2024年欧盟网络安全状况报告

联系方式 For contacting the authors please usesecurity-index@enisa.europa.eu关于本文的媒体联系，请联系press@enisa.europa.eu. ENISA作者 致谢 我们谨感谢NIS合作小组和欧洲委员会的宝贵反馈、审查以及积极参与的合作。 法律通知 本出版物代表ENISA的观点和解释，除非另有说明。它不认可依据法规(EU) No 2019/881 ENISA或ENISA机构所承担的监管义务。 ENISA有权修改、更新或删除出版物及其任何内容。它仅用于信息目的，并且必须免费获取。所有引用其内容或将其整体或部分使用的情况都必须注明ENISA为其来源。如需引用第三方来源，将视情况而定。ENISA不对此负责或承担任何责任。 本出版物中引用的外部来源的内容，包括在本出版物中引用的外部网站。ENISA 或代表 ENISA 行使任何权利的任何个人均不对本出版物中包含信息的可能使用负责。ENISA 保留对本出版物相关的知识产权。 版权声明 © 欧洲网络安全局（ENISA），2024年 本出版物根据CC-BY 4.0协议授权使用 “除非另有说明，本文件的再利用是根据知识共享署名4.0国际协议（CC BY 4.0）（https://creativecommons.org/licenses/by/4.0/）授权的。这意味着允许再利用，但前提是应给予适当的署名，并标明任何修改”。第17页、第28-29页、第31页、第33页、第36-37页、第47页、第48页、第51页、第52页、第56页中的图片©Shutterstock.com 对于非ENISA版权范围内的照片或其他材料的任何使用或复制，必须直接向版权持有人申请许可。 目录编号：TP-01-24-005-EN-N ISBN: 978-92-9204-681-1DOI: 10.2824/0401593 2024网络安全联盟现状报告 2024年12月 目录 引言 1.联盟网络安全格局 1.1 法律环境 1.2 工会层面的风险评估 1.3 欧盟网络威胁格局 2. 联盟层面的网络安全能力 2.1 高级发现2.2 国家能力：国家网络安全战略的协调性2.3 私营部门能力：关键行业的网络安全能力2.4 社会能力：欧盟公民的网络安全意识与网络卫生 3. 提升网络安全水平 3.1 政策实施 3.1.1 实施全面且互补的网络安全政策框架3.1.2 识别与监管3.1.3 网络安全风险管理措施3.1.4 信息共享与报告义务：机构框架与实践 3.2 网络危机管理 3.2.1 情境意识3.2.2 国家 CSIRTs3.2.3 国家能力：网络演习 3.3 网络安全技能3.4 供应链安全3.4.1 漏洞处理与披露 4.5.展望未来ANNEX 执行摘要 网络安全水平不断提高。同时，为解决特定行业挑战，推出了跨部门政策倡议（例如DORA、NCCS、航空业）。动荡的地缘政治格局has influenced the goals and tactics employed by state and non-state threat actors, while an assessment of the threat landscape reveals an欧盟网络事件增加在观察到的各种攻击类型中，勒索软件和DDoS攻击占据了主导地位。 This document marks the第一份关于联盟网络安全状况的报告，由ENISA与NIS合作小组及欧盟委员会合作采纳，依据指令（EU）2022/2555第18条（以下简称NIS2）。本报告旨在为欧盟层面的政策制定者提供基于证据的网络安全态势和能力概述，涵盖欧盟、国家和社会层面，并附带政策建议，以解决已识别的不足之处，提升欧盟整体的网络安全水平。 本报告结论认为，欧盟网络安全政策框架的成熟度已达到相当的水平。