摘 要：1994 年，歐盟宣布建設(shè)“信息高速公路”，拉開數(shù)字化發(fā)展的序幕，同時也是歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的萌芽期。此后，歐盟相繼出臺一系列網(wǎng)絡(luò)安全戰(zhàn)略頂層文件和法律法規(guī)，推動了歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)蓬勃發(fā)展。為提供一個較為全面、清晰的歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)全景圖，首先，回顧了歐盟網(wǎng)絡(luò)安全戰(zhàn)略的發(fā)展歷程，梳理了近十年歐盟發(fā)布的主要網(wǎng)絡(luò)安全政策法規(guī)；其次，選取了典型的政策法規(guī)進(jìn)行剖析；最后，介紹了歐盟網(wǎng)絡(luò)安全組織架構(gòu)與市場格局。

內(nèi)容目錄：
1 歐盟網(wǎng)絡(luò)安全戰(zhàn)略歷程
2 歐盟網(wǎng)絡(luò)安全政策法規(guī)
2.1 《電子識別和信任服務(wù)條例》
2.2 《支付服務(wù)指令（第二版）》
2.3 NIS 指令系列
3 歐盟主要的網(wǎng)絡(luò)安全機(jī)構(gòu)
3.1 ENISA
3.2 歐盟委員會
3.3 歐洲數(shù)據(jù)保護(hù)委員會
3.4 歐盟成員國自設(shè)的網(wǎng)絡(luò)安全機(jī)構(gòu)

4 歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)格局

4.1 市場概況

4.2 驅(qū)動因素
4.3 細(xì)分市場
4.4 發(fā)展預(yù)測
5 結(jié) 語

隨著網(wǎng)絡(luò)信息技術(shù)與經(jīng)濟(jì)社會的深度融合，個人、組織和國家不可避免面臨網(wǎng)絡(luò)安全風(fēng)險，網(wǎng)絡(luò)攻擊威脅政府、機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施的安全，導(dǎo)致個人敏感信息泄露。

歐盟各國充分認(rèn)識到網(wǎng)絡(luò)安全問題的嚴(yán)峻性，同時認(rèn)為，全球數(shù)字化趨勢將創(chuàng)造出一個更加脆弱的網(wǎng)絡(luò)社會，尤其是 COVID-19 危機(jī)加劇了社會的數(shù)字化轉(zhuǎn)型，擴(kuò)大了威脅范圍，帶來了新的挑戰(zhàn)，必須采取更具適應(yīng)性和創(chuàng)新性的應(yīng)對措施才能降低歐盟的網(wǎng)絡(luò)安全風(fēng)險。

雖然英國在 2020 年 1 月 31 日正式脫歐，但鑒于英國目前仍是歐洲地區(qū)網(wǎng)絡(luò)安全產(chǎn)業(yè)的主導(dǎo)者，長期以來英國與歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)密不可分，故本文所指的歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)包括了英國網(wǎng)絡(luò)安全產(chǎn)業(yè)在內(nèi)。

1歐盟網(wǎng)絡(luò)安全戰(zhàn)略歷程

1994 年，歐盟宣布建設(shè)“信息高速公路”，其實質(zhì)是推動數(shù)字化發(fā)展和促進(jìn)信息通信技術(shù)的應(yīng)用，目的是加強(qiáng)歐盟內(nèi)部協(xié)調(diào)、促進(jìn)各國網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展與數(shù)字化轉(zhuǎn)型相伴相隨。此后，歐盟密集發(fā)布相關(guān)網(wǎng)絡(luò)安全戰(zhàn)略。

2007 年，歐盟委員會通過《關(guān)于建立歐洲信息社會安全戰(zhàn)略的決議》，宣布制定歐盟層面網(wǎng)絡(luò)安全戰(zhàn)略。與此同時，歐盟各成員國相繼推出本國網(wǎng)絡(luò)安全戰(zhàn)略，2009 年，英國頒布國家網(wǎng)絡(luò)安全戰(zhàn)略；2011 年，德國頒布國家網(wǎng)絡(luò)安全戰(zhàn)略。這一時期，歐盟網(wǎng)絡(luò)安全戰(zhàn)略發(fā)布明顯加速。

