2026年1月19日

欧盟委员会于近日提出一项新的网络安全包，旨在应对日益增加的网络和混合攻击威胁。该包包括修订的Cybersecurity Act，旨在提升欧盟的信息通信技术（ICT）供应链安全，并简化认证流程，以保护关键服务和民主机构免受复杂国家及犯罪集团的攻击。

修订的Cybersecurity Act引入了一个可信ICT供应链安全框架，采用和谐、比例和基于风险的方法，识别并缓解18个关键部门的供应链风险。该框架特别关注减少来自具有网络安全担忧的第三国供应商的风险，包括强制从欧洲移动电信网络中逐步淘汰高风险供应商，并基于5G安全工具箱进行扩展。

该包还包括针对NIS2 Directive的针对性修正，以提高法律清晰度并简化合规要求。这将惠及28,700家公司，包括6,200家微型和小企业，并引入新的小中型企业类别，以降低22,500家公司的合规成本。同时，简化管辖规则、优化勒索软件数据收集，并加强ENISA在跨境实体监督中的协调作用。

法案内容概要：新包强调产品默认安全设计，强化ENISA在威胁分析、事件响应和漏洞管理中的作用，包括建立技能学院和认证方案。Cyber Resilience Act的修订聚焦于产品生命周期的安全要求，而Cyber Solidarity Act则旨在提升欧盟在网络事件中的集体响应能力，一旦获批，Cybersecurity Act将立即适用，NIS2修正则给予成员国一年实施期。

中国相关事项：虽然未直接提及中国，但该包针对高风险第三国供应商的措施可能影响中国科技公司，如华为等欧盟已限制的供应商。欧盟旨在减少对这些供应商的依赖，以防范外国干扰和供应链风险，此举与欧盟经济安全战略一致，可能加剧中美欧在科技领域的紧张关系。

https://ec.europa.eu/commission/presscorner/detail/en/ip_26_105

https://ec.europa.eu/newsroom/dae/redirection/document/123727

https://ec.europa.eu/commission/presscorner/api/files/attachment/882208/Factsheet%20New%20Cybersecurity%20Package.pdf