欧洲议会和理事会(EU)2016年第1148号指令
作者:管理员    发布于:2017-01-04 13:50:40    文字:【】【】【

201676

欧盟范围内关于建立高水平网络和信息系统安全性的措施

欧洲议会和欧盟理事会,

考虑到该条约对欧洲联盟的运作,特别是第114条,

考虑到该建议来自欧盟委员会,

立法草案的递交至国家议会后,

考虑到欧洲经济和社会委员会的意见 (1

参照一般立法程序执行 (2

鉴于:

1

网络与信息系统及其服务在社会中发挥至关重要的作用。它们的可靠性和安全性不仅是至关重要的经济和社会活动,更加关系到内部市场的运作。

 

2

安全事故的幅度,频率和影响不断增加,并且对网络和信息系统的运作构成了重大威胁。这些系统也可能成为旨在故意损害、破坏或中断系统的操作为行动目标。这些安全事件会阻碍经济活动的正常运作,造成大量的经济损失,降低了用户的信心,并导使联盟经济遭受重大损失。

 

3

网络和信息系统,特别是互联网,在促进货物,服务和人员的跨境流动中起到了至关重要的作用。由于其跨国性质,相关系统的破坏,无论是有意还是无意,也不管它们发生在哪里,都会影响到个别成员国或欧盟共同体的利益。因此,网络和信息系统的安全性对内部市场的平稳运行至关重要。

 

4

应建立支持和促进关于网络和信息系统的安全成员国之间的战略合作,促进良好的关于原则在内的政策立法讨论和交流,并且为应对欧洲网络危机,合作并开发建设包括各个成员国在内的欧洲论坛,并成立一个由成员国和委员会代表组成的合作小组,即“欧盟机构网络与信息安全局”(ENISA)。该机构需要具有必要的包容性,至关重要的是,所有成员国都具备最低限度的能力和战略来保障在其领土范围内较高水平的网络和信息系统的安全性。此外,安全性和布告要求应该适用于基本服务运营商和数字服务提供商,以此促进风险管理行为的养成,并确保最严重事件的报告。

 

5

在确立高水平的联盟网络和信息系统的安全性方面,现有的准备和能力是不充分的。由于各成员国有不同程度的准备,导致了联盟中各自为政的局面。这必然导致消费者和企业的保护层面的不平等分布,并降低了联盟内的网络和信息系统安全的整体水平。基础服务的缺乏反过来就导致无法建立一个全球性的有效机制来满足欧盟范围内数字服务提供商运营商的共同要求。大学和研究中心刺激了该领域的开发和创新,并发挥了决定性的作用。

 

6

因此,为有效应对网络与信息系统的安全性带来的挑战,需要在欧盟范围内建立一个涵盖一般情况下最低建设和规划要求的全球性的机制,与数字服务提供商运营商进行共同的安全需求信息,合作和基本服务交换。然而,基本服务与数字服务提供商、运营商都没有落实任何超过该指令所规定的更为严格的保安措施。

 

7

为应对所有相关的事件和风险,本指令应适用于包括运营商在内的基本服务和数字服务供应商。然而,2002年欧洲议会和理事会的2002/ 21 / EC号法规  (3,受该指令规定的具体的安全性和完整性的要求,基本服务和数字服务提供商和运营商的义务,不适用于事业指令所指提供公共通信网络或公众提供电子通信服务,根据欧洲议会(EUNo 910/2014号法规所规定的安全要求,也不应适用于欧洲议会和理事会内部的任何服务提供商 (4

 

8

该指令不应妨碍每一个会员国采取必要措施,以确保其安全的基本利益的保护以及维护其公共政策和公共的安全所可能采取的行为,并允许对犯罪行为进行调查,侦查和起诉。按照欧盟(TFEU)职能第346条规定,任何成员国在其认为某项信息是违背本国基本安全利益时,没有义务对该项信息进行披露。在此背景下,欧盟理事会颁布了第2013/488/EU号决议和不披露协议或非正式保密协议,如交通灯协议,都具有相关性。

 

9

某些经济部门已经或可能在未来通过监管对网络和信息系统的安全规则以及行业部门联合法案加以规范。当这些联盟法案中的条款中包含有关网络与信息系统或事件通知的安全要求时,是在指令中也实际包含有在相应的,至少应当适用于这些规定的义务。由此,各成员国的,有本法规定不适用于该指令的基本服务运营商应申请适用于这样的部门法,包括有关管辖的规定。在此背景下,根据特别法的规定,各会员国应向委员会提供相关材料进行申请,以该联合法案的要求是否符合包括本指令在内的欧盟联合法案的要求,确保网络与信息系统的安全性,规定并通知其在成员国的适用。

