欧盟网络安全产业分析
摘 要:1994 年,欧盟宣布建设“信息高速公路”,拉开数字化发展的序幕,同时也是欧盟网络安全产业发展的萌芽期。此后,欧盟相继出台一系列网络安全战略顶层文件和法律法规,推动了欧盟网络安全产业蓬勃发展。为提供一个较为全面、清晰的欧盟网络安全产业全景图,首先,回顾了欧盟网络安全战略的发展历程,梳理了近十年欧盟发布的主要网络安全政策法规;其次,选取了典型的政策法规进行剖析;最后,介绍了欧盟网络安全组织架构与市场格局。
内容目录:
1 欧盟网络安全战略历程
2 欧盟网络安全政策法规
2.1 《电子识别和信任服务条例》
2.2 《支付服务指令(第二版)》
2.3 NIS 指令系列
3 欧盟主要的网络安全机构
3.1 ENISA
3.2 欧盟委员会
3.3 欧洲数据保护委员会
3.4 欧盟成员国自设的网络安全机构
4 欧盟网络安全产业格局
4.1 市场概况
4.2 驱动因素
4.3 细分市场
4.4 发展预测
5 结 语
随着网络信息技术与经济社会的深度融合,个人、组织和国家不可避免面临网络安全风险,网络攻击威胁政府、机构和关键基础设施的安全,导致个人敏感信息泄露。
欧盟各国充分认识到网络安全问题的严峻性,同时认为,全球数字化趋势将创造出一个更加脆弱的网络社会,尤其是 COVID-19 危机加剧了社会的数字化转型,扩大了威胁范围,带来了新的挑战,必须采取更具适应性和创新性的应对措施才能降低欧盟的网络安全风险。
虽然英国在 2020 年 1 月 31 日正式脱欧,但鉴于英国目前仍是欧洲地区网络安全产业的主导者,长期以来英国与欧盟网络安全产业密不可分,故本文所指的欧盟网络安全产业包括了英国网络安全产业在内。
1欧盟网络安全战略历程
1994 年,欧盟宣布建设“信息高速公路”,其实质是推动数字化发展和促进信息通信技术的应用,目的是加强欧盟内部协调、促进各国网络基础设施建设。欧盟网络安全产业发展与数字化转型相伴相随。此后,欧盟密集发布相关网络安全战略。
2007 年,欧盟委员会通过《关于建立欧洲信息社会安全战略的决议》,宣布制定欧盟层面网络安全战略。与此同时,欧盟各成员国相继推出本国网络安全战略,2009 年,英国颁布国家网络安全战略;2011 年,德国颁布国家网络安全战略。这一时期,欧盟网络安全战略发布明显加速。
2012 年 5 月, 欧 盟 网 络 与 信 息 安 全 局(European Union Agency for Cybersecurity,ENISA)发布《国家网络安全策略——为加强网络空间安全的国家努力设定线路》。ENISA 是欧盟议会和理事会在 2004/EC 号指令中明确设立的机构。其使命是促进和支持欧盟成员国之间的合作,以提高网络和信息安全水平,维护欧盟网络和信息基础设施的安全。
2013 年,《欧盟网络安全战略——开放、安全的网络空间》正式发布,确定了欧盟网络安全治理指导原则,明确了国家权责,制定了网络防御政策,在这个共同的防御框架下,优先加强网络抗打击能力,在欧盟内建立一个“开放、自由、安全”的网络空间。进一步,需要制定国际网络空间战略,加强网络安全跨国界合作和信息交流,发展网络安全领域的技术和产业,打击网络犯罪。
2016 年 7 月,欧洲议会全体会议通过《网络与信息系统安全指令》(Directive on Security of Network and Information Systems)(以下简称《NIS 指令》),要求成员国采取措施,确保关键基础设施的网络安全,并建立国家网络安全战略和协调机构。这是欧盟首部网络安全指导性法律。《NIS 指令》(包括《NIS2 指令》)对欧盟网络安全发展发挥着极其重要的作用,作为实质上的欧盟网络安全法,有必要在欧盟网络安全战略历程中提及。
2020年,欧洲议会和理事会发布联合通报《欧盟数字十年网络安全战略》,这是欧盟致力于推动数字化转型并提高网络安全的重要倡议之一。其指出,欧盟应该推动制定世界级解决方案的标准和规范,以及基本服务和关键基础设施的网络安全标准,推进新技术的研发和应用。
2022 年 3 月,欧盟理事会通过“关于加强欧盟网络安全”的政治宣言,同年 6 月,建立了针对欧盟及其合作伙伴的网络威胁协调应对框架,明确成员国和相关行为体的职责,整合政策和工具,以更协调、有效的方式应对新型网络威胁。
