支持审查关于欧盟网络和信息系统高通用安全级别措施的指令 (EU) 2016/1148（NIS 指令）的研究

支持审查关于整个欧盟网络和信息系统高度通用安全措施的指令（EU）2016/1148的研究（NIS指令）-第2020-665号最终研究报告由2021年1月 欧洲委员会通信网络、内容和技术总局 H 局：数字社会、信任和网络安全H.2单元：网络安全和数字隐私政策 联系人：雅各布·博拉廷斯基电子邮件：Jakub.Boratynski@ec.europa.eu 欧盟委员会b - 1049布鲁塞尔 支持审查NIS指令的研究–最终研究报告支持审查关于论坛措施的指令（EU）2016/1148的研究整个联盟的网络和信息系统的高通用安全级别（NIS 指令） - 第 2020 号 -665最终研究报告 作者:莫妮卡阿达米(monica.adami@wavestone.com)帕特里夏·巴赫迈尔〔patricia.bachmaier@wavestone.com蒂亚戈BARBIZAN (thiago.barbizan@wavestone.com)热罗姆·比卢瓦 （gerome.biNois@wavestone.com） 弗拉米尼亚·博南尼 （flaminia.bonanni@ceps.eu）马克•科尔(mark.cole@uni.lu)波林DINAND (pauline.dinand@wavestone.com)伽柏ENDRODI (gabor.endrodi@icf.com)法昆埃雷拉(facundo.herrera@icf.com)里卡达斯·朱斯凯维修斯 （ricardas.juskevicius@icf.com）乔治MARIDIS (george.maridis@icf.com)法比奥MASSACCI (fabio.massacci@ieee.org)西蒙娜MILIO (simona.milio@icf.com)卡罗来纳POLITO (carolina.polito@ceps.eu)洛伦佐PUPILLO (lorenzo.pupillo@ceps.eu)迈克尔·理查森(michael.richardson@icf.com)桑德拉•施密茨(sandra.schmitz@uni.lu)莎拉TALPO (sara.talpo@wavestone.com)这是THIRRIOT (aude.thirriot@wavestone.com)亚历山德罗·赞博尼〔alessandro.zamboni@wavestone.com）框架合同:聪明的2019/0024 2021年2月5(*)00 800 6 7 8 9 10 11所提供的信息是免费的，大多数电话也是免费的（尽管一些运营商，电话亭或酒店）可能收你)。法律通知本文件是为欧盟委员会编写的，但它仅反映作者的观点，委员会不对其中所载信息的任何使用负责。有关欧洲联盟的更多信息可在互联网上查阅（http://www.europa.eu）。卢森堡：欧盟出版局，2021 年ISBN 978-92-76-31316-8 DOI 10.2759/184749kk - 09 - 21 - 034 - en - n©欧盟,2021年只要注明来源，则允许复制。欧洲直通是一项服务，可帮助您找到有关欧盟问题的答案。免费电话号码(*): 支持审查NIS指令的研究–最终研究报告2021年2月6表的内容的首字母缩略词列表7概述91总结第一次中期研究报告(D1) 91.1上下文和背景91.2NIS指令11的实施和现状1.3评价方法171.3.1评估问题171.3.2信息来源191.3.3分析的局限性231.4二、评价问题结论摘要 231.4.1相关性231.4.2相干241.4.3欧盟增值261.4.4有效性271.4.5效率292第二次中期研究报告摘要（D2） 302.1二、选择政策措施的方法 302.1.1NIS指令审查中对新政策概念的需求 302.1.2其他监管方法332.2A. 新政策概念和措施的范围界定和评估 362.2.1新政策措施372.2.2新政策概念582.3B. 确定可适用于影响分析的措施 623总结第三中期研究报告(D3) 743.1介绍743.2影响评价方法75支持3.2.1整体方法753.2.2研究问题763.2.3信息来源773.3主要发现773.3.1问题定义773.3.2理由98欧盟干预3.3.3政策目标99的定义3.3.4104发展的政策选择3.3.5118影响分析的政策选项3.3.6比较评估1293.3.7摘要和结论133附件I - Delphi 135面板的结果附件二-目标咨询简介151针对国家主管当局（CA）的在线调查结果摘录...................................................................................................................针对基本服务运营商（OES）的在线调查结果摘录...................................................................................................................