接下来的时期可能需要重点关注由欧盟成员国在欧盟委员会和ENISA的支持下，协助私营和公共部门实施数据保护立法。在此框架内建立的众多协作机制、流程和平台，如NIS合作组 本报告的撰写早于NIS2的转化日期。因此，此处展示的部分数据可能无法完全反映转化截止日期（2024年10月17日）后的网络安全能力。尽管如此，本报告包含若干短期内和中长期内不太可能发生变化的数据点，并可作为NIS2全面实施前欧盟网络安全现状的快照由欧盟成员国（MSs） 。 、EU-CyCLONe以及CSIRTs网络等，为解决关键政策领域所识别的不足提供了坚实的基础和一套全面的工具箱，具体而言政策执行，网络危机管理能力and供应链. 近期以来一直以包括但不限于NIS2、CRA、CSOA和EUDIF的横向政策举措that improve the EU cybersecurity policyframework and establish all necessary structures and processes to allow for targeted improvements at the 免责声明 这份报告的起草工作发生在特殊时期，因其收集的数据指代NIS2指令转化仍在进行期间的阶段，而报告的发布则紧随NIS2转化截止日期之后。我们承认这一差异可能导致关于NIS2转化状态和能力发展状况的观察与结果，可能无法反映各自在10月17日及之后的实际状态。然而，在转化过程仍在进行的背景下，捕捉欧盟网络安全现状的快照至关重要，以便为后续报告中评估NIS2的影响提供支持。 本报告中包含的数据通常指当前的法律框架（例如NIS2和欧洲数字身份框架），除非另有说明；例如，术语“关键服务运营商（OES）”和“数字服务提供商（DSP）”的使用及其相关数据涉及NIS1。 具体而言，本报告建议： 加强向EUIBA和国家级主管当局以及属于NIS2指令范围内的实体的技术支持与资金支持确保欧盟网络安全政策框架的协调发展、全面性、及时性和一致性利用欧盟层面已有的结构，例如NIS合作小组、CSIRTs网络和欧盟机构。 应理事会要求，修订欧盟协调应对大规模网络事件的蓝图,同时兼顾所有最新的欧盟网络安全政策发展。修订后的欧盟蓝图应进一步促进欧盟网络安全协调和优化,以及加强国家和欧盟网络安全能力在国家和欧洲层面提升网络安全韧性。 加强欧盟网络劳动力通过实施网络安全技能学院and in particular by establishing a欧盟对网络安全培训的通用方法, 识别未来技能需求，developing a协调的欧盟方法to利益相关者的参与以应对技能差距和setting up a欧洲网络安全技能认证体系. 解决欧盟供应链安全问题通过加强欧盟范围内的协调风险评估and the欧盟供应链安全横向政策框架的开发旨在应对公共部门和私营部门所面临的网络安全挑战。 增强对行业特定性和需求的了解，提高由NIS2指令覆盖的行业网络安全成熟度水平。and在根据CSOA建立的未来网络安全应急机制下使用对于行业准备和韧性，重点关注通过欧盟范围内风险评估识别出的薄弱或敏感行业和风险。 Promote a统一方法通过利用现有的政策举措，并通过协调各国努力来实现专业人员和公民普遍具有较高水平的网络安全意识和网络卫生习惯。, 不论人口统计特征如何。 引言 该方法论，包括相关变量，如来自所有考虑数据源的数量和质量指标，由ENISA与委员会、合作小组和ENISA的CSIRTs网络、ENISA的管理委员会以及ENISA的非正式专家网络合作开发。 第18条指令（EU）2022/2555关于在全联盟内采取高共同网络安全水平的措施（NIS2）1 foresees that ENISA将与中国 комиссии和合作组合作，制定一份关于联盟网络安全状况的年度报告，并提交和向欧洲议会呈递该报告。. 该文档代表有史以来第一次版本报告中的联盟网络安全状况向既定目标受众——欧洲议会——进行展示。 