2021年，歐盟網(wǎng)絡安全環(huán)境變得更加不穩(wěn)定。新冠肺炎疫情使歐盟國家、社會和經(jīng)濟體加快轉(zhuǎn)型，社會各領域高速的數(shù)字化進程，突顯了網(wǎng)絡安全的重要地位。同時，歐盟的網(wǎng)絡威脅環(huán)境也發(fā)生了巨大改變，針對網(wǎng)絡的大規(guī)模攻擊行動數(shù)量大幅增加，勒索軟件攻擊變得更具有針對性，對網(wǎng)上銀行、支付媒介、關鍵基礎設施和新興智能設備目標的攻擊也日益增多。為此，歐盟委員會于 2020 年 12 月 16日發(fā)布了《歐盟網(wǎng)絡安全戰(zhàn)略》（EUCSS），試圖通過不斷加強歐盟網(wǎng)絡安全戰(zhàn)略頂層設計，完善快速反擊機制等途徑，以回應這些新的挑戰(zhàn)。

　　一、歐盟面對的主要網(wǎng)絡安全挑戰(zhàn)

　　歐盟網(wǎng)絡安全局（ENISA）在 2021 年 10 月公布的網(wǎng)絡威脅形勢報告（ENISA THREAT LANDSCAPE2021），將勒索軟件、惡意軟件、加密劫持、電子郵件相關威脅、對數(shù)據(jù)的威脅、對可用性和完整性的威脅、虛假信息/錯誤信息、非惡意威脅和供應鏈攻擊列為歐盟在 2021 年面對的主要網(wǎng)絡安全威脅。在 ENISA 的這份報告中，勒索軟件取代了惡意軟件（2020 年報告中排首位），成為歐盟的首要網(wǎng)絡安全威脅。因此，2021 年的歐盟網(wǎng)絡安全政策在很大程度上受到了這一判斷的影響，集中精力應對以網(wǎng)絡勒索為代表的大規(guī)模網(wǎng)絡攻擊事件的威脅。

　　2020 年至 2021 年間發(fā)生的多起網(wǎng)絡攻擊表明，發(fā)生在歐盟的網(wǎng)絡勒索攻擊和網(wǎng)絡間諜活動越來越普遍，并且它們給整個經(jīng)濟和社會的所有部門都帶來了越來越大的風險。這些網(wǎng)絡安全事件的規(guī)模與過去不同，且造成的影響和損失都是空前的。例如，美國主要信息技術公司太陽風（SolarWinds）于 2020年成為被網(wǎng)絡攻擊的對象。該攻擊造成的危害隨后被其產(chǎn)品傳播到全球客戶，并且持續(xù)數(shù)月都沒有被發(fā)現(xiàn)。這使得黑客可以任意訪問使用 SolarWinds “獵戶座”（Orion）系統(tǒng)的數(shù)千家公司和政府機構，其中，包括六個歐盟機構。2021 年 1 月，微軟郵件服務（Microsoft Exchange Server）系統(tǒng)被發(fā)現(xiàn)了許多影響全球電子郵件系統(tǒng)的零日漏洞。5 月，愛爾蘭共和國衛(wèi)生服務執(zhí)行機構的數(shù)據(jù)庫遭受了連續(xù)性的網(wǎng)絡攻擊，導致數(shù)百患者的大量敏感數(shù)據(jù)被盜，同時，勒索軟件也攻擊并破壞了該國的醫(yī)療服務系統(tǒng)，造成嚴重經(jīng)濟損失。同樣，也是在 5 月，挪威信息技術公司“沃倫”（Volue）的服務器遭遇勒索軟件攻擊，導致挪威國內(nèi) 200 座城市的供水與水處理設施的應用程序被迫關閉，影響范圍覆蓋挪威約 85% 的居民。

　　雖然這些攻擊造成的損害程度尚不完全明確，但是每起事件都突顯了惡意利用信息和通信技術的情況存在，而且針對現(xiàn)有信息產(chǎn)品、服務、系統(tǒng)和網(wǎng)絡中的漏洞發(fā)動的攻擊可能產(chǎn)生嚴重的后果及深遠影響。根據(jù)歐盟基金會（EuroFound）在 2020 年的調(diào)查數(shù)據(jù)，整個歐盟在新冠肺炎疫情期間進行遠程工作的員工人數(shù)介于 25% 至 65% 之間。根據(jù)歐盟刑警組織的一項研究，這大大增加了犯罪分子通過使用勒索軟件、惡意軟件和惡意應用程序從此類網(wǎng)絡犯罪中獲利的比率。此外，根據(jù)歐盟委員會發(fā)布的《數(shù)字時代的網(wǎng)絡安全戰(zhàn)略》（The EU's CybersecurityStrategy for the Digital Decade），五分之三的歐盟用戶在使用在線服務時感到無法保護自己免受網(wǎng)絡威脅，其中三分之一收到了欺詐性電子郵件或電話和八分之一的企業(yè)已成為網(wǎng)絡攻擊的受害者。對在線服務的網(wǎng)絡安全缺乏信任是用戶使用此類服務的主要障礙，網(wǎng)絡攻擊的威脅在經(jīng)濟和社會中引發(fā)“連鎖反應”，降低了公眾的信任度。

