2026年6月10日 星期三

歐盟2022/2557關鍵實體韌性指令初探(五之三)

 (續前篇)

適合出口型產業界、韌性能力、驗證業、實驗室、網路安全及工程師、企業管理者或法規政策研究人員,具備大學教育背景但對歐盟法規基本概念的亞洲讀者閱讀。

此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律、顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至20263月,後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。

© All Rights reserved 版權聲明。CC BY-SA 40

7. 歐盟韌性立法生態與相關法規

7.1 歐盟韌性立法進程

年份

法規

重點

2016

NIS Directive

網路資訊安全

2016

資料保護條例GDPR 2016/679

CER要求關鍵實體在風險評鑑時須納入資料外洩情境

2019

2019/881

歐盟網路安全認證架構

2022

CER 2557 & NIS2 2555

全面韌性

2022

DORA 2022/2554

金融業數位營運韌性規範

2024

人工智慧法AI Act 1689

人工智慧風險

2024

CRA 2024/2847

產品生命週期網路資訊安全要求

 在執行CER指令時,企業最容易陷入的陷阱是「單一法規思維」。許多公司將 CER指令視為一個獨立的符合法規項目,但事實上,CER指令是歐盟「韌性體系」中的一環。企業若在歐盟營運,在實務操作中,企業經營者會發現CER指令與NIS2GDPRAI Act 以及最新的 EU 2024/2847之間存在著複雜的交織關係,從而需同時符合多套面向的法規要求。

對於亞洲讀者而言,這裡的關鍵在於理解:「符合法規的衝突」 (Compliance Conflict)。有時候,為了滿足 CER指令的韌性要求,企業可能會在不經意間觸犯 GDPR 的隱私規定,或者在滿足 NIS2 的網路資訊安全要求時,忽略了CER指令的實體韌性束縛;它與歐盟其他法律「雙軌並行」,構成一個多面向、大範圍覆蓋實體配合虛擬的「安全網」:

7.2 韌性的「雙軌制」:CER指令與 NIS2 (EU 2022/2555)

是歐盟最核心的兩條韌性法律。吾人可以將其比喻為建築物的「結構安全」與「電路安全」。

  • NIS2 專注於「網路資訊安全」(Cybersecurity)  處理的是 Bits (位元) ,聚焦網路資訊安全。實務上,若數位基礎設施提供者已依NIS2執行風險管理,原則上不再重複適用CER,但實體安全(如機房防洪)仍可能回歸CER
  • CER 專注於「實體韌性」(Physical/Organizational Resilience) 處理的是 Atoms (原子) ,聚焦物理世界與供應鏈韌性。CER §1(3) 明確排除「受NIS2規範且已符合同等韌性義務」的實體,避免雙重法規管制。
  • 兩者交集:這種策略體現歐盟「全面危險趨向式管理」(All-Hazards Approach)的思維:不只防駭客,也要防極端氣候、供應鏈斷裂、地緣政治衝突。例如:一個電網公司必須同時遵守 NIS2(防止駭客攻擊)和 CER指令(防止地震導致變電所毀損)。 

比較維度

CER 指令 (EU 2022/2557)

NIS2 指令 (EU 2022/2555)

核心焦點

物理與組織韌性 (Physical/Org)

網路與資訊安全 (Cybersecurity)

對抗目標

自然災害、恐怖攻擊、供應鏈中斷

駭客攻擊、勒索軟體、資料洩露

關注對象

實體設施、人力資源、物料供應

伺服器、加密、身份認證、軟體漏洞

比喻

防止電廠被洪水淹沒  確保發電

防止電廠控制系統被駭  確保發電

當一家公司被認定為「關鍵實體」時,它通常會同時被認定為 NIS2 的「基本實體」或「重要實體」。

  • 共同點:兩者都要求建立「風險管理架構」,都要求向主管機關報告「重大事件」。
  • 實務建議:不要分開建立兩套風險管理系統。建議考慮建立一套「整合式風險管理平台 (Integrated Risk Management, IRM)」,將實體風險 (CER) 與網路資安風險 (NIS2) 放在同一個矩陣中分析比較和評估。