这些来源提供了对联盟网络安全不同方面的见解，本报告中的观察和发现基于上述数据集中的单个感兴趣数据点或对多个数据点的相关分析。观察和发现还通过一系列与NIS合作组和欧洲委员会的磋商得到了验证。 用于评估联盟网络安全状况并开展分析以识别不足之处、提出提升联盟整体网络安全水平的措施的数据，来源于多个途径，包括但不限于欧盟网络安全指数、ENISA威胁图景、NIS投资报告、欧盟关于事件和威胁的网络安全技术状况报告（网络安全法案第7(6)条报告）、面向2030年的网络安全威胁前瞻、现有网络安全法规框架下的报告事件、不断演变的欧盟政策环境等2. 本报告旨在回顾自2023年1月16日《网络安全指令2》（NIS2）生效至2024年7月期间欧盟网络安全状况。在特殊情况下，如近期数据不可用，则采用了较早的数据来源。 ：NIS2的第18.1条和第18.2条规定了报告中应包含的具体要素。这些要素与报告结构对应如下。 CYBERSECURITYLANDSCAPEIN THEUNION 在最近的过去，已经发生了一些立法发展。在指令（EU）2016/1148生效之后NIS指令3) 在 2016 年和网络安全法案42019年，欧盟层面的一项重大政策里程碑是欧盟网络安全战略（发布于2020年12月16日）5自那以后 关于积极利用的漏洞和严重网络安全事件的责任也被引入，适用于法案生效21个月后。 已采取多项监管措施，重要的新立法已出台以补充欧盟网络安全框架。更具体地说，应当提及以下立法文件。 • The《网络团结法案》(CSOA)7预计将于2025年初生效。CSOA规定了加强联盟检测、准备和应对网络安全威胁和事件的能力的措施。它引入了三个主要支柱，以加强联盟层面的团结，更好地检测、准备和应对重大或大规模网络安全事件，包括欧洲网络安全警报系统（泛欧网络枢纽网络）、网络安全应急机制和欧洲网络安全事件审查机制。 • 五年后，网络和信息系统安全指令的移植日期新的NIS2指令于2023年1月16日生效，设定了成员国于2024年10月17日实施的时间表。NIS2指令通过在18个经济部门（包括安全要求和事件报告）对实体施加法律义务，为提升欧盟整体网络安全水平提供法律措施。它还要求成员国提高准备状态，例如通过赋予计算机安全事件响应小组（CSIRTs）和主管当局更广泛的权限和任务。NIS2指令还通过继续和加强最初根据NIS指令建立的合作小组，促进所有成员国之间的合作，以支持并便利成员国之间的战略合作和信息交换。它还制度化欧盟-CyCLONe网络，旨在提高对大规模网络安全事件和危机的应对准备状态和协调管理能力，并确保成员国之间和欧洲基础设施和关键部门管理局（EUIBA）之间相关信息的定期交换。 • The网络安全法案的修正案(CSA修正案)8预计将于2024年底生效。拟议的针对性修订旨在通过委员会的实施法案，除信息和通信技术（ICT）产品、信息和通信技术服务以及信息和通信技术流程外，还支持采用欧洲网络安全认证方案，这些内容已涵盖在《网络安全法案》中。 • The关于欧盟机构、机构和机构采取高共同网络安全水平的措施的规定(EUIBAs)9于2023年通过，并于2024年1月7日生效。 • 委员会实施条例（EU）2024/482，该条例规定了有关采用网络安全法案的网络安全法案适用规则。基于欧洲共同标准（Common Criteria）的网络安全认证方案(EUCC)10于2024年2月生效，并将于2025年2月27日起适用。 • The网络弹性法案(CRA)6已于2024年10月23日生效。加拿大皇家铸币厂（CRA）为包含数字元素的产品、硬件和软件引入了共同的网络安全要求，旨在最小化产品漏洞，并确保网络安全在设计和生产阶段得到认真对待，同时保证此类产品的支持期内漏洞管理得到保障。制造商将在该法规生效36个月后必须遵守相关规定。报告 • 其他近期与网络安全领域相关的工会立法包括但不