Science)、技術(Technology)、創新(Innovation)三項STI指標以落實各國永續發展目標(Sustainable Development Goals,簡稱SDGs)。又為達成科研創新推動永續發展目標,必須建立技術促進機制(Technology Facilitation Mechanism, TFM), TFM主要透過聯合國成員國、民間社會、私營部門、科學界及其他利益相關方間的經驗分享與合作,由三部分組成包括:聯合國跨機構任務小組(Inter-Agency Task Team, IATT),科學、技術、創新促進永續發展目標多方利害關係人論壇(Multi-stakeholder Forum on science, technology and innovation for the sustainable development Goals, STI Forum),線上平台(online platform)。 其中,聯合國跨機構任務小組(IATT)於2019年6月擬定的「科學、技術和創新促進永續發展目標路線圖(Science, Technology and Innovation for SDGs Roadmaps, STI for SDG Roadmap)」,邀請各國參與試點計畫,協助國家檢視現有科研創新政策需求、掌握未來科研發展趨勢與可能面臨的挑戰與機會,乃協助政府決策的科技前瞻支援工具,藉此達成STI for SDGs科研創新政策與永續發展目標間之平衡。關於國家科研創新路線圖規畫方法論,可以區分為基礎(Foundation)、調適(Adaptation)、整合(Integration)三部分:盤點各國現有科研創新政策需求,歸納與SDGs間落差;嘗試將SDGs理念注入政策目標,建構符合SDGs的科研創新規範與政策監管標準;運用科技前瞻方法掌握未來發展趨勢,研擬對策並面對挑戰。
蘋果電腦與Proview於中國的iPad商標爭議蘋果電腦不只試圖與擁有中國iPad商標之Proview公司尋求商標侵權和解,也宣稱可能反控Proview公司商標侵權指控之誹謗。 有關蘋果電腦與Proview的台灣分公司之間之交議是否合法,已進入法律程序,原因是蘋果電腦主張台灣分公司已出售iPad商標給一家英國公司,之後於2010年該公司再次轉售給蘋果電腦。但,Proview聲稱此一交易是台灣分公司不是深圳分公司,而蘋果電腦表示台灣分公司是代表深圳分公司。 故,蘋果電腦之律師可能控告Proview誹謗,並已寄出書面信函予Proview的執行長,表示:此一控告是基於不合法的行為,意圖不正當地妨礙蘋果電腦的生意與商業關係。 Proview於今年初針對蘋果電腦商標侵權要求16億之賠償,深圳分公司並於美國加州法院對蘋果電腦提起商標侵權訴訟。兩公司之爭訟在中國頗受關注,也造成蘋果電腦一度將iPad下架。,雖然於3月份新iPad一上市後,中國即獲準其銷售許可。 此外,Proview深圳分公司之律師表示在中國廣東高等人民法院的調解下,蘋果電腦曾提出一筆金額作為調解iPad所有權爭議的和解金,但不願透露該金額僅表示雙方對此仍有很大差距。
日本產業競爭力強化法內之灰色地帶消除制度日本經濟產業省(以下簡稱經產省)為了落實安倍內閣提出之日本再興戰略,希望透過相關法制規範之調整,促進產業新陳代謝機制,並喚起民間的投資,進一步解決日本國內企業「過多限制、過小投資、過當競爭」現象,前於2013年10月15日將「產業競爭力強化法」提交國會審議。經日本國會審議後,該法已於同年12月6日公布,計有8章、共156條之條文,另有附則45條,並取代原先於2011年修正之產業活力再生特別措施法的功能。因產業競爭力強化法之內容屬政策性規範,搭配之施行細則、施行令等也陸續於2014年1月20日公布。 自產業競爭力強化法施行後,對於日本企業預計開發新產品和新技術等放寬限制,讓企業有機會進入與原業務不同之領域,並進行業務整編。舉例而言,依該法第9條第1項之規定:「欲實施新事業活動者依據主務省令規定,可向主務大臣提出要求,確認規定其欲實施之新事業活動及與其相關之事業活動的規範限制之法律和其所根據法律之命令規定的解釋,以及該當規定是否適用於該當新事業活動及與其相關之事業活動」之規定,就相關事業活動是否符合法令與否,向經產省申請解釋。 此一制度被稱為「灰色地帶消除制度」,目的在於使日本企業規劃新事業之前,可先洽主管機關瞭解該新事業活動涉及之業務是否合法,在經產省網站上已有SOP與申請表格可供參考。而此制度功能在於透過日本主管機關的闡釋、說明或認定相關計畫,讓有意從事創新活動的業者有如吞下定心丸,得以積極規劃、推動後續作業。
英國發布「科學技術框架」2024最新施政進度,積極推動創新技術發展英國科技創新部(Department for Science, Innovation & Technology, DSIT)於2024年2月9日發布「科學技術框架」(Science and Technology Framework)最新施政進度,相關重點如下: (1)此框架旨在強化國家科技競爭力,聚焦五項關鍵技術領域:人工智慧、工程生物學、未來通訊、半導體和量子技術。 (2)擬實現十項關鍵措施:辨識關鍵技術、對國內外展示英國科技實力,吸引優秀人才及投資、促進公私部門投資新興科技、發揮英國多樣化技能、技術和創業人才優勢、為新創產業提供資金補助、促進公部門採購轉型、戰略性參與國際事務提升話語權、建立數位基礎設施優化研發環境、制定創新法規與全球標準、鼓勵公共部門建立支持創新文化,改善服務等。 (3)提出五大戰略領域發展策略,並由「英國研究創新(UK Research and Innovation, UKRI)資金」鉅額資助,並吸引私部門企業、慈善單位共同投資。 (4)提出「支持創新技術監管建議」(Recommendations from the Pro-innovation Regulation of Technologies Review):由政府首席科學顧問群對跨領域前沿技術、先進製造、創意產業、生命科學、數位技術及綠色產業等領域提出監管建議。 (5)推動「退休基金改革措施」(Mansion House Reforms):於2023年7月10日提出,政府支持運用退休金投資創新企業,除可提高退休金持有人之收益外,亦增加新創資金流動性,並促其於英國設立公司及上市。