(續前篇)
|
適合出口型產業界、韌性能力、驗證業、實驗室、網路安全及工程師、企業管理者或法規政策研究人員,具備大學教育背景但對歐盟法規基本概念的亞洲讀者閱讀。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律、顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
7. 歐盟韌性立法生態與相關法規
7.1 歐盟韌性立法進程
|
年份 |
法規 |
重點 |
|
2016 |
NIS Directive |
網路資訊安全 |
|
2016 |
資料保護條例GDPR 2016/679 |
CER要求關鍵實體在風險評鑑時須納入資料外洩情境 |
|
2019 |
2019/881 |
歐盟網路安全認證架構 |
|
2022 |
CER 2557 & NIS2 2555 |
全面韌性 |
|
2022 |
DORA 2022/2554 |
金融業數位營運韌性規範 |
|
2024 |
人工智慧法AI Act 1689 |
人工智慧風險 |
|
2024 |
CRA 2024/2847 |
產品生命週期網路資訊安全要求 |
在執行CER指令時,企業最容易陷入的陷阱是「單一法規思維」。許多公司將 CER指令視為一個獨立的符合法規項目,但事實上,CER指令是歐盟「韌性體系」中的一環。企業若在歐盟營運,在實務操作中,企業經營者會發現CER指令與NIS2、GDPR、AI Act 以及最新的 EU 2024/2847之間存在著複雜的交織關係,從而需同時符合多套面向的法規要求。
對於亞洲讀者而言,這裡的關鍵在於理解:「符合法規的衝突」 (Compliance Conflict)。有時候,為了滿足
CER指令的韌性要求,企業可能會在不經意間觸犯 GDPR 的隱私規定,或者在滿足 NIS2 的網路資訊安全要求時,忽略了CER指令的實體韌性束縛;它與歐盟其他法律「雙軌並行」,構成一個多面向、大範圍覆蓋實體配合虛擬的「安全網」:
7.2 韌性的「雙軌制」:CER指令與 NIS2 (EU 2022/2555)
是歐盟最核心的兩條韌性法律。吾人可以將其比喻為建築物的「結構安全」與「電路安全」。
- NIS2 專注於「網路資訊安全」(Cybersecurity) 處理的是 Bits (位元) ,聚焦網路資訊安全。實務上,若數位基礎設施提供者已依NIS2執行風險管理,原則上不再重複適用CER,但實體安全(如機房防洪)仍可能回歸CER。
- CER 專注於「實體韌性」(Physical/Organizational Resilience) 處理的是 Atoms (原子) ,聚焦物理世界與供應鏈韌性。CER §1(3) 明確排除「受NIS2規範且已符合同等韌性義務」的實體,避免雙重法規管制。
- 兩者交集:這種策略體現歐盟「全面危險趨向式管理」(All-Hazards Approach)的思維:不只防駭客,也要防極端氣候、供應鏈斷裂、地緣政治衝突。例如:一個電網公司必須同時遵守 NIS2(防止駭客攻擊)和 CER指令(防止地震導致變電所毀損)。
|
比較維度 |
CER 指令 (EU 2022/2557) |
NIS2 指令 (EU 2022/2555) |
|
核心焦點 |
物理與組織韌性 (Physical/Org) |
網路與資訊安全 (Cybersecurity) |
|
對抗目標 |
自然災害、恐怖攻擊、供應鏈中斷 |
駭客攻擊、勒索軟體、資料洩露 |
|
關注對象 |
實體設施、人力資源、物料供應 |
伺服器、加密、身份認證、軟體漏洞 |
|
比喻 |
防止電廠被洪水淹沒 確保發電 |
防止電廠控制系統被駭 確保發電 |