2012 年 5 月， 歐 盟 網(wǎng) 絡(luò) 與 信 息 安 全 局（European Union Agency for Cybersecurity，ENISA）發(fā)布《國家網(wǎng)絡(luò)安全策略——為加強(qiáng)網(wǎng)絡(luò)空間安全的國家努力設(shè)定線路》。ENISA 是歐盟議會和理事會在 2004/EC 號指令中明確設(shè)立的機(jī)構(gòu)。其使命是促進(jìn)和支持歐盟成員國之間的合作，以提高網(wǎng)絡(luò)和信息安全水平，維護(hù)歐盟網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施的安全。

2013 年，《歐盟網(wǎng)絡(luò)安全戰(zhàn)略——開放、安全的網(wǎng)絡(luò)空間》正式發(fā)布，確定了歐盟網(wǎng)絡(luò)安全治理指導(dǎo)原則，明確了國家權(quán)責(zé)，制定了網(wǎng)絡(luò)防御政策，在這個共同的防御框架下，優(yōu)先加強(qiáng)網(wǎng)絡(luò)抗打擊能力，在歐盟內(nèi)建立一個“開放、自由、安全”的網(wǎng)絡(luò)空間。進(jìn)一步，需要制定國際網(wǎng)絡(luò)空間戰(zhàn)略，加強(qiáng)網(wǎng)絡(luò)安全跨國界合作和信息交流，發(fā)展網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)和產(chǎn)業(yè)，打擊網(wǎng)絡(luò)犯罪。

2016 年 7 月，歐洲議會全體會議通過《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》（Directive on Security of Network and Information Systems）（以下簡稱《NIS 指令》），要求成員國采取措施，確保關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，并建立國家網(wǎng)絡(luò)安全戰(zhàn)略和協(xié)調(diào)機(jī)構(gòu)。這是歐盟首部網(wǎng)絡(luò)安全指導(dǎo)性法律?！禢IS 指令》（包括《NIS2 指令》）對歐盟網(wǎng)絡(luò)安全發(fā)展發(fā)揮著極其重要的作用，作為實質(zhì)上的歐盟網(wǎng)絡(luò)安全法，有必要在歐盟網(wǎng)絡(luò)安全戰(zhàn)略歷程中提及。

2020年，歐洲議會和理事會發(fā)布聯(lián)合通報《歐盟數(shù)字十年網(wǎng)絡(luò)安全戰(zhàn)略》，這是歐盟致力于推動數(shù)字化轉(zhuǎn)型并提高網(wǎng)絡(luò)安全的重要倡議之一。其指出，歐盟應(yīng)該推動制定世界級解決方案的標(biāo)準(zhǔn)和規(guī)范，以及基本服務(wù)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，推進(jìn)新技術(shù)的研發(fā)和應(yīng)用。

2022 年 3 月，歐盟理事會通過“關(guān)于加強(qiáng)歐盟網(wǎng)絡(luò)安全”的政治宣言，同年 6 月，建立了針對歐盟及其合作伙伴的網(wǎng)絡(luò)威脅協(xié)調(diào)應(yīng)對框架，明確成員國和相關(guān)行為體的職責(zé)，整合政策和工具，以更協(xié)調(diào)、有效的方式應(yīng)對新型網(wǎng)絡(luò)威脅。

2歐盟網(wǎng)絡(luò)安全政策法規(guī)

初步統(tǒng)計，歐盟自 1992 年以來已經(jīng)發(fā)布數(shù)十部事關(guān)網(wǎng)絡(luò)安全的政策法規(guī)，表 1 列出了近十年歐盟發(fā)布的主要網(wǎng)絡(luò)安全政策法規(guī)。

以下對《支付服務(wù)指令（第二版）》（Payment Services II Directive，PSD2）《電子識別和信任服務(wù)條例》《NIS 指令》更新和修訂情況進(jìn)行介紹。

表 1　近十年歐盟發(fā)布的主要的網(wǎng)絡(luò)安全政策法規(guī)

2.1 《電子識別和信任服務(wù)條例》

《電子識別和信任服務(wù)條例》為歐洲電子身份識別和信任服務(wù)設(shè)定標(biāo)準(zhǔn)，于 2016 年 7 月生效，2021 年進(jìn)行修訂。

主要內(nèi)容如下：

（1）歐盟成員國有必要建立通用識別框架，確保用戶身份的真實性和安全性，尤其是在進(jìn)行跨境業(yè)務(wù)時更需如此。

（2）在集中式簽名框架內(nèi)為用戶提供清晰易懂的信任服務(wù)列表，各利益相關(guān)方能夠通過相同的網(wǎng)絡(luò)安全技術(shù)和工具進(jìn)行對話。

