关于海底电缆基础设施的安全和复原力的建议

欧洲人委员会 布鲁塞尔，26.2. 2024 C(2024)1181决赛 委员会建议 of26.2.2024 关于安全和弹性海底电缆基础设施 ENEN 委员会建议 of26.2.2024 关于安全和弹性海底电缆基础设施 欧洲委员会, 考虑到《欧洲联盟运作条约》，特别是第292条， Whereas: (1)我们的经济和社会越来越依赖互联网的运作 以及国际连通性，以实现联盟的竞争性数字化 和它的经济。在这种情况下，海底电缆基础设施是一个重要的在更广泛的互联网生态系统中实现欧洲数字主权的要素， 鉴于绝大多数国际数据流量是通过 海底电缆。联盟中的许多岛屿，包括三个岛屿成员国家，以及欧盟最外层地区和海外国家和领土，联盟内部通信几乎完全依赖这种海底电缆。 在当前风险加剧和敌对人为安全威胁的背景下，鉴于这些基础设施的相互联系和跨国性质，政府在世界所有地区都特别注意他们对关键的潜在依赖电缆，作为海底电缆通信的系统性和广泛中断 如果发生协同攻击，可能会导致特别严重的后果。 (2)成员国确认了在联盟一级采取行动的必要性。 2022年3月9日的NeversCall1认识到关键的战略重要性电信网络和数字服务等基础设施 我们社会中的关键职能，以及它们是网络攻击。 (3)在NIS合作小组的支持下，跟进NeversCall 欧盟委员会和欧盟网络安全机构（ENISA），并与欧洲电子通信监管机构(BEREC) 对通信基础设施进行了高级别风险评估，并网络，包括海底电缆。此风险评估确定了物理 对海底电缆的攻击/破坏，以及影响海底电缆的停电依靠中继器，作为关键威胁。基于这些威胁和一些漏洞已确定，会员国制定了一套具有战略重要性的风险情景从欧盟的角度来看。这些特别包括第三国干预的风险 在供应商、托管安全服务提供商或海底电缆上，以及对数字基础设施进行协调的物理攻击/破坏，包括潜艇电缆。 1https://presse.economie.gouv.fr/08-03-2022-声明-conjointe-des-ministres-de-lunion-europeenne- 收费-du-numerique-et-des-communication-electroniques-adressee-au-secteur-numerique/ (4)理事会2022年12月关于全联盟协调的建议加强关键基础设施韧性的方法2（'关键 “基础设施弹性建议”)在工会和国家一级加强备灾、加强应对和国际 合作。这些行动特别侧重于具有重要意义的关键基础设施已确定的关键部门的跨境相关性，如能源、运输、空间和数字基础设施。 (5)在该建议中，理事会请委员会执行海底通信电缆弹性综合研究 并就以下方面的适当措施咨询相关利益攸关方和专家 possiblesignificantincidencesregardingsubmarineinfrastructure.TheCommissionhas 开展这方面的研究，并将与会员国分享其结论在适当的保密级别。本建议力求 补充和支持关键基础设施弹性的实施 (6)建20议23。年6月欧洲经济安全战略联合通讯3 提议关键基础设施的物理和网络安全风险仍在继续 根据理事会2022年12月8日的建议进行评估，以及 在这些风险的背景下，将海底电缆确定为关键基础设施。在关于2023年数字十年状况的报告，4委员会建议 会员国加强努力，包括通过必要的投资，以确保欧洲数字基础设施是安全和有弹性的，特别是骨干基础设施和海底电缆。“ (7)欧洲理事会2023年10月27日的结论强调“需要有效加强复原力和确保关键基础设施安全的措施，“ 同时强调“全面和协调方法的重要性”。 在这种背景下，欧盟必须迅速解决这些问题。 (8)会员国在根据本建议采取措施时，将在 适用和适当的，必须按照各自的规定行事， 指令(EU)2018/1972(“EECC”)中规定的义务和机制，5 指令（EU）2022/2555（“NIS2指令”），6指令(EU)2022/2557(“CER指令”)。