　　因此，歐盟委員會預計，隨著新冠肺炎疫情促進社會數(shù)字化進程的不斷推進，未來，網(wǎng)絡攻擊的頻率會不斷增加，造成的影響也會越來越大，歐盟網(wǎng)絡安全的形勢將日趨復雜。

　　二、歐盟網(wǎng)絡安全政策與行動

　　面對上述網(wǎng)絡安全威脅，歐盟采取了積極的應對措施。在 2020 年 EUCSS 的基礎上，2021 年 3 月，歐盟委員會發(fā)布《關于歐盟數(shù)字十年網(wǎng)絡安全戰(zhàn)略的結論》（Council Conclusions on the EU's CybersecurityStrategy for the Digital Decade）文件，全面推動歐盟新網(wǎng)絡安全戰(zhàn)略的實施。10 月 7 日，歐盟議會表決通過“歐盟網(wǎng)絡防御能力狀況報告案”（EuropeanParliament Resolution on the State of EU Cyber DefenceCapabilities），呼吁歐盟及其成員國進一步制訂全面網(wǎng)絡安全措施與防御政策，以強化韌性及相互協(xié)調(diào)。在這一背景下，2021 年歐盟在加強關鍵基礎設施韌性、構建網(wǎng)絡技術主權與領導力、構建網(wǎng)絡聯(lián)合行動能力和發(fā)展全球開放網(wǎng)絡空間四個領域推動了一系列政策的實施，為歐盟未來網(wǎng)絡安全政策的重大調(diào)整拉開了序幕。

　　第一，通過更新網(wǎng)絡安全措施指令增強基礎設施安全與韌性。從近兩年發(fā)生的大規(guī)模針對網(wǎng)絡基礎設施的攻擊和網(wǎng)絡勒索事件中，歐盟認識到，全球供應鏈和關鍵基礎設施在面對網(wǎng)絡攻擊時非常脆弱。歐盟委員會的相關報告特別指出，那些與新冠肺炎疫情大流行作斗爭的醫(yī)院正面臨持續(xù)性的網(wǎng)絡攻擊風險。因此，20201 年，歐盟委員會聯(lián)合歐盟議會加快立法進程，確保迅速通過新的“歐盟范圍內(nèi)高度共同的網(wǎng)絡安全措施指令”（Directive on Measuresfor a High Common Level of Cybersecurity across theUnion）提議（該指令非正式地被稱為 NIS 2.0）。該指令最大的特點是擴大了網(wǎng)絡安全責任實體的覆蓋范圍，并增強了行政部門對網(wǎng)絡安全管理的權限。除了傳統(tǒng)網(wǎng)絡安全實體外，新指令還將包括廢水、公共管理和航天公司等部門納入關鍵基礎設施范圍。更為重要的是，它還引入了“重要”實體的概念，將郵政和快遞服務、廢物管理、制造、化學品生產(chǎn)和分銷、食品生產(chǎn)、加工和分銷、制造和數(shù)字提供商歸入“重要”實體，與“基本”實體相區(qū)分，讓行政部門可以酌情采取更為靈活的監(jiān)管政策。新的指令擬定了一份基本網(wǎng)絡安全風險管理措施清單，并要求成員國確?；竞椭匾獙嶓w的運營商向計算機安全事件響應小組報告重大網(wǎng)絡事件，而 2016 年的指令對這一問題的要求僅僅是“建議”。新的指令在監(jiān)督和執(zhí)行方面更為嚴格，賦予主管當局更多權力。例如，主管當局可以制定對基本和重要實體施加措施的清單，并將行政罰款的最高門檻提高到一千萬歐元或相應重要實體全球年總營業(yè)額的百分之二。歐盟理事會希望通過促成這一更加嚴格的網(wǎng)絡安全措施指令，加強對歐盟各關鍵基礎設施的監(jiān)管，降低他們遭到大規(guī)模網(wǎng)絡攻擊的風險。目前，這一新的指令被普遍認為是加強歐盟網(wǎng)絡安全的重要步驟。目前，歐盟議會的立法者們正在修改這一指令的相關文本，預計將在 2022 年下半年定稿并進入表決程序。

