網路安全政策法規月月談（第3期）

欄目簡介

伴隨數字化和網路安全深入發展，網路安全市場的政策性特徵日漸顯著，合規需求已與攻防需求一道，成為引領網路安全產業發展的兩大核心驅動力。

本欄目立足團隊在網路安全政策法規方面的日常跟蹤，分析篩選國內外近期部分熱點政策法規檔案，並重點結合網路安全產業發展，對其內容跟和影響等進行簡析。欄目分為國內篇和國外篇，本期篩選分析2023年1月國內外發布的熱點政策法規。

歡迎共同研討和批評指正。

本期目錄

  +

+

國外篇

1.《關於在歐盟全境實現高度統一網路安全措施的指令》正式生效

【內容概述】2023年1月16日，《關於在歐盟全境實現高度統一網路安全措施的指令》（Directive on measures for a high common level of cybersecurity across the Union）（以下簡稱《指令》）正式生效。歐盟成員國據此須在2024年10月17日之前釋出遵循《指令》的必要措施。

《指令》主要在增強監管和執法力度、加強歐盟成員國合作和網路安全風險管理等方面對《網路和資訊保安指令》進行了更新。一是在增強監管和執法力度方面，對違反網路安全風險管理規定的行為實施罰款、建立安全事件報告機制等；二是在加強歐盟成員國合作方面，包括加強資訊共享、協調漏洞披露等；三是在網路安全風險管理方面，包括加強關鍵資訊和通訊技術的供應鏈安全、簡化事件報告義務等。

原文連結：

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555&qid=1672747885309&from=EN

【導讀分析】為應對數字化發展帶來的網路安全威脅，歐盟於2016年7月透過關於網路安全的第一部綜合性立法——《網路和資訊系統安全指令》（《NIS指令》），旨在歐盟範圍內實現統一、高水平的網路和資訊系統安全，為提升歐盟成員國網路安全水平發揮了指引作用。本次釋出的《指令》在《NIS指令》的基礎上，擴大了被約束物件的範圍，增至包括公共電子通訊網路和服務、資料中心服務、醫療衛生和關鍵產品製造等關鍵部門與實體。同時該指令還是“歐盟數字戰略”的重要組成部分。

近年來，我國建立起了以《網路安全法》《資料安全法》《個人資訊保護法》和《關鍵資訊基礎設施安全保護條例》為綱領的“三法一條例”網路安全法律框架，但在“網路安全事件報告”“供應鏈安全”等諸多細分領域，尚亟待出臺具體的規章制度和管理規範等實施層面的政策檔案。《指令》對於我國開展相關制度完善工作具有參考價值。

2.美國CISA宣佈聯合網路防禦協作組織的2023年規劃議程

【內容概述】2023年1月26日，美國網路安全和基礎設施安全域性（CISA）釋出了聯合網路防禦協作組織（JCDC）的2023年規劃議程（2023 JCDC Planning Agenda）（以下簡稱《議程》）。JCDC意圖透過將關鍵行業合作伙伴的能力與政府機構的定製化需求相結合，建立共同合作的方法來對抗惡意行為者和重大網路風險。

JCDC制定的規劃議程主要包括以下3個領域：第一，系統性風險，包括解決開源軟體，遠端監控和管理供應商、託管服務提供商和託管安全服務提供商，能源，水務行業等4個領域的風險。第二，集體網路響應，包括更新國家網路事件響應計劃（NCIRP），闡明非聯邦實體在組織和執行國家事件響應活動中的具體作用。第三，高風險組織機構，透過與政府和重要行業利益相關者的合作規劃，加強對面臨更高風險的民間社會組織的保護等。

原文連結：

https://www.cisa.gov/blog/2023/01/26/jcdc-focused-persistent-collaboration-and-staying-ahead-cyber-risk-2023

【導讀分析】JCDC由CISA及其合作伙伴在2021年成立，旨在落實《2021年國防授權法案》中“增加和擴大公共和私營部門人員對聯邦網路防禦和安全工作的參與和整合”等相關規定。JCDC的核心職能包括制定網路防禦行動計劃、推動公私部門協作與資訊共享以及制定網路防禦指南等，其主要成員包括政府組織、服務提供商、基礎設施運營商和網路安全公司等。本次釋出的《議程》是該組織制定的首份規劃檔案，對於促進美國在網路安全領域的合作與健全美國政府部門資訊共享機制具有里程碑意義。

建立網路安全多方協同機制也是我國相關主管部門推進網路安全工作的一個重要內容。對於行業來說，可加強對國外企事業單位參與參與國家網路安全協同機制做法的借鑑，重點維度如：威脅情報分析、資訊共享平臺建設、知識圖譜畫像等方面。

  +

+

國內篇

1.工業和資訊化部、國家網際網路資訊辦公室等十六部門聯合印發《關於促進資料安全產業發展的指導意見》

【內容概述】2023年1月13日，工業和資訊化部、國家網際網路資訊辦公室等十六部門聯合印發《關於促進資料安全產業發展的指導意見》（以下簡稱《指導意見》），旨在推動資料安全產業高質量發展，提高各行業各領域資料安全保障能力，加速資料要素市場培育和價值釋放。《指導意見》提出了促進資料安全產業發展的九個方面、十九條具體指導意見，明確了以下兩方面內容。

一方面，《指導意見》對事關資料安全產業發展的重要基礎性問題進行了明確。一是明確資料安全產業的基本內涵。即“資料安全產業是為保障資料持續處於有效保護、合法利用、有序流動狀態提供技術、產品和服務的新興業態”。二是明確資料安全產業的發展目標。《指導意見》對於資料安全產業發展目標從定量與定性、近期和遠期相結合的角度給出了設定。僅從產業總規模這一指標來看，到2025年實現1500億元、複合增長率30%的發展目標。另一方面，《指導意見》進一步闡明瞭如何構建資料安全產業體系和能力的問題。一是明確了資料安全產業的基本體系。《指導意見》提出了資料安全產業發展的七大項重點任務，其中前四項任務（創新、服務、標準、應用）側重於產業體系的構建。二是明確了資料安全產業的發展要素。《指導意見》提出的資料安全產業發展七項重點任務的後三項，即產業生態、人才資源、國際合作，則是側重於從要素層面佈局推進資料安全產業的發展。

原文連結：

http://www.cac.gov.cn/2023-01/14/c_1675346873856103.htm

【導讀分析】《指導意見》的出臺，正值“資料二十條”的釋出契機，是我國資料安全政策法規體系的重要組成部分，是加速落實完善資料安全產業體系和能力的重大政策舉措。不僅進一步豐富了資料安全產業的基礎理論，更明確了資料安全產業的體系和要素，必將為資料安全供給側的企業發展賦予強大動能。

對行業來說，可重點開展三方面工作。一是強化產品創新，結合《指導意見》明確的創新需求，重點圍繞新計算模式、新網路架構和新應用場景等資料安全需求加強創新，持續完善自身資料安全技術產品體系。二是強化服務創新，結合《指導意見》提出的資料安全服務需求，重點強化規劃諮詢、建設運維、檢測評估與認證、權益保護、違約鑑定等服務。三是強化基礎要素保障，擴充企業現有產學研用合作攻關平臺建設、加大資料安全實戰人才培養和選拔等。

附錄：2023年1月國內外重要政策一覽表