针对数字服务提供商 （DSP） 的在线调查结果摘录 181 支持审查NIS指令的研究–最终研究报告2021年2月7的首字母缩略词列表曾经航空安全报告系统中科院主管机关CDN内容分发网络CERT计算机紧急反应小组CIIP关键信息基础设施保护CISSP认证信息系统安全专家csirt计算机安全应急响应团队CTIIC网络威胁情报融合中心化学汽相淀积协调漏洞的披露强热带风暴成员国网络危机联络组织网络DNS域名系统需求方数字服务提供商电子商务欧洲委员会ECCSA欧洲航空网络安全中心ECI欧洲关键基础设施EECC欧洲电子通信代码埃达电子识别、认证和信托服务ENISA欧洲网络和信息安全机构欧盟欧盟美国联邦航空局联邦航空管理局国内生产总值国内生产总值(gdp)GDPR一般数据保护规定IA影响评估信息通信技术信息和通信技术IPCR整合政治危机的反应直接督导下信息共享和分析中心IXP互联网交流点MELANI瑞士信息保障报告分析中心 支持审查NIS指令的研究–最终研究报告2021年2月8nca /中科院国家主管部门成都市新国家网络安全中心网卡国家网络安全研究院海洋能运营商的基本服务OPC开放的公共协商PEPIDA个人信息保护和电子文件法购买力平价公私伙伴关系PSD2支付服务指令2中小企业中小企业SPOC单点联系 支持审查NIS指令的研究–最终研究报告2021年2月9概述ICF、Wavestone 和 CEPS 被授予进行研究的合同，以支持审查指令 （EU） 2016/1148，该指令涉及整个联盟网络和信息系统的高度通用安全措施（NIS 指令） – 第 2020-665 号。本研究以综合评估路线图和影响评估为基础，规定了NIS指令评估的范围和职权范围，遵循了《更好的监管指南》，并分为四项主要任务。在任务 1 a 下回顾性评价对目前形式的法律框架的运作进行了阐述，阐述了成员国实施NIS指令的经验教训，同时确定了持续存在和新出现的问题（详见第一份中期研究报告摘要（D1））。任务 2 专门用于识别两者小说概念和政策措施包括当前NIS指令中未涉及的具体新监管要素，但将有助于提高未来欧洲的网络安全水平（详见第二次中期研究报告（D2）摘要）。任务 3 提供了一个支持影响评估的前瞻性意见过程，其中评估了几种可能的措施和政策选择的积极和消极影响（详见第三次中期研究报告摘要（D3））。最后，在任务 4 下，全面利益相关者对话实施（即国家主管当局（CA）、单点联系人（SPOC）、计算机安全事件响应小组（CSIRT）、基本服务运营商（OES）和数字服务提供商（DSP）为研究和欧盟委员会开展的更广泛的影响评估过程提供信息。该研究提供了基于证据的判断，以便向委员会通报有关整个欧盟网络和信息系统安全的未来决定。1 总结第一次中期研究报告(D1)1.1 上下文和背景网络安全弹性是保护欧盟关键基础设施的关键优先事项，由于国家战略和能力的分散性，网络和信息系统特别脆弱。在此背景下，委员会决定进行干预，建立一个有效的欧洲机制，以促进有关网络和信息安全风险和事件的信息合作和共享，确保跨境服务和系统的安全，避免有害后果和企业和公民的信任降低。因此，经过三年的谈判，欧洲议会和理事会通过了指令（ EU）2016/11481（NIS指令），以加强现有欧盟和国家立法提供的保护。NIS指令是第一个旨在提高欧盟网络安全弹性的横向内部市场工具。NIS指令于2016年7月通过，并要求成员国在2018年5月9日之前将其转化为法律，旨在确保基本服务的连续性，通过在整个欧盟建立网络安全能力，并减轻对用于在关键部门提供基本服务的网络和信息系统的日益严重的威胁，使欧盟的经济和社会能够正常运作。虽然每个成员国都必须将指令的规定转化为本国的立法框架，但该指令仅要求成员国实施的最低水平（第3条）。因此，通过要求在行动方面达到最低水平的协调1 欧洲议会和理事会 2016 年 7 月 6 日关于整个欧盟网络和信息系统高度通用安全措施的指令 （EU） 2016/1148，OJL 194/1，2016 年 7 月 19 日。 支持审查NIS指令的研究–最终研究报告2021年2月10NIS指令将留给成员国自由，只要该指令目标的执行和实现都值得关注。在实施NIS指令期间，出现了所有利益相关者的一致性有限和不必要的复杂性的相关风险。为了减少欧洲国家之间的差异程度，ENISA已成为欧盟网络安全机构，具有新的永久授权，并且能够执行欧盟网络安全法定义的新任务23，于2019年6月生效。由国家代表、ENISA和欧盟委员会组成的合作小组提供了战略指导;CSIRT网络也积极开展工作，以确保良好做法得到沟通和交流，并在指令相关事项上为成员国提供支持3.下面的图 1 显示了 NIS 指令的干预逻辑。在该委员会2020年工作计划4，网络安全与欧盟的数字化息息相关。根据工作方案，医疗保健、能源、银行和法律系统等关键部门使用的技术旨在通过制定强有力的网络安全措施来加强。在这方面，委员会启动了金融服务数字运营弹性框架（DORA）等举措。5于 2020 年 9 月通过，并正在为跨境电力流动的网络安全准备网络代码，将于 2022 年底通过6.2 欧洲议会和理事会 2019 年 4 月 17 日关于 ENISA（欧盟网络安全机构）和信息和通信技术网络安全认证的条例 （EU） 2019/881，并废除条例 （EU） No 526/2013（网络安全法）（与 EEA 相关的文本），OJL 151/15，7.6.2019。3 Billois，G.，（2017），“网络安全和NIS指令。欧盟一致性的挑战“，来自Wavestone网络安全和数字信任顾问的信。风险洞察。在：https://uk.wavestone.com/app/uploads/2017/02/cybersecurity-nis-directive-europe-2.pdf（上次访问时间3 .05.2020).4 COM （EU） （2020） 37 final，委员会致欧洲议会、理事会、欧洲经济和社会委员会和地区委员会的来文，委员会 2020 年工作方案，布鲁塞尔，2020 年 1 月 29 日。5 COM （EU） （2020） 595 final，欧洲议会和理事会关于金融部门数字运营弹性的法规提案，并修订法规 （EC） No 1060/2009、（EU） No 648/2012、（EU） No 600/2014 和 （EU） No 909/2014，布鲁塞尔，2020 年 9 月 24 日6 根据关于内部电力市场的法规 （EU） 2019/943 授权。筹备工作在2019年9月，非正式起草过程正在进行中。 支持审查NIS指令的研究–最终研究报告2021年2月11图1所示。干预逻辑资料来源:作者的精化。1.2NIS指令的实施和现状委员会和欧盟