　　第二，大幅增加技術投入實現(xiàn)網(wǎng)絡技術主權。新的 EUCSS 特別關注歐盟技術主權的重要性。歐盟國家希望能夠在網(wǎng)絡技術領域形成一套獨立自主且可控的技術研發(fā)與應用路線，以保障歐盟國家擁有自身網(wǎng)絡安全的主導權。這些措施主要聚集于以下幾個領域：首先，在網(wǎng)絡安全投資領域，歐盟在“歐盟地平線”（Horizon Europe）和“數(shù)字歐盟計劃”（Digital Europe Program）中制定了新的財務工作機制，即通過歐盟網(wǎng)絡安全工業(yè)、技術和研究能力中心（European Cybersecurity Industrial, Technology andResearch Competence Centre ）和歐盟能力中心網(wǎng)絡（European network of competence center）兩個機構對這項財務計劃實施管理。預計，在 2021 年至 2027年間，每年將有 45 億歐元的公共和私人投資被引入歐盟網(wǎng)絡安全產(chǎn)業(yè)。其次，在網(wǎng)絡安全技術開發(fā)領域，歐盟支持人工智能安全運營中心網(wǎng)絡——即歐盟“網(wǎng)絡盾”的建設，并且繼續(xù)推動歐盟量子通信基礎設施（European Quantum Communication Infrastructure，EuroQCI）倡議被歐盟各國認可。目前，第一個被“數(shù)字歐盟計劃”支持的國家量子通信基礎設施（QCI）網(wǎng)絡和歐盟量子通信基礎設施所需關鍵技術的開發(fā)將很快啟動，為歐盟國家掌握量子安全通信技術邁出了重要的一步。最后，在關鍵網(wǎng)絡基礎設施建設過程中，歐盟國家努力發(fā)展自有技術方案實現(xiàn)基礎設施的完全可控。歐盟網(wǎng)絡安全戰(zhàn)略要求歐盟擁有自己的域名解析服務（DNS），作為歐盟公民、企業(yè)和公共管理機構訪問互聯(lián)網(wǎng)的安全開放替代方案，即歐洲域名解析系統(tǒng)（European Domain NameSystem）。在 5G 網(wǎng)絡領域，在歐盟委員會和歐盟網(wǎng)絡安全局的支持下，歐盟在實施 5G 工具箱方面取得了進一步進展，特別是在針對高風險供應商的限制方面，形成了較為統(tǒng)一的政策，并在積極籌備歐盟5G 網(wǎng)絡候選供應商認證計劃。

　　第三，建立聯(lián)合網(wǎng)絡單位（ Joint Cyber Unit），以改善歐盟應對大規(guī)模安全事件的響應能力，協(xié)調(diào)歐盟網(wǎng)絡安全行動。2021 年 6 月 23 日，歐盟委員會正式提出建立聯(lián)合網(wǎng)絡單位的計劃，以應對越來越多的嚴重網(wǎng)絡安全事件。這項建議的內(nèi)容涉及聯(lián)合網(wǎng)絡單位建設的重要節(jié)點、過程方案和具體時間安排等。建議指出，聯(lián)合網(wǎng)絡單位是一個平臺，可以確保在歐盟范圍內(nèi)對大規(guī)模網(wǎng)絡安全事件和危機做出協(xié)調(diào)一致的響應，并且為網(wǎng)絡危機造成的后果提供支持。這一聯(lián)合單位的建立將協(xié)調(diào)歐盟內(nèi)部各單位的行動，實現(xiàn)信息共享，并及時提供預警。在這一平臺上，歐盟可以提出統(tǒng)一的網(wǎng)絡安全事件和危機計劃，建立快速的歐盟網(wǎng)絡安全響應團隊，實行歐盟國家內(nèi)部和跨境監(jiān)視和檢測能力等重要網(wǎng)絡安全舉措。