 

10

在水路运输方面,根据欧盟行业部门法及相关法律的规定,公司,船舶,港口设施,港口和船舶交通服务的安全性要求应当覆盖包括广播和通信系统,计算机系统和网络等方面的业务。应遵循的一部分强制性的程序,包括对所有事件的报告,因此应被视为特别法,这些要求至少要与本指令的相关规定相一致。

 

11

在确定在水运部门经营者时,各成员国应考虑到现有和未来的国际海事组织特别规定的国际法规和准则,与提供单独的海运经营者相互协调。

 

12

银行和金融市场基础设施的行业管理和监督,应当根据欧洲监管部门共同开发的初级和次级联盟的法律和标准,其管理权和监督权应当高度统一在联盟一级。在(欧盟区)银行业联盟中,其应用和监督应由单一的监督机制来保证。对于不属于银行业联盟的部分成员国,则由成员国相关银行监管保证。在金融部门监管的其他领域,欧洲金融监管体系也监管实践中保证了高度的共性和收敛。欧洲证券及市场管理局还对某些实体进行直接监管,即信用评级机构和交易信息库。

 

13

操作风险是审慎监管银行和金融市场基础设施行业的重要组成部分。它涵盖了包括安全性,完整性以及网络和信息系统的抗灾能力在内的所有操作。就该系统而言,这些系统往往超出本指令所规定的法规的要求,具体载于一些联盟法案中,其中包括:对信贷机构活动和信贷机构投资的审慎监管规则和访问规则; 在市场金融工具方面,包括关于为投资公司和监管市场进行风险评估的要求的市场规则; 在场外交易(OTC)衍生品方面,有中央交易对手方和交易信息库,其中包括作为中央交易对手方和交易信息库操作风险要求的规则; 并提高在联盟和中央的证券存管,其中包括有关操作风险要求的证券结算规则。此外,时间通告要求是金融部门监管的正常做法的一部分,通常在监管手册中有体现。成员国应在适用该特别法时充分考虑这些规则和要求。

 

14

正如欧洲央行在其2014725日的意见中所指出(6,根据欧洲联盟的相关法律,该指令对欧元体系的监督是在不影响其支付和结算系统的前提下进行的。这将会促使本指令规定的监管当局与主管机关就网络与信息系统的安全性问题进行经验交流。该方式可同样参考适用于欧盟区中央银行的非欧元区成员国的国家法律,在法规的基础上,行使支付和结算系统的监督权。

 

15

在线市场是允许消费者和贸易商签订网上销售合同或者劳务合同的交易方式,并且是缔结契约的最终目的地。它不应该只涵盖中介作用,即作为第三方服务,通过该合同最终得出最终结论。因此,它不应涵盖在线服务,从不同的商家比较具体的产品或服务的价格,然后将用户重定向到的最优选择的商家购买产品。计算机网络市场提供的服务包括交易处理,数据或用分析聚合。应用商店作为运营网上商店的应用程序或第三方软件程序被行,可理解为是一种在线市场的。

 

16

在线搜索引擎,用户可以在查询的基础上进行的任何主题的搜索,原则上包括所有的网站,在集中搜索某种特定语言的网站时则是可替代的。本指令规定,不管搜索功能是否由外部搜索引擎提供搜索功能在线搜索引擎的定义不应被限定于特定的网站内容。同样也不应涵盖的在线服务,从不同的交易员比较具体的产品或服务的价格,然后将用户重新定向到的优选的商家购买产品。

 

17

云计算服务涵盖范围广,其可以根据不同的模式进行分类。该指令中,术语云计算服务所覆盖的服务,指允许目的性的访问和共享扩展性和弹性池的计算资源。这些计算资源包括:网络资源,服务器或其它基础设施资源,存储资源,应用程序资源和服务资源等。术语可扩展的是指计算被云服务提供商进行灵活分配的资源,以此在不考虑该资源的地理位置时处理需求的波动。术语弹性池则具体指根据工作负载需求,迅速增加或减少对可用计算资源的提供和释放。共享的术语是用来描述提供给多个用户接入和共享公共服务的计算资源,但在这里,虽然服务是从相同的电子设备提供的,处理工作则是对每个用户分别进行的。

版权所有 Copyright(C)2013-2020 中国信息安全法律网 陕ICP备14009571号
访问统计