2.2 《支付服務(wù)指令（第二版）》

《支付服務(wù)指令（第二版）》針對信用、支 付 和 電 子 貨 幣 機(jī) 構(gòu)。2015 年 12 月 23 日，PSD2 在歐盟官方期刊上發(fā)布，PSD2 取代的是自2007 年以來實施的 PSD。

主要內(nèi)容如下：

（1）創(chuàng)建一個安全接口，允許第三方提供商訪問銀行客戶的支付賬戶信息。

（2）建立新客戶端身份驗證規(guī)則。

2019 年 3 月，歐盟對 PSD2 進(jìn)行更新，主要內(nèi)容包括：對支付服務(wù)提供商提出要求，服務(wù)提供商需要向第三方提供商提供訪問接口（無論是專用接口還是用戶接口）的技術(shù)規(guī)范，為對軟件和其他面向用戶的應(yīng)用程序進(jìn)行安全試驗，還需提供測試設(shè)備和工具。為了促進(jìn)這一點，歐盟委員會提議成立一個應(yīng)用程序編程接口評估小組，以創(chuàng)建和評估標(biāo)準(zhǔn)化的應(yīng)用程序接口規(guī)范。

2.3　NIS 指令系列

《NIS 指令》是歐盟應(yīng)對未來不斷增長的網(wǎng)絡(luò)和信息系統(tǒng)網(wǎng)絡(luò)安全威脅而制定的法律法規(guī)。《NIS 指令》的目標(biāo)是提高歐洲網(wǎng)絡(luò)和信息系統(tǒng)的彈性，保護(hù)公民、企業(yè)、機(jī)構(gòu)的隱私和敏感信息，維護(hù)數(shù)字經(jīng)濟(jì)和數(shù)字基礎(chǔ)設(shè)施的穩(wěn)定和安全。《NIS 指令》強(qiáng)調(diào)，各成員國需要禁止對網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問、干擾和破壞；需要建立專門機(jī)構(gòu)監(jiān)測、檢測和應(yīng)對網(wǎng)絡(luò)安全威脅；需要建立信息共享機(jī)制，以便各成員國之間快速分享網(wǎng)絡(luò)安全威脅情報。

主要內(nèi)容如下：

（1）指定“一個或多個國家主管部門”來監(jiān)督指令的實施和遵守情況。

（2）建立與其他會員國的“單一聯(lián)絡(luò)點”。

（3）建立網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊。

2022 年 12 月，歐洲議會和理事會通過《NIS2指令》，廢除原版《NIS 指令》（以下稱舊指令）。盡管舊指令已經(jīng)強(qiáng)調(diào)歐盟各成員國之間要開展緊密合作，但實際中仍存在不少與政策法規(guī)不符之處，對歐盟網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力造成負(fù)面影響。

《NIS2 指令》主要修訂內(nèi)容包括：

（1）降低信息和通信技術(shù)供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險。

（2）引入兩步程序來報告重大安全漏洞。

（3）建立歐盟層面的網(wǎng)絡(luò)危機(jī)聯(lián)絡(luò)組織。

（4）增加 ENISA 在其職權(quán)范圍內(nèi)的責(zé)任。

3歐盟主要的網(wǎng)絡(luò)安全機(jī)構(gòu)

3.1　ENISA

ENISA 負(fù)責(zé)歐盟網(wǎng)絡(luò)和信息安全，其任務(wù)是促進(jìn)歐洲范圍內(nèi)的網(wǎng)絡(luò)安全合作，為保護(hù)歐洲的網(wǎng)絡(luò)和信息系統(tǒng)免受各種威脅，向各成員國提供技術(shù)支持和專業(yè)建議。

ENISA 內(nèi)部分工為：

（1）管理層：包括執(zhí)行董事、副執(zhí)行董事

和技術(shù)委員會。執(zhí)行董事負(fù)責(zé)日常管理和決策，副執(zhí)行董事協(xié)助執(zhí)行董事管理和監(jiān)督 ENISA 的日常運作，技術(shù)委員會則提供專業(yè)意見和建議。

