欧盟准备优化网络安全政策，施行网络安全改革，从而更新《网络安全法》

CSA是欧盟议会和理事会于2019年3月通过的一项法规，旨在加强欧盟范围内的网络安全。该委员会有两个主要目标：建立一个永久性的欧盟范围内的信息与通信技术（ICT）产品、服务和流程网络安全认证框架;并加强欧盟网络安全署（ENISA）的授权。

然而，该法规也受到批评，尤其是因其自愿性质——许多公司，尤其是中小企业（SMB）因成本问题而避免认证——以及认证计划的推行缓慢。

此外，该法案设计于人工智能威胁民主化和全球地缘政治紧张加剧之前。

因此，欧盟委员会一直在着手更新《网络安全法》，通常被称为“网络安全法2.0”。

解决《网络安全法案1.0》的主要问题
委员会于1月20日作为新网络安全方案的一部分发布的最终提案，明确了其旨在解决的四个主要问题：

工会的网络安全政策框架与利益相关者需求之间的不一致
欧洲网络安全认证框架（ECCF）实施停滞
影响联盟网络态势的网络安全相关政策的复杂性和多样性
ICT供应链安全风险增加
为解决这些问题，委员会提议将修订后的法规围绕五个主要目标明确，包括创建新的机制以支持欧盟企业的需求，同时帮助其实现合规，以及简化和简化现有的网络安全认证体系，尤其是ECCF。

《网络安全法案2.0》的关键变更
欧盟委员会提出的一些变更包括：

引入新的可信ICT供应链安全框架，识别和缓解欧盟18个关键行业的风险，同时考虑经济影响和市场供应
认证计划将在12个月内默认开发完成
认证方案可被用作对欧盟法律合规的推定
强制将欧洲移动电信网络从高风险第三方供应商中降低风险，建立在5G安全工具箱下已完成的工作基础上
此外，拟议中的《网络安全法案2.0》赋予ENISA更大角色，赋予其更多权力、资源和责任，作为欧盟网络安全的核心枢纽，新增职责包括：

在重大网络事件期间，在CSIRT网络的支持并经相关成员国批准的情况下，领导或支持。
在欧洲网络危机联络组织网络（EU-CyCLONe）的支持下，维护网络安全演习资料库
公开分享非敏感网络威胁情报
协助审核关键技术供应商（如5G设备、云服务）
作为统一标准的评估者
试点一项欧洲网络安全技能认证计划（为网络安全专业人员提供执照），并探索技能认证的质量标签
该机构还将建立新的领导结构，新增一名副执行董事以协助管理日益增长的工作量，以及一个上诉委员会处理争议，例如公司对认证决定存在异议时。



《网络安全法案2.0》将在欧洲议会和欧盟理事会批准后立即生效。然而，委员会尚未明确具体的采纳时间表。

一旦通过，欧盟成员国将有一年时间将该指令纳入国家法律，并将相关文本传达给欧盟委员会。

欧盟委员会科技主权、安全与民主执行副总裁亨娜·维尔库宁强调，网络威胁不仅是技术挑战，更是“对我们民主、经济和生活方式的战略风险”。

“有了新的网络安全方案，我们将具备更好保护关键ICT供应链的手段，同时也能果断应对网络攻击。这是确保我们欧洲技术主权和保障所有人更大安全的重要一步，“她补充道。