欧盟修订后的网络安全法针对“高风险”供应商

欧盟委员会发布了修订其《网络安全法》（CSA）的提案，其中包括将“高风险”公司和零部件排除在欧洲供应链之外的条款。

经过数月的审查过程，该提案原定于上周（1 月 14 日）公布，但据报道，由于官员和成员国之间对 CSA 的修改范围存在分歧，该提案被推迟了。

该提案概述了识别高风险“第三国”和向欧盟供应数字设备或组件的公司并将其排除在关键数字基础设施之外的措施。

欧盟委员会表示，该提案旨在使“欧盟及其成员国能够共同识别和降低欧盟18个关键行业（包括能源行业）的风险”。不过，委员会的新闻稿仅概述了电信行业的“强制性去风险化”。

对于可再生能源，特别是 太阳能光伏和储能 尽管欧盟委员会的提案中完全没有提及中国，但中国才是主要的“第三国”风险所在。近几个月来，中国企业供应了欧盟大部分的太阳能逆变器，这引发了业界和布鲁塞尔方面的网络安全担忧。欧盟已在其去年底发布的《经济安全原则》中将太阳能逆变器列为“高风险”的供应依赖项。

例如，欧洲光伏批发商Sun.store的数据显示，华为一直是领先的供应商之一。 太阳能逆变器 尽管该公司因安全原因被欧盟的 5G 网络限制，但其许多业务仍然是数字化的，并连接到云服务器。

该提案包含相关条款，规定如果供应商被认定为高风险，则可能召回并逐步淘汰已部署在欧盟基础设施中的产品。上周分析了逐步淘汰中国技术对太阳能行业的影响。

供应链限制主要针对“非技术性”风险，欧盟委员会表示，这指的是供应商“受第三国影响”的风险，这种风险可能会扰乱基本服务或“数据外泄，包括用于间谍活动或创收目的”。

“网络安全威胁不仅仅是技术挑战，它们对我们的民主、经济和生活方式构成战略风险，”欧盟委员会负责技术主权、安全和民主的执行副主席汉娜·维尔库宁表示。“有了新的网络安全一揽子计划，我们将拥有更好的手段来保护我们关键的信息通信技术供应链，并能果断地打击网络攻击。这是确保欧洲技术主权、保障所有人安全的重要一步。”

该提案还对欧洲网络安全认证框架（ECCF）进行了澄清，称这将“带来更清晰的流程和更简化的程序”，并允许某些认证“在12个月内完成”。企业也可以自愿遵守ECCF，提案称这将“成为欧盟企业的竞争优势”。这似乎避免了强制性认证流程，而该流程曾在CSA审查过程中被讨论过。

它还引入了加强欧盟网络安全局 (ENISA) 的措施，该机构是在 2019 年首次通过《网络安全法案》时引入的。

针对该提议，欧洲太阳能电力协会副首席执行官德里斯·阿克表示：“欧盟委员会认真对待网络安全问题，这非常好。”

“关键仍然在于制定健全的欧盟范围内的网络安全标准和协议，适用于活跃于欧洲能源市场的所有数字组件和公司。欧洲需要能够抵御来自各方的各种攻击。”

“由于针对太阳能的网络安全风险和影响评估仍在进行中，我们期待继续与欧盟委员会开展建设性合作，并参与欧盟网络安全局 (ENISA) 的重新授权工作，以及通过简化的欧洲网络安全认证框架开展工作。”