2欧盟网络安全政策法规
初步统计,欧盟自 1992 年以来已经发布数十部事关网络安全的政策法规,表 1 列出了近十年欧盟发布的主要网络安全政策法规。
以下对《支付服务指令(第二版)》(Payment Services II Directive,PSD2)《电子识别和信任服务条例》《NIS 指令》更新和修订情况进行介绍。
表 1 近十年欧盟发布的主要的网络安全政策法规
2.1 《电子识别和信任服务条例》
《电子识别和信任服务条例》为欧洲电子身份识别和信任服务设定标准,于 2016 年 7 月生效,2021 年进行修订。
主要内容如下:
(1)欧盟成员国有必要建立通用识别框架,确保用户身份的真实性和安全性,尤其是在进行跨境业务时更需如此。
(2)在集中式签名框架内为用户提供清晰易懂的信任服务列表,各利益相关方能够通过相同的网络安全技术和工具进行对话。
2.2 《支付服务指令(第二版)》
《支付服务指令(第二版)》针对信用、支 付 和 电 子 货 币 机 构。2015 年 12 月 23 日,PSD2 在欧盟官方期刊上发布,PSD2 取代的是自2007 年以来实施的 PSD。
主要内容如下:
(1)创建一个安全接口,允许第三方提供商访问银行客户的支付账户信息。
(2)建立新客户端身份验证规则。
2019 年 3 月,欧盟对 PSD2 进行更新,主要内容包括:对支付服务提供商提出要求,服务提供商需要向第三方提供商提供访问接口(无论是专用接口还是用户接口)的技术规范,为对软件和其他面向用户的应用程序进行安全试验,还需提供测试设备和工具。为了促进这一点,欧盟委员会提议成立一个应用程序编程接口评估小组,以创建和评估标准化的应用程序接口规范。
2.3 NIS 指令系列
《NIS 指令》是欧盟应对未来不断增长的网络和信息系统网络安全威胁而制定的法律法规。《NIS 指令》的目标是提高欧洲网络和信息系统的弹性,保护公民、企业、机构的隐私和敏感信息,维护数字经济和数字基础设施的稳定和安全。《NIS 指令》强调,各成员国需要禁止对网络和信息系统进行未经授权的访问、干扰和破坏;需要建立专门机构监测、检测和应对网络安全威胁;需要建立信息共享机制,以便各成员国之间快速分享网络安全威胁情报。
主要内容如下:
(1)指定“一个或多个国家主管部门”来监督指令的实施和遵守情况。
(2)建立与其他会员国的“单一联络点”。
(3)建立网络安全事件响应团队。
2022 年 12 月,欧洲议会和理事会通过《NIS2指令》,废除原版《NIS 指令》(以下称旧指令)。尽管旧指令已经强调欧盟各成员国之间要开展紧密合作,但实际中仍存在不少与政策法规不符之处,对欧盟网络安全事件应急响应能力造成负面影响。
《NIS2 指令》主要修订内容包括:
(1)降低信息和通信技术供应链网络安全风险。
(2)引入两步程序来报告重大安全漏洞。
(3)建立欧盟层面的网络危机联络组织。
(4)增加 ENISA 在其职权范围内的责任。
3欧盟主要的网络安全机构
3.1 ENISA
ENISA 负责欧盟网络和信息安全,其任务是促进欧洲范围内的网络安全合作,为保护欧洲的网络和信息系统免受各种威胁,向各成员国提供技术支持和专业建议。
ENISA 内部分工为:
(1)管理层:包括执行董事、副执行董事
和技术委员会。执行董事负责日常管理和决策,副执行董事协助执行董事管理和监督 ENISA 的日常运作,技术委员会则提供专业意见和建议。
(2)部门和单位:为支持核心任务和功能完成,ENISA 下设几个部门。这些部门包括:
①策略与协调部门:负责制定和协调网络安全政策。
②技术部门:负责研发网络安全技术解决方案,并提供技术咨询服务。
③沟通与合作部门:负责与欧盟成员国、利益相关者及其他机构保持紧密联系,促进信息共享和合作。
④运营与支撑部门:负责 ENISA 的日常运营和行政事务。
(3)专家组和工作小组:由来自成员国和欧盟其他机构的网络安全专家组成。这些专家组在特定领域提供技术指导和支持,例如网络安全标准、应急响应、信息共享等方面。
3.2 欧盟委员会
欧盟委员会负责欧盟的政策和法规制定。网络安全方面,委员会通过制定相关政策和指导文件推动欧洲范围内的网络安全发展。
欧盟委员会内部设立总司,与网络安全相关的有:
(1)通信网络、内容和技术总司:负责制定和推动欧盟的数字化战略、网络安全政策及相关的法规和标准。
(2)贸易总司:负责处理欧盟与其他国家之间的贸易关系,其中包括处理数字贸易和数据传输方面的网络安全和数据安全问题。
(3)欧洲刑事司法合作总司:负责处理欧盟内部的司法和消费者事务,其中包括网络犯罪和网络安全方面的合作和立法。
这些部门在欧盟委员会中发挥关键作用,各司其职制定相关政策、法规和标准,共同推动欧盟网络安全发展。
3.3 欧洲数据保护委员会
欧洲数据保护委员会是欧盟设立的独立机构,由欧盟成员国的数据保护监管机构组成,主要职责是促进和确保欧盟内部对个人数据保护一致性,具体包括:就数据保护问题提供指导和建议、促进欧盟成员国之间的合作和协调、解决成员国之间可能出现的跨境数据保护纠纷。
3.4 欧盟成员国自设的网络安全机构
在国家层面上,欧盟成员国自身设立了网络安全机构,以确保本国网络安全。这些机构设置方式可能因国家而异,通常负责监督和维护本国网络和信息系统安全,推动国家网络安全政策的制定,并提供相关技术支持和培训。
4欧盟网络安全产业格局
4.1 市场概况
欧洲地区是许多世界领先科技公司的所在地,也是国际贸易和金融的中心枢纽,其面临的络安全威胁突出。这些威胁包括:国家支持的网络攻击、网络犯罪和黑客行动主义等。泛在的网络安全威胁针对了各个行业,包括金融服务、医疗保健和关键基础设施等。由于网络安全威胁的增加,推动了各行业对网络安全解决方案和服务的需求,推动了欧盟蓬勃的网络安全产业形成。
4.2 驱动因素
推动欧盟网络安全市场蓬勃发展的几个方面的因素:一是 2016 发布的《通用数据保护条例》,进一步加强了欧洲社会对网络安全的关注,要求采取更严格的数据安全要求和措施;二是以政府为代表的市场需求方提供的网络安全项目数量和体量不断增加;三是欧洲社会深刻认识到网络安全的重要性。
此外,欧洲的熟练劳动力为不断增长的网络安全市场规模做出了贡献。一名娴熟的网络安全专业人员能够高效顺畅地实现网络安全解决方案,避免公司或组织因为遭受网络攻击而承担巨大经济损失,这种正向的示范效应推动了市场规模增长。
4.3 细分市场
按照行业分类,欧盟网络安全市场可分为IT 电信、银行金融保险业、医疗保健、零售、汽车等。银行金融保险业是网络犯罪分子的主要目标,相关公司被要求必须按照 GDPR 和 PSD2等法规要求,采取更加强有力的网络安全措施。
按照产品分类,欧盟网络安全市场可分为物联网(Internet of Things,IoT)设备、个人电脑、移动 / 网络、互联网电视、可穿戴设备和互联网汽车等。目前许多欧洲消费者已经认识到可穿戴设备的重要性,对其接受程度越来越高,尤其在德国、英国、法国和意大利等采用 IoT 和互联网设备较多的国家,IoT 和互联网设备网络安全市场正在快速崛起。
4.4 发展预测
数字化转型推动了新兴技术的广泛使用,带来新的网络安全风险。网络威胁的增加又推动了各行业对网络安全解决方案和服务的需求增加。欧盟网络安全市场发展与数字化转型密切相关,随着欧盟数字化发展深入,欧盟网络安全市场规模将进一步扩大。据 Mordor Intelligence 公司预测,欧盟网络安全市场规模将从 2023 年的324.3 亿美元增长到 2028 年的 577.5 亿美元,预测期内(2023—2028 年)复合年增长率为 12.23%。
5结 语
欧盟网络安全产业的繁荣与数字化转型相伴相随。欧盟通过实施一系列旨在保护网络安全和个人隐私数据安全的战略法规,促进了网络安全产业发展。
总结来看,欧盟普遍采取的网络安全措施包括几个方面:一是致力于建立强大的网络安全防御能力,以应对不断升级演变的网络威胁攻击;二是强调欧盟各国需要共同应对跨国网络威胁,倡导成员国间加强密切的合作协同;三是高度重视全社会网络安全意识提升,并通过加强教育培训强化网络安全技能;四是强调保护个人数据和隐私,尤其《通用数据保护条例》的实施强化了这一要求;五是加强网络安全技术的创新与研发,通过开展例如“地平线欧洲”等创新计划,为网络安全技术创新提供资金支持。
这些措施的持续推进,或使欧盟网络安全产业呈现一个更加繁荣的未来。
作者:蒋秦芹、张 玲
选自《信息安全与通信保密》2023年第12期
等保测评咨询