當一家公司被認定為「關鍵實體」時,它通常會同時被認定為 NIS2 的「基本實體」或「重要實體」。
- 共同點:兩者都要求建立「風險管理架構」,都要求向主管機關報告「重大事件」。
- 實務建議:不要分開建立兩套風險管理系統。建議考慮建立一套「整合式風險管理平台 (Integrated Risk Management, IRM)」,將實體風險 (CER) 與網路資安風險 (NIS2) 放在同一個矩陣中分析比較和評估。
7.3 韌性與隱私的拉鋸:CER指令與 GDPR (EU 2016/679)
這是最容易產生法律衝突的區域。為了提高韌性,CER指令 往往要求更嚴格的監控和透明度,而 GDPR
則要求最大限度地減少資料收集。
- 在執行 CER 的風險評鑑時,主管機關可能要求監督關鍵實體的營運工作。如果涉及員工或客戶的個人資料(如緊急聯絡人名單的雲端備份),出現個人資料外洩情境,尚須遵守 GDPR的隱私保護原則,及§32安全處理義務,形成「技術韌性」與「資料保護」的雙重審查機制。
潛在衝突場景
- 人員監控:為了確保在緊急情況下(如火災或恐怖攻擊)能迅速疏散所有人員,公司可能安裝實時定位系統 (RTLS) 監控員工位置。
CER指令
要求: 必須知道所有人位置以確保救援韌性。 GDPR 警告: 這是對員工的高度監控,可能違反隱私權。
- 供應鏈審查:CER指令 要求對供應商進行深度背景調查(包括所有權結構、財務狀況),以防止地緣政治風險。
衝突點: 審查過程中涉及的個人資料(如供應商負責人的個人資產、國籍等)必須符合 GDPR 的處理原則。
解決方案:隱私設計 (Privacy by Design)
在滿足 CER指令 韌性措施時,必須採取以下策略:
- 目的限制原則:
明確規定監督資料僅在「緊急狀態」下啟動。
- 資料去識別化:
在常態運作時,位置資料以匿名形式呈現,僅在觸發緊急警報時才解碼為具體姓名。
7.4 智能韌性與黑盒子:CER指令與 AI Act (EU 2024/1689)
隨著人工智慧(AI)被引入關鍵基礎設施(如:人工智慧預測電網負荷、人工智慧自動調度物流),CER指令 的執行將與人工智慧法(AI Act)深度掛鉤。
人工智慧(AI)作為韌性工具的風險
如果一家關鍵實體使用人工智慧(AI)來預測風險或自動化管理基礎設施(如電網AI調度),或決定「哪些備援方案最有效」,而該人工智慧(AI)系統被歸類為 「高風險 AI (High-Risk
AI)」,則必須符合人工智慧法(AI Act)§6的透明度與安全性要求,亦須通過CER的整體韌性架構測試。:
- 透明度要求: AI Act 要求人工智慧(AI)的決策過程必須可解釋。如果主管機關問:「為什麼你的 AI 建議將備援中心設在 A 地而非 B 地?」而公司回答「人工智慧(AI)的黑盒子(Black Box)產出結果就是這麼說的」,這將無法通過
CER指令的韌性審核。
- 資料質量: AI Act 要求訓練資料必須無偏差。如果 AI 韌性模型基於過時或有偏差的資料,導致在真實災難中失效 這將導致 CER指令 的符合法規失敗。
7.5 最新趨勢EU 2024/2847 與 EU 2022/2554 的影響
這兩項法規/更新體現了歐盟對韌性定義的進一步擴展:
從「單點韌性」到「生態韌性」 (EU 2024/2847 等相關趨勢)
歐盟目前的立法趨勢是不再僅僅關注「一家公司」是否韌性,而關注「整個價值鏈」是否韌性。
- 供應鏈穿透:關鍵實體現在被要求不僅要審查第一層供應商 (Tier 1),還必須了解第二層 (Tier 2) 甚至第三層的風險。
- 地緣政治去風險 (De-risking):
這是目前最敏感的點。如果您的關鍵元件全部來自單一非歐盟國家(例如中國或美國),即便該供應商目前運作良好,主管機關仍可能認定您「缺乏韌性」,要求您採取「多元化採購」策略。