（2）部門和單位：為支持核心任務(wù)和功能完成，ENISA 下設(shè)幾個部門。這些部門包括：

①策略與協(xié)調(diào)部門：負(fù)責(zé)制定和協(xié)調(diào)網(wǎng)絡(luò)安全政策。

②技術(shù)部門：負(fù)責(zé)研發(fā)網(wǎng)絡(luò)安全技術(shù)解決方案，并提供技術(shù)咨詢服務(wù)。

③溝通與合作部門：負(fù)責(zé)與歐盟成員國、利益相關(guān)者及其他機(jī)構(gòu)保持緊密聯(lián)系，促進(jìn)信息共享和合作。

④運營與支撐部門：負(fù)責(zé) ENISA 的日常運營和行政事務(wù)。

（3）專家組和工作小組：由來自成員國和歐盟其他機(jī)構(gòu)的網(wǎng)絡(luò)安全專家組成。這些專家組在特定領(lǐng)域提供技術(shù)指導(dǎo)和支持，例如網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、應(yīng)急響應(yīng)、信息共享等方面。

3.2　歐盟委員會

歐盟委員會負(fù)責(zé)歐盟的政策和法規(guī)制定。網(wǎng)絡(luò)安全方面，委員會通過制定相關(guān)政策和指導(dǎo)文件推動歐洲范圍內(nèi)的網(wǎng)絡(luò)安全發(fā)展。

歐盟委員會內(nèi)部設(shè)立總司，與網(wǎng)絡(luò)安全相關(guān)的有：

（1）通信網(wǎng)絡(luò)、內(nèi)容和技術(shù)總司：負(fù)責(zé)制定和推動歐盟的數(shù)字化戰(zhàn)略、網(wǎng)絡(luò)安全政策及相關(guān)的法規(guī)和標(biāo)準(zhǔn)。

（2）貿(mào)易總司：負(fù)責(zé)處理歐盟與其他國家之間的貿(mào)易關(guān)系，其中包括處理數(shù)字貿(mào)易和數(shù)據(jù)傳輸方面的網(wǎng)絡(luò)安全和數(shù)據(jù)安全問題。

（3）歐洲刑事司法合作總司：負(fù)責(zé)處理歐盟內(nèi)部的司法和消費者事務(wù)，其中包括網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)安全方面的合作和立法。

這些部門在歐盟委員會中發(fā)揮關(guān)鍵作用，各司其職制定相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)，共同推動歐盟網(wǎng)絡(luò)安全發(fā)展。

3.3　歐洲數(shù)據(jù)保護(hù)委員會

歐洲數(shù)據(jù)保護(hù)委員會是歐盟設(shè)立的獨立機(jī)構(gòu)，由歐盟成員國的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)組成，主要職責(zé)是促進(jìn)和確保歐盟內(nèi)部對個人數(shù)據(jù)保護(hù)一致性，具體包括：就數(shù)據(jù)保護(hù)問題提供指導(dǎo)和建議、促進(jìn)歐盟成員國之間的合作和協(xié)調(diào)、解決成員國之間可能出現(xiàn)的跨境數(shù)據(jù)保護(hù)糾紛。

3.4　歐盟成員國自設(shè)的網(wǎng)絡(luò)安全機(jī)構(gòu)

在國家層面上，歐盟成員國自身設(shè)立了網(wǎng)絡(luò)安全機(jī)構(gòu)，以確保本國網(wǎng)絡(luò)安全。這些機(jī)構(gòu)設(shè)置方式可能因國家而異，通常負(fù)責(zé)監(jiān)督和維護(hù)本國網(wǎng)絡(luò)和信息系統(tǒng)安全，推動國家網(wǎng)絡(luò)安全政策的制定，并提供相關(guān)技術(shù)支持和培訓(xùn)。

4歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)格局

4.1　市場概況

歐洲地區(qū)是許多世界領(lǐng)先科技公司的所在地，也是國際貿(mào)易和金融的中心樞紐，其面臨的絡(luò)安全威脅突出。這些威脅包括：國家支持的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪和黑客行動主義等。泛在的網(wǎng)絡(luò)安全威脅針對了各個行業(yè)，包括金融服務(wù)、醫(yī)療保健和關(guān)鍵基礎(chǔ)設(shè)施等。由于網(wǎng)絡(luò)安全威脅的增加，推動了各行業(yè)對網(wǎng)絡(luò)安全解決方案和服務(wù)的需求，推動了歐盟蓬勃的網(wǎng)絡(luò)安全產(chǎn)業(yè)形成。

4.2　驅(qū)動因素

推動歐盟網(wǎng)絡(luò)安全市場蓬勃發(fā)展的幾個方面的因素：一是 2016 發(fā)布的《通用數(shù)據(jù)保護(hù)條例》，進(jìn)一步加強(qiáng)了歐洲社會對網(wǎng)絡(luò)安全的關(guān)注，要求采取更嚴(yán)格的數(shù)據(jù)安全要求和措施；二是以政府為代表的市場需求方提供的網(wǎng)絡(luò)安全項目數(shù)量和體量不斷增加；三是歐洲社會深刻認(rèn)識到網(wǎng)絡(luò)安全的重要性。