7.3 韌性與隱私的拉鋸:CER指令與 GDPR (EU 2016/679)

這是最容易產生法律衝突的區域。為了提高韌性,CER指令 往往要求更嚴格的監控和透明度,而 GDPR 則要求最大限度地減少資料收集。

  • 在執行 CER 的風險評鑑時,主管機關可能要求監督關鍵實體的營運工作。如果涉及員工或客戶的個人資料(如緊急聯絡人名單的雲端備份),出現個人資料外洩情境,尚須遵守 GDPR的隱私保護原則,及§32安全處理義務,形成「技術韌性」與「資料保護」的雙重審查機制。

潛在衝突場景

  • 人員監控:為了確保在緊急情況下(如火災或恐怖攻擊)能迅速疏散所有人員,公司可能安裝實時定位系統 (RTLS) 監控員工位置。 CER指令 要求: 必須知道所有人位置以確保救援韌性。  GDPR 警告: 這是對員工的高度監控,可能違反隱私權。
  • 供應鏈審查:CER指令 要求對供應商進行深度背景調查(包括所有權結構、財務狀況),以防止地緣政治風險。 衝突點: 審查過程中涉及的個人資料(如供應商負責人的個人資產、國籍等)必須符合 GDPR 的處理原則。

解決方案:隱私設計 (Privacy by Design)

在滿足 CER指令 韌性措施時,必須採取以下策略:

  1. 目的限制原則: 明確規定監督資料僅在「緊急狀態」下啟動。
  2. 資料去識別化: 在常態運作時,位置資料以匿名形式呈現,僅在觸發緊急警報時才解碼為具體姓名。

7.4 智能韌性與黑盒子:CER指令與 AI Act (EU 2024/1689)

隨著人工智慧(AI)被引入關鍵基礎設施(如:人工智慧預測電網負荷、人工智慧自動調度物流),CER指令 的執行將與人工智慧法(AI Act)深度掛鉤。

人工智慧(AI)作為韌性工具的風險

如果一家關鍵實體使用人工智慧(AI)來預測風險或自動化管理基礎設施(如電網AI調度),或決定「哪些備援方案最有效」,而該人工智慧(AI)系統被歸類為 「高風險 AI (High-Risk AI)」,則必須符合人工智慧法(AI Act)§6的透明度與安全性要求,亦須通過CER的整體韌性架構測試。:

  • 透明度要求: AI Act 要求人工智慧(AI)的決策過程必須可解釋。如果主管機關問:「為什麼你的 AI 建議將備援中心設在 A 地而非 B 地?」而公司回答「人工智慧(AI)的黑盒子(Black Box)產出結果就是這麼說的」,這將無法通過 CER指令的韌性審核。
  • 資料質量: AI Act 要求訓練資料必須無偏差。如果 AI 韌性模型基於過時或有偏差的資料,導致在真實災難中失效  這將導致 CER指令 的符合法規失敗。

7.5 最新趨勢EU 2024/2847 與 EU 2022/2554 的影響

這兩項法規/更新體現了歐盟對韌性定義的進一步擴展:

從「單點韌性」到「生態韌性」 (EU 2024/2847 等相關趨勢)

歐盟目前的立法趨勢是不再僅僅關注「一家公司」是否韌性,而關注「整個價值鏈」是否韌性。

  • 供應鏈穿透:關鍵實體現在被要求不僅要審查第一層供應商 (Tier 1),還必須了解第二層 (Tier 2) 甚至第三層的風險。
  • 地緣政治去風險 (De-risking) 這是目前最敏感的點。如果您的關鍵元件全部來自單一非歐盟國家(例如中國或美國),即便該供應商目前運作良好,主管機關仍可能認定您「缺乏韌性」,要求您採取「多元化採購」策略。

