2019年6月27日，欧洲议会和欧盟理事会第2019/881号条例《关于欧洲网络与信息安全局信息和通信技术的网络安全》（下称欧盟网络安全法）正式施行。这是新时期欧盟网络安全治理的里程碑事件。

该法对于欧盟各成员国网络和信息通讯安全体系的构建、增强网络信息安全风险防控能力具有十分重要的意义。该法在制度设计、涵盖范围以及监管手段等问题上具有开创性、系统性、科学性和前瞻性，为全球网络和信息通讯安全的法律设计、网络安全保护的国际合作以及网络安全标准体系的完善提供了值得参考的新思路。

欧盟网络安全法核心制度框架的重点设计

欧盟网络安全法全文分为三个部分：前言、正文和附则，其中正文包含三个章节共计69个条款。前言部分包括出台本法的背景、宗旨、主要内容、适用范围和现实意义等；正文部分涉及为实现法案目的而对欧盟网络和信息安全署（简称为ENISA）的职能和任务进行重新定位、为信息和通讯技术（简称为ICT）等产品创建一个欧洲网络安全认证框架等事项所作的具体规定；附则部分是关于获得认证资格的评估机构应当满足的条件或要求。

总体而言，法案的内容涵盖十分全面，既涉及到立法宗旨、背景、价值追求等原则性问题，也包括对机构设置、制度安排、流程设计等实操性规则。其立法的总体要旨与2016年《网络与信息系统安全指令》、2018年《一般数据保护条例》及其他毗邻的网络安全规范相互关联，同时该法在核心制度框架上也有突出的重点设计：

1.ENISA职能的调整与拓展。欧盟网络安全法的首要制度革新就是指定欧盟网络和信息安全署（ENISA）为永久性的欧盟网络安全职能机构。该法明确ENISA的任务目标：采用欧洲网络安全认证系统的框架，以确保欧盟ICT产品、ICT服务或ICT流程具有足够的网络安全水平，同时避免欧盟内部市场在网络安全认证计划方面产生分歧。同时也对任务实施的范围进行了限定，即不得妨碍成员国在公共安全、国防、国家安全和国家刑事领域的管辖权，且不与其他关于自愿或强制性认证的欧盟法律的具体规定相冲突。在此基础上，ENISA执行该法赋予的各项职权，积极支持成员国、欧盟机构、机构办事处和机构改善网络安全，以实现整个欧盟的共同一致的网络安全水平。

2.跨境事件的联合处理。网络信息攻击往往跨越国界，大规模安全事件可能影响整个欧盟的网络基本服务，而网络安全权力和执法当局以及相关政策反应却主要是国家性的。这就需要在欧盟层面采取有效和协调一致的对策和危机管理，并以专门的政策和更广泛的手段为基础，促进欧洲各国在该领域的团结和互助。该法前言部分即对跨境事件的联合处理有所提及，ENISA应有助于欧盟范围内对危机和跨境事件作出适应网络安全风险规模的全面反应。

3.专业化、基础性服务。欧盟网络安全法强调，网络和信息系统能够支持民众生活的各个方面，并推动欧盟的经济增长，是实现数字单一市场的基石。ENISA作为网络安全相关事项中欧盟部门具体政策和法律举措的咨询意见、专门知识的提供之地，应定期向欧洲议会通报其活动。同时，提供相关支持业务合作。

4.增强公民网络安全意识。网络安全不仅是一个技术问题，而且是一个行动问题。该法强调大力推广“网络卫生”，即通过普惠的日常教育、培训等方式，促进公民、组织等社会团体的网络安全意识提高，尽量减少他们受到网络威胁的风险。同时，大力发展网络安全和信息文化，营造良好的网络安全氛围，在日常生活中造福公民、消费者、企业和公共管理部门。

欧盟网络安全法的特色制度设计

1.网络安全认证制度。一个通用的网络安全认证框架能够使得成员国更容易开发具有互操作性的产品，在具有高度分化节点的网络之间，可缩小安全差距，还可以增强欧盟范围内消费者对相关认证产品的信任度，进而鼓励智能设备的消费和使用。

欧盟网络安全法列出了最终确定网络安全认证框架所需要的基本要素：第一，必须是国家级的评估机构，以确保他们具备评估产品的技术能力；第二，必须是明确定义的评估标准和准则，以监控产品是否符合要求，再授予和更新网络安全认证。网络认证框架还要求能够报告和处理以前未检测出的漏洞。