　　第四，推動網(wǎng)絡安全領域外交合作，擴大歐盟網(wǎng)絡安全議題的全球影響力。歐盟委員會認為，當前的網(wǎng)絡威脅環(huán)境正通過開放的互聯(lián)網(wǎng)向全球傳導。惡意網(wǎng)絡活動的增加已經(jīng)嚴重影響信息和通信技術產(chǎn)品及其相關服務的安全性和完整性，并對全球開放的網(wǎng)絡空間以及法治、人權、基本自由和民主價值觀構成直接的威脅。一方面，在網(wǎng)絡安全治理領域，歐盟努力推進網(wǎng)絡空間負責任的國家行為，通過與其他 53 個共同發(fā)起方一起制定聯(lián)合國層面的推進負責任國家行為行動計劃（PoA）。2021 年，歐盟非常重視開展網(wǎng)絡外交活動，通過網(wǎng)絡安全領域的對話，加強和擴大與第三國、國際和區(qū)域組織以及其他利益攸關方的關系。2021 年 10 月，歐盟委員會開始積極推動歐盟自身機構以及歐盟國家的團體和機構能夠更好地協(xié)調(diào)歐盟外部網(wǎng)絡安全能力建設工作，推動落實歐盟網(wǎng)絡安全戰(zhàn)略中“建立全球開放網(wǎng)絡”的目標。另一方面，在共同打擊網(wǎng)絡犯罪領域，特別是針對愈演愈烈的網(wǎng)絡勒索事件，歐盟對外事務部（EEAS）正在審查《歐盟聯(lián)合外交應對惡意網(wǎng)絡活動框架實施指南草案》（The Framework for a JointEU Diplomatic Response to Malicious Cyber ActivitiesIndicates），以幫助開發(fā)網(wǎng)絡外交工具箱。2021 年 4月 16 日，歐盟針對惡意網(wǎng)絡活動的影響，特別就“太陽風”（SolarWinds）網(wǎng)絡攻擊事件聲援美國，展示了歐盟與美國在共同打擊網(wǎng)絡犯罪問題上堅定的同盟關系。這一系列網(wǎng)絡外交活動進一步擴大了歐盟在全球網(wǎng)絡安全治理領域的影響力。

　　三、歐盟網(wǎng)絡安全政策的特點

　　從 2021 年歐盟在網(wǎng)絡安全領域的政策與具體行動中可以發(fā)現(xiàn)，經(jīng)歷了新冠肺炎疫情期間多起嚴重網(wǎng)絡安全事件的后，歐盟國家對網(wǎng)絡安全問題的態(tài)度發(fā)生了重大轉(zhuǎn)變，大規(guī)模網(wǎng)絡安全事件成為迫在眉睫的嚴重風險因素。無論在政策制定、技術投資還是國際合領域，與以往歐盟網(wǎng)絡安全政策相比，當前的歐盟網(wǎng)絡安全政策都發(fā)生了顯著的改變。

　　第一，歐盟網(wǎng)絡安全政策焦點由個體層面轉(zhuǎn)向國家層面，網(wǎng)絡安全政策向更具強制力方向發(fā)展。從傳統(tǒng)看，歐盟更注重社會層面的網(wǎng)絡安全問題，在隱私保護、數(shù)據(jù)安全、打擊大型互聯(lián)網(wǎng)企業(yè)壟斷方面都投入了巨大的資源與經(jīng)歷?？梢哉f，從傳統(tǒng)意義上看，歐盟的網(wǎng)絡安全政策側重于保護個體。但是，新的歐盟網(wǎng)絡安全戰(zhàn)略改變了這一取向。面對新的網(wǎng)絡安全威脅環(huán)境，歐盟國家將主要精力轉(zhuǎn)向保護關鍵基礎設施和重要實體。也正是由于這一轉(zhuǎn)向，歐盟制定的網(wǎng)絡規(guī)范變得更為嚴格，更加具有約束力，體現(xiàn)了歐盟加強網(wǎng)絡管理力度的決心。

　　第二，歐盟在網(wǎng)絡安全領域更加強調(diào)獨立性。歐盟新網(wǎng)絡安全戰(zhàn)略強調(diào)歐盟的技術主權，并在網(wǎng)絡基礎設施建設、技術研發(fā)和投資領域積極貫徹這一目標。在新冠肺炎疫情期間，數(shù)字化辦公讓歐盟看到了歐盟數(shù)字化轉(zhuǎn)型的現(xiàn)實需求，也進一步增加了歐盟對缺乏網(wǎng)絡核心技術而導致安全風險的擔憂。因此，2021 年，歐盟開啟推動網(wǎng)絡技術和基礎設施獨立性進程，這一趨勢也與當前歐盟試圖在各領域擺脫對美國依賴的趨勢相契合。

