強化網路與資通訊供應鏈安全 歐盟提出新版《網路安全法》草案

(中央社財經訊息服務20260430 11:51:15)歐盟執委會（European Commission）於2026年1月20日發布《第二代網路安全法》（Cybersecurity Act 2, CSA2）草案，旨在更新並取代2019年原歐盟《網路安全法》（Regulation (EU) 2019/881）。為應對近年來日益嚴峻的網路安全威脅與地緣政治下之供應鏈風險，防範混合威脅並防止歐盟單一數位市場之法規零碎化，本次草案著重強化歐盟整體的網路安全韌性與量能，提高監管一致性，確保歐盟公民使用的數位產品與服務符合「預設網路安全」（Cyber-secure by Design）之標準，亦即產品在設計與開發階段就要預先納入資安防護。

本次草案引入歐盟層級的「資通訊（ICT）供應鏈安全」跨領域規範架構，針對能源、電信、金融等關鍵產業，賦予歐盟執委會界定「關鍵資通訊資產（Key ICT Assets）」及指定某一第三國為「對 ICT 供應鏈具網路安全疑慮之國家（Country posing cybersecurity concerns to ICT supply chains）」之權限。具體而言，凡設立於該等國家，或受該第三國、設立於該第三國之實體、該第三國國民等對象所控制之實體，均屬「高風險供應商（High-Risk Suppliers）」範疇，將面臨全歐盟範圍之限制，包括被排除於歐洲標準化工作、歐盟網路安全認證與合規性評估工作等活動之外，並禁止參與涉及關鍵ICT資產之ICT零組件的公共採購或歐盟補助活動等。前述指定某一第三國為「對ICT供應鏈具網路安全疑慮之國家」之評估標準，不僅包含技術面，亦涵蓋第三國不當影響、缺乏有效的司法救濟途徑或民主監督等「非技術性風險」。執委會並得透過實施法（Implementing Acts），禁止關鍵與重要實體使用高風險供應商之零組件，並要求實施嚴格的供應鏈風險緩解措施（Supply‑chain Mitigation Measures）；針對電子通訊網路等已部署之設備，更可能面臨限期汰換要求。

在資安認證與主管機關權責方面，草案大幅擴展「歐洲網路安全認證框架（European Cybersecurity Certification Framework, ECCF）」，其認證範圍不再侷限於ICT產品與服務，更首度延伸至評估組織整體的「網路安全態勢（Cybersecurity Posture）」與風險管理成熟度。為減輕行政負擔，草案要求歐盟網路安全局（European Union Agency for Cybersecurity, ENISA）須於12個月內完成認證機制的制定。此外，草案進一步擴大 ENISA的實務運作與戰略角色，除常設性職權外，並要求該局負責發布全歐盟之早期預警、營運單一事件通報平台、維護歐洲漏洞資料庫，及管理「歐盟網路安全儲備庫（EU Cybersecurity Reserve）」以支援重大資安事件之應變協調。

資策會科技法律研究所指出，新版法案規定將對全球資通訊產業、關鍵技術使用者及基礎設施營運商產生深遠影響，評估角度將從技術性風險擴展至非技術性風險。我國身處全球ICT供應鏈重要樞紐，對我國企業而言高風險供應商的識別機制與資安認證要求的擴大，將促使企業必須重新審視其供應鏈韌性、更新契約條款，並提升組織內部的資安治理成熟度。伴隨該草案進入後續立法程序，其相關機制之具體運作及後續推行方式，為公、私部門後續需密切追蹤之重點。