歐盟擬修訂網路安全法案，強化供應鏈資安管理並限制高風險供應商

歐盟執委會（European Commission）於1月20日公布新一波「網路安全包裹法案（Cybersecurity Package）」，內容包括修訂《歐盟網路安全法》（EU Cybersecurity Act）、擴大歐盟網路安全局（European Union Agency for Cybersecurity，ENISA）職權，以及推動供應鏈去風險化措施。歐盟藉此希望把過去僅具政策指引性質、各成員國執行程度不一的供應鏈風險管理，納入具法律拘束力的共同規範。

5G安全工具箱落實程度不一，成為推動修法的關鍵原因

歐盟此次推動修法，與2020年推出的「5G網路安全工具箱」（EU 5G Security Toolbox）執行成效有限有關。該工具箱屬於自願性措施，各成員國在限制高風險供應商的作法與進度上落差明顯，使歐盟難以在整體層級確保通訊網路與關鍵基礎設施的安全水準，也促使執委會轉而尋求具有法律拘束力的制度途徑。

地緣政治與網路威脅升高，供應鏈安全成為國安議題

歐盟執委會指出，近年地緣政治情勢與網路威脅持續升高，國家級行為者與犯罪組織對關鍵產業的滲透與攻擊風險增加，供應鏈安全已不再只是技術層面的問題，而是牽涉對特定國家或供應來源的依賴，以及外國勢力介入的整體國安風險。這也反映出，供應鏈資安在歐盟政策中，正被提升為與國防、外交與產業安全同等重要的制度議題。

明確歐盟層級權限，統一推動風險評估與限制措施

依修法規畫，歐盟將明確訂定歐盟執委會在供應鏈安全上的權限，使其可在歐盟層級統一推動風險評估，並視情況對敏感基礎設施使用的特定設備或技術提出限制，甚至要求禁用。相關評估可由歐盟執委會主導，或在至少3個成員國提出要求後啟動。

執行面要求更具體，營運商最遲36個月內完成汰換

在實際執行層面，成員國將針對歐盟界定的18個關鍵領域，共同評估供應商原屬國、企業治理結構與潛在國安影響等因素。待歐盟完成高風險供應商認定後，行動通訊網路營運商須在最遲36個月內，分階段汰換核心或敏感網路環節使用的相關設備。

歐盟官方文件並未點名特定國家或企業，但外界普遍認為，這項修法延續了歐盟近年對「高風險供應商」的管制作法，與過去在5G安全議題上對部分中國電信設備商的疑慮一脈相承。

擴大ENISA職權，強化預警、通報與跨國應變

除供應鏈規範外，這項包裹法案也同步擴大ENISA的職權，使其在威脅預警、資安事故通報與跨國應變協調上扮演更關鍵角色。未來ENISA將可發布歐盟層級的早期威脅警示，並負責營運統一的資安事故通報機制，協助企業與各國主管機關即時掌握重大事件。

在勒索軟體等跨境攻擊應變方面，ENISA也將與歐洲刑警組織Europol及各國電腦緊急應變團隊（CSIRT）加強合作，提供技術與協調支援。

修法仍待完成立法程序

依歐盟立法流程，修訂版《歐盟網路安全法》仍須經歐洲議會（European Parliament）與歐盟理事會（Council of the EU）審議通過後，才能正式生效。法案完成立法程序後，成員國也將依規定時程，調整各自的國內法制與監管措施。

資安媒體Bleeping Computer與隱私與法遵專業組織IAPP（International Association of Privacy Professionals）指出，若修法順利推進，歐盟在高風險供應商管理與供應鏈資安治理上的作法，將從過去以建議與協調為主，轉為具法律拘束力的共同規範，對電信、雲端與其他關鍵產業的設備採購與技術選擇，勢必產生長期影響。