7 (9)NIS2指令取代了EECC下的相应规定，网络和服务的安全及其实施和执行(文章40和41EECC)授权成员国采取与维持 2理事会2022年12月8日关于采取全联盟协调办法加强 关键基础设施弹性2023/C20/01，OJC20，20.1.2023。 3给欧洲议会，欧洲理事会和理事会的关于“欧洲 《经济安全战略》，加入（2023）20最终，20.6.2023。 42023年数字十年状况报告，2023年9月27日，https://digital-strategy.ec.europa.eu/en/news-redirect/798346 5欧洲议会和理事会2018年12月11日指令(EU)2018/1972 建立欧洲电子通信代码，OJL321，17.12.2018，第36-214页。 6欧洲议会和理事会2022年12月14日指令(EU)2022/2555 在整个联盟中实现高共同网络安全水平的措施(NIS2指令)，OJL333， 27.12.2022,p.80–152. 7欧洲议会和理事会2022年12月14日指令(EU)2022/2557 关键实体的复原力和废除理事会指令2008/114/EC，OJL333，27.12.2022，第 164–198. 公开的公共核心的一般可用性、完整性和保密性互联网，包括相关的潜艇通信的网络安全 电缆。根据NIS2指令第23条，影响潜艇的事件通信电缆应报告给相关的计算机安全事件 响应团队（“CSIRT”）或主管当局。国家网络安全战略会员国应酌情考虑到 海底通信电缆，包括潜在网络安全的映射风险和缓解措施，以确保最高级别的保护。 (10)CER指令旨在确保维持至关重要的服务 社会职能或经济活动以畅通无阻的方式提供 该指令涵盖的11个部门的内部市场。这包括增强提供此类服务的关键实体的物理弹性。CER指令涵盖了数字基础设施部门在识别关键 这一部门的实体，通过国家战略，会员国风险评估和会员国对其确定为 critical. (11)欧盟海上安全战略8突出显示了增加的攻击风险 针对关键海事基础设施的恶意行为者，包括海底电缆，并提出行动，以加强此类基础设施的复原力和保护。 （12）正如关于欧盟安全执行情况的第六次进度报告所强调的那样 联盟战略，欧盟已经在关键的一切方面提供了具有里程碑意义的立法实体保护以增强网络弹性。然而，与此同时， 欧洲和我们周边地区的安全威胁形势继续演变，说明需要持续保持警惕和高度准备面对 在线和离线关键基础设施的安全面临新的挑战。 (13)本建议旨在促进欧盟层面的协同作用，目标是增加海底电缆基础设施的安全性和弹性。它建议采取具体行动评估和改善 欧盟及其成员国关于现有和新 海底电缆基础设施，以及对联合部署或 通过欧洲感兴趣的电缆项目对此类基础设施进行重大升级 (‘CPEI’). (14)海底电缆基础设施不仅包括电缆，还包括任何基础设施与他们的建造、运营、维护和修理有关，如着陆 站和连接到它们的海底电缆的地面部分(例如，陆地 从海滩沙井到登陆站、数据中心或存在点的路线)、维修中心，以及部署、维护和修理船只的船队。 （15）委员会正在设立海底电缆基础设施非正式专家 集团，在2016年5月30日第C(2016)3301号委员会决定的含义中，9由会员国当局(“专家组”)组成，提供咨询和 向委员会提供与本建议后续行动有关的专门知识特别是在以下方面： 8理事会关于修订后的欧盟海事安全战略（EUMSS）及其行动计划的结论，24 2023年10月，https://www.consilium.europa.eu/media/67499/st14280-en23.pdf 9C(2016)3301; –促进会员国之间快速有效的信息交流， 委员会和外部行动处，通过保持密切联系 在海底电缆基础设施的安全性和弹性问题之间作为他们的资金和融资； –在欧盟一级绘制现有海底电缆基础设施的地图，基于国家测绘工作，并保持最新，至少每年 