歐盟委員會發布NIS 2實施條例以定義資安重大事件
歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件:
1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。
2. 造成商業機密洩漏。
3. 已造成或能造成自然人死亡。
4. 對自然人健康已造成或能造成大量傷害。
5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。
6. 反覆發生的事件。
7. 符合第5條至第14條特定資訊服務的事件。
實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。
歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
- EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024)
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
毛定瑜
副法律研究員 編譯整理
EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024),https://ec.europa.eu/newsroom/dae/redirection/document/109217 (last visited Nov. 07, 2024).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32022L2555 (last visited Nov. 07, 2024).
MIC資料顯示,台灣自由軟體產業軟硬體的相關產值從2003年的135億,至今年可望成長至新台幣290億。如果單看自由軟體的產值,今年可望超過新台幣12億,較去年成長26%。 資策會表示,在政策推動下,自由軟體的需求面有逐漸增加的趨勢。就市場整體來看,我國自由軟體產業的產值,今年上半年達到新台幣5億9000萬,全年將超過12億,達到12億3700萬,而從2002年至2006年,台灣自由軟體產業軟體產值的年複合成長率高達55%。 預期到2007年,自由軟體產值可望達新台幣100億元,投入軟體開發廠商將達50%,而政府單位的個人電腦使用比例可望達到10%。
英國BEIS發布第一代(SMETS1)智慧電表相容性公眾諮詢英國商業、能源和產業策略部(Business, Energy and Industrial Strategy, BEIS)於2018年4月17日發布公眾諮詢,議題為「最大化第一代(SMETS1)智慧電表的相容性(interoperability)」,該諮詢將截止於2018年5月24日。 英國對於SMETS1的推廣分為兩階段進行,基礎建設階段始於2011年,主要安裝階段則於2016年11月開始,國家數據及通訊供應商-資料通訊公司(Data Communications Company, DCC)自此階段開始營運,直至2020年智慧電表建置完成。 因現今由各能源供應商使用自身資料及通訊設備裝設第一代智慧型電表,造成消費者無法任意更換能源供應商之情況。對此,英國政府之長期政策目標雖為SMETS1最終可全數透過DCC進行運作,然由於現階段尚未強制能源供應商使用DCC所提供之服務,使用SMETS1的消費者仍無法自由的轉換能源供應商。 本文件提出了兩個方案向公眾諮詢: 要求能源供應商於六個月時限內至DCC註冊其所提供且合於規範的SMETS1,或將SMETS1更換為SMETS2(第二代智慧電表)。而於2020年12月31日前,所有未註冊之SMETS1將強制更換為SMETS2。 若能源供應商已嘗試所有合適的解決方法,仍無法於2019年底前使SMETS1在智慧模式下運作,就必須在2020年6月底前將SMETS1更換為SMETS2。 若供應商係於2019年後才取得SMETS1,於獲得SMETS1之後的六個月內採取所有相關措施後仍無法令SMETS1以智慧模式運作,亦應更換為SMETS2。最終,所有不能運行智慧模式之SMETS1將於2020年12月31日前被完全汰換。 英國政府期透過更完善的政策規劃改善現階段SMETS1透過個別能源供應商之數據及通訊系統運作之情況,以確保SMETS1之智慧模式於消費者更換供應商時能維持正常運作,使消費者可確實獲取改用智慧電表之利益。我國於2015年已開始推動低壓智慧電表建置,英國面臨之問題值得借鏡,政府於推廣低壓智慧電表之同時應注意智慧電表基礎設施之相容性,以增進低壓智慧電表建置效率及降低建置成本。
韓國簽署網路漫畫著作權保護相關協議韓國創意內容振興院(Korea Creative Content Agency, KOCCA)、韓國著作權保護院(Korea Copyright Protection Agency, KCOPA)及韓國漫畫家協會,為杜絕非法傳播網路漫畫,營造網路漫畫著作權保護環境,保護網路漫畫著作權,已於2023年3月10日宣布與相關機構簽署協議,創造著作權保護環境,以營造適當之網路漫畫消費文化。 根據2022年發佈之《2022年上半年內容產業趨勢分析報告》顯示,2022年上半年,網路動漫內容產業出口金額比2021年增長27.9%,約 5600 萬美元(725 億韓元),相關產業正穩定增長中。然而,截至2021年,網路漫畫非法發行市場規模卻比起2021年增長53%,達到8427億韓元,表明非法發行造成的損失規模正在迅速擴大。 依據網路漫畫著作權保護協議,相關單位將共享現有網路漫畫著作權保護運作之經驗及必要資源,規劃三方合作提高網路漫畫用戶著作權保護意識之活動宣傳、共享網路漫畫著作權保護資料,相互合作查明非法使用網路漫畫的國內外實際情況,推動網路漫畫著作權產業正向運作。 漫畫產業之串流時代已逐漸形成,尤以韓國及中國大陸成長迅速,侵權問題亦隨之攀升,如何在快速發展之內容產業中,互通著作權資訊及提前預防侵權,係產業需關注之問題。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國證券交易委員會允許Overstock公司以區塊鏈(Block Chain)技術為基礎發行公司證券數位金融時代已然來臨。美國金融證券市場在2015年12月發生一些重大轉變,其中之一為美國證券交易委員會(U.S. Securities and Exchange Commission,下稱SEC)允許Overstock.com公司以區塊鏈技術(Blockchain technology)為基礎透過網路發行公司證券。 區塊鏈技術為一種以分散式結構方式,記錄數據、傳輸及驗證的方法。當有資訊產生時,所有相連電腦會共同驗證該資訊之真實性。驗證該資料具真實性後會寫入區塊鏈,並產生不可竄改的紀錄。 區塊鏈技術特點如下: 一、分散式結構之設計:可達到去中心化效果,以此降低資料遭駭客攻擊或竄改之風險,提升資訊安全。 二、驗證機制:可提供所有參與者共同驗證資料真實性,打造安全可靠之共識環境。 三、P2P機制:可節省繁瑣程序並降低交易成本。 綜合上述三點,區塊鏈技術受到市場極大的關注。為提升資訊安全與降低交易成本及因應數位金融時代,金融業者嘗試將區塊鏈技術應用於股票、債券或是有價證券交易市場,期望可完善金融交易環境。 雖然區塊鏈技術潛在市場龐大,但Overstock公司也在向SEC申請允許以區塊鏈技術發行證券之文件中,指出其選擇將公司訊息儲存在任何人皆可查閱之公開區塊鏈,可能導致個人對其隱私安全的疑慮。即便有此風險,仍認為區塊鏈技術應用於發行證券,將有助完善證券市場交易環境,透過區塊鏈技術,將可紀錄所有交易,從中減少中間商控制市場的空間,並減少賣空之套利行為。 但是,將區塊鏈技術應用於數位金融或許將衍生金融法規相關問題。因為金融法規針對不同類型金融商品,有相關規範管制。若應用區塊鏈技術於相關金融商品,勢必產生相應問題。諸如:股票交易需依據證券交易條例實行,然其中並未設有電子移轉及交易相關規範,若應用區塊鏈技術進行證券交易,主管機關須思考如何規範並控管市場。因此,金融法規將勢必隨之調整以符合數位化趨勢。