　　第三，歐盟網(wǎng)絡安全戰(zhàn)略具有明確的意識形態(tài)特征和價值取向。歐盟網(wǎng)絡安全戰(zhàn)略附帶很強的意識形態(tài)色彩，歐盟對開放網(wǎng)絡空間的定義，強調(diào)了法治、人權、基本自由和民主價值觀，同時，歐盟也強調(diào)要和具有共同價值觀的合作伙伴一起推動國際網(wǎng)絡空間治理。同樣，在歐盟的網(wǎng)絡安全定義中，維護網(wǎng)絡空間各項所謂人權標準也被納入網(wǎng)絡安全整體框架。在對網(wǎng)絡安全威脅的闡釋中，歐盟特別強調(diào)了對“民主機構進行攻擊”的威脅，進一步將網(wǎng)絡威脅政治化和意識形態(tài)化。

　　歐盟在 2021 年的網(wǎng)絡安全政策調(diào)整是明顯且卓有成效的，除了維護歐盟所面對的網(wǎng)絡安全現(xiàn)實威脅以外，更反映出歐盟試圖成為未來全球網(wǎng)絡空間治理重要參與者，乃至成為全球網(wǎng)絡安全和數(shù)字空間領導者的雄心。

　　四、未來歐盟網(wǎng)絡安全政策發(fā)展趨勢

　　從當前歐盟網(wǎng)絡安全戰(zhàn)略的調(diào)整分析，歐盟對新興網(wǎng)絡威脅的積極回應，反映出歐盟在數(shù)字化轉(zhuǎn)型背景下對數(shù)字主權和網(wǎng)絡安全領導權的渴望。在這一背景下，歐盟未來的網(wǎng)絡安全政策可能會沿著以下兩條路徑發(fā)展。

　　一方面，建立更加具有獨立性的網(wǎng)絡安全體系。未來，數(shù)字經(jīng)濟發(fā)展更加涉及歐盟的核心利益，遭受新冠肺炎疫情嚴重沖擊的歐盟更加倚重數(shù)字轉(zhuǎn)型引領經(jīng)濟的復蘇。因此，在網(wǎng)絡安全領域，歐盟未來必然將著重以“數(shù)字主權”為抓手，降低對全球網(wǎng)絡技術供應鏈的依賴，同時，通過推進歐盟網(wǎng)絡治理規(guī)則、價值觀念的輸出與傳統(tǒng)網(wǎng)絡強國開展競爭，爭奪網(wǎng)絡空間治理的領導權。在這一趨勢下，歐盟必然需要擺脫在網(wǎng)絡安全治理領域?qū)γ绹诩夹g、體制上的各種依賴，形成一套獨立自主的網(wǎng)絡安全規(guī)范和技術體系。雖然歐盟依然強調(diào)網(wǎng)絡安全領域的美歐同盟，但是，從過去以數(shù)據(jù)主權、隱私保護和反壟斷為由打擊美國網(wǎng)絡巨頭，到計劃在未來實現(xiàn)網(wǎng)絡基礎設施建設、技術規(guī)范的獨立自主，都折射出歐盟的這一政策取向。這預示著，未來網(wǎng)絡安全領域的美歐同盟將不會再是一種單向的依賴關系。

　　另一方面，制定日趨嚴格和集權化的網(wǎng)絡安全政策。在新冠肺炎疫情背景下，針對關鍵基礎設施的網(wǎng)絡攻擊變得越來越頻繁，造成的損失也更為嚴重。歐盟制定新的“網(wǎng)絡安全措施指令”，更為嚴格地約束其成員國行為。很多過去的網(wǎng)絡安全建議轉(zhuǎn)變?yōu)橛残砸?guī)定，顯示出歐盟委員會統(tǒng)一網(wǎng)絡安全治理政策的堅定決心。雖然這一新指令依然還在等待歐盟議會的審批中，但是，歐盟提高自身在網(wǎng)絡安全領域的行政權威，統(tǒng)一成員國網(wǎng)絡安全規(guī)范的趨勢已經(jīng)顯現(xiàn)。未來，歐盟會改革原有松散的管理體制，統(tǒng)一各成員國行動，在網(wǎng)絡安全領域采取更為積極的態(tài)度。

　　歐盟正不斷強化網(wǎng)絡技術主權和網(wǎng)絡安全的領導能力。在數(shù)字化轉(zhuǎn)型時代，構建網(wǎng)絡安全領域領導力已經(jīng)成為歐盟委員會及其他歐盟主要機構的重要目標。在數(shù)字化時代的全球網(wǎng)絡安全治理體系中，歐盟將扮演重要的角色。