欧洲议会和理事会（欧盟）2019/881 号条例 2019 年 4 月 17 日 关于 ENISA（欧盟网络安全机构）和信息和通信技术网络安全认证和 废除（欧盟）第 526/2013 号条例（网络安全法） （与欧洲经济区相关的文本） 欧洲议会和欧盟理事会， 考虑到《欧洲联盟运作条约》，特别是其中第 114 条， 考虑到欧盟委员会的提案， 在将立法法案草案转交给各国议会后， 考虑到欧洲经济和社会委员会的意见（1）， 考虑到地区委员会的意见（2）， 按照普通立法程序行事（3）， 鉴于： (1) 网络和信息系统以及电子通信网络和服务在社会中发挥着至关重要的作用，并已成为经济增长的支柱。 信息和通信技术（ICT）是支持日常社会活动的复杂系统的基础，使我们的经济在卫生、能源、金融 和运输等关键部门运行，特别是支持内部市场的运作。 (2) 整个联盟的公民、组织和企业现在普遍使用网络和信息系统。数字化和连接正在成为越来越多的产品 和服务的核心功能，随着物联网（IoT）的出现，预计未来十年将在整个联盟部署大量连接的数字设 备。虽然越来越多的设备连接到互联网，但安全性和弹性在设计上并不足，导致网络安全不足。在这 种情况下，认证的使用有限导致个人、组织和企业用户对 ICT 产品、ICT 服务和 ICT 流程的网络安全 功能的信息不足，这破坏了对数字解决方案的信任。网络和信息系统能够支持我们生活的各个方面， 并推动欧盟的经济增长。它们是实现数字单一市场的基石。 (3) 数字化和连通性增加增加了网络安全风险，从而使整个社会更容易受到网络威胁，并加剧了个人（包 括儿童等弱势群体）面临的危险。为了减轻这些风险，需要采取一切必要行动来改善欧盟的网络安全， 以便公民、组织和企业使用的网络和信息系统、通信网络、数字产品、服务和设备——从委员会第 2003/361/EC（4）号建议中定义的中小企业到关键基础设施的运营商——更好地免受网络威胁。 (4) 根据欧洲议会和理事会（5）第 526/2013 号条例（欧盟）设立的欧盟网络和信息安全机构（ENISA） 通过向公众提供相关信息，为欧盟网络安全行业的发展做出了贡献，特别是中小企业和初创企业。 ENISA 应努力与大学和研究实体进行更密切的合作，以帮助减少对联盟外部网络安全产品和服务的 依赖，并加强联盟内部的供应链。 (5) 网络攻击正在增加，一个更容易受到网络威胁和攻击的互联经济和社会需要更强大的防御。然而，虽 然网络攻击经常发生跨境，但网络安全和执法当局的能力和政策反应主要是国家性的。大规模事件可 能会扰乱整个联盟基本服务的提供。这需要在欧盟一级采取有效和协调的应对措施和危机管理，以专 门的政策和更广泛的欧洲团结和互助工具为基础。此外，根据可靠的欧盟数据定期评估联盟的网络安 全和复原力状况，以及对联盟和全球一级未来发展、挑战和威胁的系统预测，对决策者、行业和用户 都很重要。 (6) 鉴于欧盟面临的网络安全挑战越来越大，需要一套全面的措施，这些措施将以欧盟之前的行动为基础， 并促进相辅相成的目标。这些目标包括进一步提高会员国和企业的能力和准备，以及改善成员国和欧 盟机构、机关、办事处和机构之间的合作、信息共享和协调。此外，鉴于网络威胁的无国界性质，有 必要提高联盟一级的能力，以补充会员国的行动，特别是在大规模跨境事件和危机的情况下，同时考 虑到保持和进一步加强国家应对各种规模网络威胁的能力的重要性。 (7) 还需要做出更多努力来提高公民、组织和企业对网络安全问题的认识。此外，鉴于事件破坏了对数字 服务提供商和数字单一市场本身的信任，特别是消费者之间的信任，应进一步加强信任，以透明的方 式提供有关 ICT 产品、ICT 服务和 ICT 流程安全水平的信息，这些信息强调即使是高水平的网络安全 认证也不能保证 ICT 产品、ICT 服务或 ICT 流程完全安全。通过提供全国市场和部门共同网络安全要 求和评估标准的全联盟认证，可以促进信任的增加。 (8) 网络安全不仅是一个与技术有关的问题，也是人类行为同样重要的问题。因此，应该大力促进“网络 卫生”，即公民、组织和企业定期实施和实施的简单、常规措施，最大限度地减少他们面临的网络威 胁风险。 (9) 为了加强欧盟网络安全结构，必须保持和发展会员国全面应对网络威胁的能力，包括跨境事件。 (10) 企业和个人消费者应该获得有关其 ICT 产品、ICT 服务和 ICT 流程安全性认证的保证水平的准确信息。 与此同时，没有一个信通技术产品或信通技术服务完全是网络安全的，必须推广和优先考虑网络卫生 的基本规则。鉴于物联网设备的可用性越来越多，私营部门可以采取一系列自愿措施来加强对信通技 术产品、信通技术服务和信通技术流程安全的信任。 (11) 现代 ICT 产品和系统通常集成并依赖一个或多个第三方技术和组件，如软件模块、库或应用程序编程 接口。这种依赖被称为“依赖性”，可能会带来额外的网络安全风险，因为第三方组件中发现的漏洞 也可能影响 ICT 产品、ICT 服务和 ICT 流程的安全。在许多情况下，识别和记录此类依赖性使 ICT 产 品、ICT 服务和 ICT 流程的最终用户能够通过改进用户的网络安全漏洞管理和补救程序等方式改善其 网络安全风险管理活动。 （12） 应鼓励参与设计和开发 ICT 产品、ICT 服务或 ICT 流程的组织、制造商或提供商在设计和开发的最初 阶段采取措施，以尽可能高的程度保护这些产品、服务和流程的安全，从而推定网络攻击的发生，并 预测和尽量减少其影响（“设计安全”）。应通过不断演变的设计和开发流程来确保信通技术产品、 信通技术服务或信通技术流程的整个生命周期的安全，以减少恶意利用的伤害风险。 （13） 企业、组织和公共部门应配置由其设计的 ICT 产品、ICT 服务或 ICT 流程，以确保更高的安全水平， 使第一个用户能够获得具有尽可能安全设置的默认配置（“默认安全”），从而减轻用户必须适当配 置 ICT 产品、ICT 服务或 ICT 流程的负担。默认情况下，安全性不应要求用户进行广泛的配置或特定 的技术理解或非直观行为，并且在实现时应轻松可靠地工作。如果逐案进行风险和可用性分析得出默 认情况下无法实现此类设置的结论，则应提示用户选择最安全的设置。 （14） 欧洲议会和理事会（EC）第 460/2004 号条例（6）设立了 ENISA，目的是促进确保欧盟内部高水平 和有效的网络和信息安全，并发展网络和信息安全文化，以造福公民、消费者、企业和公共行政部门。 欧洲议会和理事会（7）第 1007/2008 号条例将 ENISA 的任务期限延长至 2012 年 3 月。欧洲议会 和理事会（欧盟）第 580/2011 号条例（8）进一步将 ENISA 的任务期限延长至 2013 年 9 月 13 日。 （欧盟）第 526/2013 号条例将 ENISA 的任务期限延长至 2020 年 6 月 19 日。 （15） 欧盟已经采取了重要步骤来确保网络安全，并增加对数字技术的信任。2013 年，欧盟通过了网络安 全战略，以指导欧盟应对网络威胁和风险的政策。为了更好地保护在线公民，欧盟在网络安全领域的 第一项法律法案于 2016 年以欧洲议会和理事会第 2016/1148 号指令（9）的形式获得通过。（欧盟） 第 2016/1148 号指令规定了有关网络安全领域国家能力的要求，建立了第一个机制以加强成员国之 间的战略和业务合作，并引入了对经济和社会至关重要的部门的安全措施和事件通知的义务，如能源、 运输、饮用水供应和分销、银行、金融市场基础设施、医疗保健、数字基础设施以及关键数字服务提 供商（搜索引擎、云计算服务和在线市场）。 ENISA 在支持该指令的实施方面发挥了关键作用。此外，有效打击网络犯罪是《欧洲安全议程》的 一个重要优先事项，有助于实现高水平网络安全的总体目标。其他法案，如欧洲议会和理事会条例（欧 盟）2016/679（10）以及欧洲议会和理事会第 2002/58/EC（11）和（欧盟）2018/1972（12）号 指令，也有助于数字单一市场的高度网络安全。 （16） 自 2013 年通过欧盟网络安全战略和上次修订 ENISA 的任务以来，随着全球环境变得更加不确定和 不安全，总体政策背景发生了重大变化。在此背景下，在 ENISA 作为咨询和专业知识的参考点、合 作和能力建设促进者以及新的欧盟网络安全政策框架内积极发展的背景下，有必要审查 ENISA 的任 务，确定其在改变后的网络安全生态系统中的作用，并确保它有效促进欧盟应对彻底转变的网络威胁 格局带来的网络安全挑战，正如 ENISA 评估期间所承认的那样，目前的任务是不够的。 （17） 本条例设立的 ENISA 应接替（欧盟）第 526/2013 号条例规定的 ENISA。ENISA 应履行本条例和欧 盟在网络安全领域的其他法律行为赋予的任务，除其他外，提供咨询和专业知识，并充当联盟信息和 知识中心。它应该促进成员国和私人利益相关者之间交流最佳做法，向委员会和成员国提供政策建议， 作为欧盟在网络安全事项方面的部门政策倡议的参考点，并促进成员国之间以及成员国与欧盟机构、 机关、办事处和机构之间的业务合作。 （18） 在第 2004/97/EC 号决定（欧洲原子能共同体）的框架内，成员国代表通过国家元首或政府首脑级会 议（13）举行，成员国代表决定，ENISA 的席位将位于希腊的一个城镇，由希腊政府决定。ENISA 的东道国应确保 ENISA 顺利高效运作的最佳条件。为了正确有效地执行任务，招聘和留住工作人员， 提高网络活动的效率，ENISA 必须设在适当的地点，除其他外，为 ENISA 工作人员随行的配偶和子 女提供适当的交通连接和设施。应在 ENISA 和东道成员国在获得 ENISA 管理委员会批准后达成的协 议中规定必要的安排。 （19） 鉴于欧盟面临的网络安全风险和挑战日益增加，应增加分配给 ENISA 的财政和人力资源，以反映其 增强的作用和任务，以及其在捍卫欧盟数字生态系统的组织生态系统中的关键地位，使 ENISA 能够 有效执行本条例赋予的任务。 （20） ENISA 应发展和保持高水平的专业知识，并作为参考点运作，凭借其独立性、所提供建议的质量、 传播的信息质量、程序的透明度、操作方法的透明度以及执行任务的勤奋，在单一市场建立对单一市 场的信任和信心。ENISA 应积极支持国家努力，并应积极主动地为欧盟的努力做出贡献，同时与欧 盟各机构、机关、办事处和机构以及成员国充分合作执行任务，避免任何工作重复并促进协同作用。 此外，ENISA 应以私营部门和其他相关利益攸关方的投入与合作为基础。一套任务应确定 ENISA 如 何实现其目标，同时允许其业务的灵活性。 （21） 为了能够