欧盟网络安全法考虑到了实施认证系统的不同方法：一种方式是，私企针对预先发布的标准，对产品一致性进行自评，然后再由私企执行认证，但这一做法并不完善，因为自认证过程中可能会不够客观；另一种方式是，ENISA和国家级监管机构执行一个端到端的认证过程，包括认证检查和差评测试。虽然这样比较客观，但是耗时费力，成本也更高，最终的方案可以是根据产品类型将两种方法以不同方式组合在一起使用。

2.合格评定机构的资格标准。统一的网络安全认证制度有利于在开展具体业务上消除分歧、促进协作，评估机构自身的合法性、权威性和评估人员的专业化，决定着评估标准的实际执行效果和评估结果的可信度和说服力。欧盟网络安全法对评定机构的性质做了界定：合格评定机构是根据国家法律设立的、具有法人资格、独立于其评估的组织或ICT产品、ICT服务或ICT流程之外的第三方机构。

合格评定机构、其高层管理人员和负责执行合格评定任务的人员需经评估的信通技术产品、信通技术服务或信通技术流程的购买者、所有人、用户或维护者，或其中任何一方的授权，且不得是设计人员、制造商、供应商、安装人员，且他们不得直接参与设计或制造。

合格评定机构及其工作人员开展合格评定活动，具有最高的专业诚信和技术能力，不受其他任何可能影响他们的判断或评估活动的外界压力、财务激励等干扰，尤其是对此类结果有相关关系的个人或群体。

欧盟网络安全法的立法意义及影响

信息和通信技术是社会业务活动开展所借助的复杂系统的基础，在卫生、能源、金融和运输等关键部门领域中发挥核心作用。目前，欧盟公民、组织和企业使用网络和信息系统十分广泛，数字化和连接性正成为其中的关键特征，并且随着物联网的出现，在未来十年内越来越多的产品和服务将在整个欧盟内产生数量极多的连接性数字设备。数字化和连接性的增加带来了与网络安全相关的更大风险，使整个社会更容易受到网络威胁。

对此，早在2016年7月6日，欧盟立法机构正式通过首部网络安全方面的法规《网络与信息系统安全指令》，旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全，要求这两者履行网络风险管理、网络安全事故应对与通知等义务。此外，该法要求成员国制定网络安全国家战略，要求加强成员国间合作与国际合作，要求在网络安全技术研发方面加大资金投入与支持力度。而2018年5月25日《一般数据保护条例》正式施行，该条例制定了个人数据保护的一般规则，为欧盟内外个人数据的自由流动提供了确定性保护。紧接着，2018年5月29日，欧盟委员会发起了一项欧洲未来网络安全宪章（欧盟网络安全法案）的提议。《欧盟网络安全法案》是一项更广泛的“网络安全包”概念的外化，“网络安全包”的概念最初于2017年提出，后经过了一段时间的影响评估，并接受了各界评论。

欧盟网络安全法案的出台，适应当前数字化、信息化经济的高速发展。其在内容上不仅有对ENISA这一机构任务、目标等的详细规定，还包含跨境事件的联合处理、专业化和基础性服务建设、公民网络信息安全意识的教育和引导等方方面面，涵盖性广泛、涉及领域面宽；在层次上，既有对欧盟机关的职能认定，也有对相关机构、组织、企业的角色定位，还包括引导公民个体的广泛参与，具有多层次性、高纵深度的特点。

在网络风险不断增加的形势下，欧盟网络安全法一方面将把ENISA定位成欧盟永久性机构，从而提升加强ENISA的地位；另一方面，还将为ICT等产品创建一个欧洲网络安全认证框架，旨在欧盟内部提供网络韧性和响应能力。该法案的最大亮点在于欧盟一级的网络安全认证框架的制度构建，既有利于统一标准，防止采用不同标准的成员国之间出现不必要的分歧，节约成本，还能够促进成员国开发具有互操作性的产品，在具有高度分化节点的网络之间缩小安全差距，增强欧盟范围内消费者对相关认证产品的信任度，促进欧盟“单一市场经济”的深度发展。

可以说，欧盟网络安全法案不仅在新时期欧盟网络安全治理上具有里程碑式的重大意义，其所提出的立法宗旨、治理理念和具体的制度构建、法律措施，对于我国乃至世界范围内网络治理法律体系的构建都具有巨大的借鉴价值。