對於 EU 2022/2554 的考量
雖然 2022/2554 的範圍較窄,但它在特定行業(如金融、能源)的技術規範上提供了基準。在執行
CER指令
時,應將其視為「技術底層標準」,確保實體韌性措施不低於該法規定義的技術門檻。
7.7 綜合分析表:法規協同矩陣
為了方便決策者快速查閱,目前暫且將其彙整為下表:
|
韌性目標 |
依CER須做 |
需考量 NIS2 |
需考量 GDPR |
需考量AI Act |
|
建立備援中心 |
物理空間分散、能源獨立 |
資料同步加密、網路贅餘 |
資料跨區傳輸符合法規 |
AI流量調度透明度 |
|
供應商審查 |
評估供應商生存能力、國籍 |
評估供應商軟體漏洞 |
審查過程個人資料保護 |
審查工具AI的公正性 |
|
緊急應變演習 |
定期演練實體恢復流程 |
演練網路恢復 (DR Drill) |
演練中涉及的個人記錄 |
演習中AI自動化決策 |
|
風險報告 |
向主管機關報告實體失效 |
向CSIRT報告網路入侵 |
報告中避免洩露個資 |
報告AI故障的邏輯 |
8. 技術規格、稽核與標準(ISO 22301等)
8.1 韌性措施的三個維度
關鍵實體必須在技術規範中涵蓋以下三個層次:
- 實體層 (Physical):設施的贅餘設計。例如:電力供應是否具有雙路進線?備用發電機是否能維持72小時?資料中心是否位於非淹水區?
- 組織層 (Organizational):權限與流程。例如:當企業執行長(CEO)失聯時,誰有權啟動緊急預案?與關鍵供應商是否有簽署「優先供應協議」?
- 技術層 (Technical):監控與恢復。例如:實時監控系統能否在5分鐘內發現失效?恢復時間目標 (RTO) 與恢復點目標 (RPO) 是否有量化定義?
8.2 核心文件清單 (The Documentation Package)
關鍵實體需要準備一套完整的「韌性卷宗」,包含:
- 業務影響分析 (BIA, Business Impact Analysis):詳細分析如果A部門失效,會對整體韌性造成多少百分比的衝擊。
- 風險登記簿 (Risk Register):列出所有潛在威脅(含自然災害、人為破壞、供應鏈崩潰)及其對策。
- 韌性計畫書 (Resilience Plan):包含具體的恢復步驟、責任分工與資源清單。
- 演習紀錄 (Exercise Logs):展現企業不僅有計畫,維持有效運作,而且每半年/一年實際演練過,並記錄了演習後的改進措施和執行效果。
8.3 CER指令鼓勵採用國際標準或歐盟調和標準,例如:
-
ISO 22301:2019:業務連續性管理系統,最常被CER法規的利益相關者引用。
-
ISO 31000:風險管理。
-
ISO 27001:資訊安全管理。
雖然關鍵實體符合歐盟調和標準可推定符合該指令的「韌性義務」,但§8允許「同等成效」(Equivalent Effect)的替代方案,例如:採用日本JIS Q 22301或台灣CNS 27001的企業,若能展現貴企業的韌性水準等同EN ISO 22301標準要求,仍可主張符合係稱法規。
稽核的層級
- 第一級:內部自我評鑑 (Self-Assessment)。企業自行對標CER指令、相關法規、指引文件、標準及產品規範,找出失誤或缺陷等不足之處。
- 第二級:主管機關稽核 (Governmental Audit)。由§9定義的成員國主管機關按照CER指令,按照法定前提與事態嚴重程度,直接進入關鍵實體的現場執行稽核,必要時抽查產品及佐證文件資料。
- 第三級:獨立第三方稽核 (Independent Third-Party Audit)。由政府認可的專業稽核機構(如
TUV, SGS 等)執行正式的驗證程序。
(未完,見續篇)
