2024年1月7日,欧盟《网络安全条例》(“Cybersecurity Regulation”,Regulation (EU, Euratom) 2023/2841,以下简称“《条例》”)生效。
该《条例》符合《欧盟安全联盟战略》(“EU Security Union Strategy”)和《欧盟网络安全战略》(“EU Cybersecurity Strategy”)所设定的政策目标,并与《NIS2指令》(Directive on measures for a high common level of cybersecurity across the Union)、《网络安全法》(Regulation (EU) 2019/881)及“关于协调应对大规模网络安全事件和风险的委员会建议”(Commission Recommendation (EU) 2017/1584)中的相关立法举措保持一致,旨在为确保欧盟各机构、机关、办事处、部门(institutions, bodies, offices and agencies,以下统称为“实体”)采取共同的网络安全规则和措施搭建框架,以进一步提高欧盟各实体的恢复能力和事件响应能力。
《条例》正文共六章26条,适用于网络安全服务机构(CERT-EU)、机构间网络安全委员会(Interinstitutional Cybersecurity Board ,IICB)及欧盟各实体,关键内容主要包括:
将CERT-EU从“欧盟计算机应急响应组织”(Computer Emergency Response Team for the EU institutions, bodies and agencies)更名为“网络安全服务机构”(Cybersecurity Service for the Union institutions, bodies, offices and agencies),但保留“CERT-EU”的短名称,加强CERT-EU的任务,CERT-EU将成为威胁情报、信息交换和事件响应的协调中心,以及中央咨询机构和服务提供者;
设立IICB,以推动和监测《条例》的实施,并指导CERT-EU的工作;
要求欧盟各实体:
在进行审计等初步网络安全审查后,于2025年4月8日前,建立网络安全风险管理、治理和控制框架,并至少每四年一次根据不断变化的网络安全风险审查该框架;
在2025年7月8日前进行网络安全成熟度评估,并确保在此之后定期(至少每两年一次)进行;
在2025年9月8日前,采取适当和相称的技术、操作和组织措施管理框架下确定的网络安全风险,防止或尽量减少网络安全事件的影响;
在2026年1月8日前,制定改善其网络安全的计划,并由其领导层批准;
应CERT-EU要求,根据《条例》安排向其提供网络安全相关信息,并在发生重大安全事件时,向CERT-EU报告。
下一步,IICB将尽快成立并投入运营。根据《条例》安排,IICB需在2024年9月8日前向欧盟各实体发布指导方针,以使其落实《条例》义务。


























欧盟《网络安全条例》生效,要求建立风险管理框架
作者:中伦数据团队来源:中伦数据团队

2024年1月7日,欧盟《网络安全条例》(“Cybersecurity Regulation”,Regulation (EU, Euratom) 2023/2841,以下简称“《条例》”)生效。