此外，歐洲的熟練勞動力為不斷增長的網(wǎng)絡(luò)安全市場規(guī)模做出了貢獻(xiàn)。一名嫻熟的網(wǎng)絡(luò)安全專業(yè)人員能夠高效順暢地實現(xiàn)網(wǎng)絡(luò)安全解決方案，避免公司或組織因為遭受網(wǎng)絡(luò)攻擊而承擔(dān)巨大經(jīng)濟(jì)損失，這種正向的示范效應(yīng)推動了市場規(guī)模增長。

4.3　細(xì)分市場

按照行業(yè)分類，歐盟網(wǎng)絡(luò)安全市場可分為IT 電信、銀行金融保險業(yè)、醫(yī)療保健、零售、汽車等。銀行金融保險業(yè)是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)，相關(guān)公司被要求必須按照 GDPR 和 PSD2等法規(guī)要求，采取更加強(qiáng)有力的網(wǎng)絡(luò)安全措施。

按照產(chǎn)品分類，歐盟網(wǎng)絡(luò)安全市場可分為物聯(lián)網(wǎng)（Internet of Things，IoT）設(shè)備、個人電腦、移動 / 網(wǎng)絡(luò)、互聯(lián)網(wǎng)電視、可穿戴設(shè)備和互聯(lián)網(wǎng)汽車等。目前許多歐洲消費者已經(jīng)認(rèn)識到可穿戴設(shè)備的重要性，對其接受程度越來越高，尤其在德國、英國、法國和意大利等采用 IoT 和互聯(lián)網(wǎng)設(shè)備較多的國家，IoT 和互聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全市場正在快速崛起。

4.4　發(fā)展預(yù)測

數(shù)字化轉(zhuǎn)型推動了新興技術(shù)的廣泛使用，帶來新的網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)威脅的增加又推動了各行業(yè)對網(wǎng)絡(luò)安全解決方案和服務(wù)的需求增加。歐盟網(wǎng)絡(luò)安全市場發(fā)展與數(shù)字化轉(zhuǎn)型密切相關(guān)，隨著歐盟數(shù)字化發(fā)展深入，歐盟網(wǎng)絡(luò)安全市場規(guī)模將進(jìn)一步擴(kuò)大。據(jù) Mordor Intelligence 公司預(yù)測，歐盟網(wǎng)絡(luò)安全市場規(guī)模將從 2023 年的324.3 億美元增長到 2028 年的 577.5 億美元，預(yù)測期內(nèi)（2023—2028 年）復(fù)合年增長率為 12.23%。

5結(jié)　語

歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)的繁榮與數(shù)字化轉(zhuǎn)型相伴相隨。歐盟通過實施一系列旨在保護(hù)網(wǎng)絡(luò)安全和個人隱私數(shù)據(jù)安全的戰(zhàn)略法規(guī)，促進(jìn)了網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展。

總結(jié)來看，歐盟普遍采取的網(wǎng)絡(luò)安全措施包括幾個方面：一是致力于建立強(qiáng)大的網(wǎng)絡(luò)安全防御能力，以應(yīng)對不斷升級演變的網(wǎng)絡(luò)威脅攻擊；二是強(qiáng)調(diào)歐盟各國需要共同應(yīng)對跨國網(wǎng)絡(luò)威脅，倡導(dǎo)成員國間加強(qiáng)密切的合作協(xié)同；三是高度重視全社會網(wǎng)絡(luò)安全意識提升，并通過加強(qiáng)教育培訓(xùn)強(qiáng)化網(wǎng)絡(luò)安全技能；四是強(qiáng)調(diào)保護(hù)個人數(shù)據(jù)和隱私，尤其《通用數(shù)據(jù)保護(hù)條例》的實施強(qiáng)化了這一要求；五是加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新與研發(fā)，通過開展例如“地平線歐洲”等創(chuàng)新計劃，為網(wǎng)絡(luò)安全技術(shù)創(chuàng)新提供資金支持。

這些措施的持續(xù)推進(jìn)，或使歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)呈現(xiàn)一個更加繁榮的未來。

作者:蔣秦芹、張 玲

選自《信息安全與通信保密》2023年第12期