對於 EU 2022/2554 的考量

雖然 2022/2554 的範圍較窄,但它在特定行業(如金融、能源)的技術規範上提供了基準。在執行 CER指令 時,應將其視為「技術底層標準」,確保實體韌性措施不低於該法規定義的技術門檻。

7.7 綜合分析表:法規協同矩陣

為了方便決策者快速查閱,目前暫且將其彙整為下表:

韌性目標

CER須做

需考量 NIS2

需考量 GDPR

需考量AI Act

建立備援中心

物理空間分散、能源獨立

資料同步加密、網路贅餘

資料跨區傳輸符合法規

AI流量調度透明度

供應商審查

評估供應商生存能力、國籍

評估供應商軟體漏洞

審查過程個人資料保護

審查工具AI的公正性

緊急應變演習

定期演練實體恢復流程

演練網路恢復 (DR Drill)

演練中涉及的個人記錄

演習中AI自動化決策

風險報告

向主管機關報告實體失效

CSIRT報告網路入侵

報告中避免洩露個資

報告AI故障的邏輯

 

8. 技術規格、稽核與標準(ISO 22301等)

8.1 韌性措施的三個維度

關鍵實體必須在技術規範中涵蓋以下三個層次:

  • 實體層 (Physical):設施的贅餘設計。例如:電力供應是否具有雙路進線?備用發電機是否能維持72小時?資料中心是否位於非淹水區?
  • 組織層 (Organizational):權限與流程。例如:當企業執行長(CEO)失聯時,誰有權啟動緊急預案?與關鍵供應商是否有簽署「優先供應協議」?
  • 技術層 (Technical):監控與恢復。例如:實時監控系統能否在5分鐘內發現失效?恢復時間目標 (RTO) 與恢復點目標 (RPO) 是否有量化定義?

8.2 核心文件清單 (The Documentation Package)

關鍵實體需要準備一套完整的「韌性卷宗」,包含:

  1. 業務影響分析 (BIA, Business Impact Analysis):詳細分析如果A部門失效,會對整體韌性造成多少百分比的衝擊。
  2. 風險登記簿 (Risk Register):列出所有潛在威脅(含自然災害、人為破壞、供應鏈崩潰)及其對策。
  3. 韌性計畫書 (Resilience Plan):包含具體的恢復步驟、責任分工與資源清單。
  4. 演習紀錄 (Exercise Logs):展現企業不僅有計畫,維持有效運作,而且每半年/一年實際演練過,並記錄了演習後的改進措施和執行效果。

8.3 CER指令鼓勵採用國際標準或歐盟調和標準例如:

-          ISO 22301:2019:業務連續性管理系統,最常被CER法規的利益相關者引用。

-          ISO 31000:風險管理。

-          ISO 27001:資訊安全管理。

雖然關鍵實體符合歐盟調和標準可推定符合該指令的「韌性義務」,但§8允許「同等成效」(Equivalent Effect)的替代方案,例如:採用日本JIS Q 22301或台灣CNS 27001的企業,若能展現貴企業的韌性水準等同EN ISO 22301標準要求,仍可主張符合係稱法規。

稽核的層級

  • 第一級:內部自我評鑑 (Self-Assessment)。企業自行對標CER指令、相關法規、指引文件、標準及產品規範,找出失誤或缺陷等不足之處。
  • 第二級:主管機關稽核 (Governmental Audit)。由§9定義的成員國主管機關按照CER指令,按照法定前提與事態嚴重程度,直接進入關鍵實體的現場執行稽核,必要時抽查產品及佐證文件資料。
  • 第三級:獨立第三方稽核 (Independent Third-Party Audit)。由政府認可的專業稽核機構(如 TUV, SGS 等)執行正式的驗證程序。

(未完,見續篇)

張貼者:
標籤: , , , , , , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)