基础； –审查制图和国家风险评估，以确定缺失信息； –提出完善缺失信息的措施和方法 将额外信息与现有评估合并，建立 全联盟风险、漏洞和依赖关系评估的基线； –对风险、脆弱性进行实际的全联盟综合评估 以及对海底电缆基础设施的依赖性，这应该导致提出建议缓解措施； –提出符合本文件所列标准的战略CPEI清单草案建议； –提供一个论坛，以协调的方式在多边和多利益相关方论坛； –讨论采用和部署创新解决方案的可能性 检测和阻止对海底电缆基础设施的威胁，特别是基于结果欧盟资助的项目，以及 –开发海底电缆的维护和修理能力。 (16)专家组将召集必要的专家，并作为一个安全的平台会员国之间的协调，并向会员国提供咨询和援助委员会补充NIS合作组织的作用和任务 由NIS2指令设立的集团和由CER设立的CER集团指示。专家组应促进快速有效的信息 成员国与委员会就属于 本建议的范围。为了保持事项之间的密切联系 海底电缆基础设施的安全性和弹性，以及它们的资金和融资，专家组内的会员国应定期咨询、更新 并酌情与NIS合作小组和CER密切合作 集团，联盟资助计划的成员国委员会，来自第三国，公共发展和金融机构，行业代表，和其他利益相关者。这种合作将在 所涉及的团体、委员会和当局各自的任务。联盟资助计划委员会的咨询以及公众 发展和金融机构将特别旨在收获 协同作用以及汇集资金和融资。信息应该是在适当的保密级别交换。 （17）鉴于实现高水平的网络安全和人身安全的重要性海底电缆基础设施，无论其所有者如何，本建议邀请成员国采取措施，确保海底电缆基础设施 运营商符合最高安全标准(包括国防级标准，在适当的情况下)。 （18）为了实现潜艇的高度网络安全和物理安全电缆基础设施，应鼓励会员国收集相关 信息10来自企业的代表性组织，或如有必要，来自在其管辖范围内的个人事业。此信息应用于 建立、完成和更新国家海底电缆基础设施地图所有有关会员国。任何信息收集或交流都应保护该信息的机密性，保护安全和 有关实体的商业利益。 (19)作为制定全联盟综合评估的重要步骤， 影响海底电缆的风险、漏洞和依赖性评估 基础设施应在国家一级进行和完成。这应该采取 作为起点，考虑到现有的欧盟范围内的风险评估和评估，特别是那些在“永不呼吁”之后进行的，安理会关于 欧盟网络态势的发展以及-对于5G网络的网络安全- 遵循委员会建议(EU)2019/534。国家评估 应包括对现有和计划中的基础设施的映射。会员国应进一步加强敏感供应商和运营商的国家义务 实施NIS2指令时的基础设施部分。 (20)为了加强防范，并为未来的协调风险提供投入在联盟一级的评估中，应鼓励会员国建立实体 操作受定期压力测试的海底电缆基础设施。此类压力测试将有助于评估实体在不同情况下的弹性。 (21)必要时应考虑海底电缆基础设施 尽快建立、升级和维护，同时保持 将行政负担降至最低。因此，会员国应鼓励处理与规划、收购、建设、 在线运营、维护和维修此类基础设施，速度可达可能。应使会员国意识到任命一个 促进和协调许可证发放过程的权力。这个机构 可以任命一名协调员，作为项目的单一联系点。此外，在必要时根据理事会指令给予减损 92/43/EEC11指令2000/60/EC12欧洲议会和理事会这些项目的规划、采购、建设、运营、维护和维修 基础设施应被认为是压倒一切的公共利益 这些指令的含义，前提是中规定的其他剩余条件 Thoseprovisionsarefulnished.Thisiswithoutinfluencetotheapplicabilityor 执行其他联盟环境法。 （22）应鼓励会员国合作发展维护和修理海底电缆基础设施的能力。 （23）应认为有必要补充正在进行和计划中的风险评估关于支撑数字服务的数字和物理基础设施 关于潜艇的具体风险评估和缓解措施的选择 10例如，路线的地理位置，电缆的技术规范等。 1119