歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
羅文妗
副法律研究員 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
英國商業、能源和產業策略部(Business, Energy and Industrial Strategy, BEIS)於2016年11月9日發布公眾諮詢報告「英國燃煤電廠:邁向未來低碳之路」,儘管過去燃煤發電對於滿足英國電力需求發揮了關鍵作用,然而,最近煤炭的重要性隨著再生能源發電的增長和新燃氣電廠的建設而下降。煤炭是碳密集度最高的化石燃料,它每天產生的二氧化碳是天然氣的兩倍,因此,減少發電排碳最直接有效的方法就是減少對燃煤發電的依賴。 2015年燃煤發電僅佔英國總發電量的四分之一,而目前仍在運營的八個燃煤電廠佔英國總發電量約15%,這些燃煤電廠正在不斷老化,以現代標準來看其發電效率已是相對低下,並且需要昂貴的修繕費用以符合當前的空氣品質標準。因此,近年來有許多燃煤電廠關閉,而當這些燃煤電廠停業時,往往是在短時間內才對電力市場發出通知,關廠增加了短期電力供應安全的壓力,除非電力市場對於這些發電容量的損失有足夠的預期。 基於上述理由,本次公眾諮詢探討英國政府該如何規範高排放燃煤電廠關閉的相關措施,並為投資者提供更大的市場確定性,以新的燃氣發電機組代替燃煤電廠關閉時的發電容量。 BEIS提出2025年高排放燃煤電廠應符合的兩種減碳選項─確保電廠使用碳捕捉與封存(Carbon Capture and Storage, CCS)或修改排放績效標準(Emissions Performance Standard, EPS): (1)要求現有燃煤發電廠裝設CCS技術且確保所有電廠使用CCS技術,並符合現行英國排放績效標準(EPS)。 (2)修改現行排放績效標準(EPS),由每年排放限制強化為即時排放限制,以達到2025年汰除燃煤電廠的目標。 另外英國政府也將就燃煤電廠是否已充分減少排放二氧化碳,以換取繼續運行的替代方案進行公眾意見徵求。上述這二種方案都會使燃煤電廠將二氧化碳排放量降至等於或低於新建燃氣發電廠的排放量,此份公眾諮詢將結束於2017年2月8日。
飛利浦推出新授權機制,光碟片廠仍有所質疑繼2001年引起國內科技產業界關注的公平會處分飛利浦CD-R授權案、2004年7月28日智慧局依循專利法第76 條規定,做成CD-R技術之強制授權決定,准予國碩公司針對飛利浦公司五項專利權所提出的強制授權申請後,飛利浦與台灣光碟片廠的權利金拔河仍未停歇,近日飛利浦宣布,將推動全新的CD-R光碟片專利授權模式—Veeza,根據此一授權模式,每片CD-R光碟片的授權金降幅高達44%。 飛利浦認為Veeza有助於恢復產業競爭的公平性,台灣光碟片卻不這樣認為,首先台灣最主要的競爭對手印度MBI,因飛利浦在印度沒有專利權保護,當地生產的光碟片出貨並不用繳納權利金。另外大陸業者也不按照規定繳交權利金,故即使調降權利金,我國廠商仍認為一旦與飛利浦簽訂新契約,屆時反而更加綁手綁腳,更無法與印度與大陸廠商競爭,市場公平競爭性反而降低,故截至目前為止,並沒有任何一家台灣光碟片廠與飛利浦簽訂新契約。
敏感科技保護「敏感科技」的普遍定義,係指若流出境外,將損害特定國家之安全或其整體經濟競爭優勢,具關鍵性或敏感性的高科技研發成果或資料,在部分法制政策與公眾論述中,亦被稱為關鍵技術或核心科技等。基此,保護敏感科技、避免相關資訊洩漏於國外的制度性目的,在於藉由維持關鍵技術帶來的科技優勢,保護持有該項科技之國家的國家安全與整體經濟競爭力。 各國立法例針對敏感科技建立的技術保護制度框架,多採分散型立法的模式,亦即,保護敏感科技不致外流的管制規範,分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型,分別為國家機密保護,貨物(技術)之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制,而我國法亦是採取這種立法架構。目前世界主要先進國家當中,有針對敏感科技保護議題設立專法者,則屬韓國的「防止產業技術外流及產業技術保護法」,由產業技術保護委員會作為主管機關,依法指定「國家核心科技」,但為避免管制措施造成自由市場經濟的過度限制,故該法規範指定應在必要的最小限度內為之。
德國網路服務提供者(ISP)之第三人侵權行為責任德國聯邦法院(簡稱:BGH)民事庭於2015/11/26分別在兩件案例中(I ZR 3/14 和 I ZR 174/14)針對網路服務提供者(ISP)責任作出具重大影響力之終審決定。BGH認為即使此侵權網站之內容可在別處被找到,原則上德國ISP仍可阻斷侵權網站之連接。兩案分別由德國音樂集管團體GEMA對德國電信(I ZR 3/14),以及華納、新力、聯合音樂共同對一德國私人電信公司Telefonica O2所提起 (I ZR 174/14),聲明請求法院命令網路連接業者切斷對侵權網站之連接。兩案原告等之聲明分別在一審與上訴審皆被駁回,於是分別上告(Revision)至BGH。 BGH於判決中指出,雖不排除ISP可阻斷對侵權網站之連接可能性,然先決條件在於著作權人需先盡合理的努力(Zumutbaren Anstrenungen),去阻止被保護內容之擴散。而兩案中原告等未盡此義務,故以此為理由駁回上告。BGH課予著作權人盡合理的努力後,才能訴諸此切斷侵權網站連接之最終手段,此可為我國處理網路服務提供者(ISP)之第三人侵權行為責任之參考。