【TechOrange 編輯部導讀】今年 8 月裴洛西訪台，從小 7 到台鐵，甚至到外交部、總統府官網都被駭或遭到攻擊，顯示台灣對基礎設施的資安管理有待加強。

放眼國際，我們可以看到歐盟批准實施了 NIS 2.0 新政策，歐盟從烏俄戰爭中看見了怎樣的資安啟示？同時，這也相當值得台灣政府與企業主共同思索：當台灣可能面臨新形態戰爭，我們需要如何加強防護關鍵基礎設施？

今年 11 月底，歐盟議會和歐盟高峰會（European Council）批准實施一項名為Network and Information Security Directive 2（網路和訊息安全指令 2，下稱 NIS 2.0）的新政策。該政策將取代自 2016 年、作為歐盟第一個網路安全法規的初代 NIS 指令。

據世界經濟論壇指出， NIS 2.0 旨在擴大初代 NIS 所涵蓋的範圍，以及提升歐盟成員國對網路安全的標準門檻、強化其應變措施與防禦能力。值得注意的是，此次升級所擴大涵蓋的對象大多為能源系統、醫療網絡以及運輸服務等關鍵基礎設施。

歐盟 NIS 2.0：擴大規範 11 類對象，成立反應指揮中心抵禦網路攻擊

藉由《Lexology》彙整的資訊，來細看 NIS 2.0 與初代 NIS 的不同之處。舊的NIS 指令，以基本服務營運商（Operator of essential services）的名稱，來概括受規範對象，新版則以高度關鍵部門（Sectors of high criticality）稱呼，同時新增 11 項納管機構。

像是在能源類別，舊版 NIS 僅囊括電力、石油和天然氣等機構，新版則擴大到所有區域性供熱、冷卻設施，以及氫能源相關機構。而在數位基礎設施類別中，則擴大包含數據中心服務供應商、內容傳遞網路（CDN）服務供應商，以及電網、電訊通信營運單位。其他類別還包含水利設施、政府行政部門，都在納管範圍。

♦ TO 延伸閱讀：【戰爭將滿週年】烏克蘭總統談話從未斷線！他們如何打造世界最有效的資安防禦

除了擴大範圍，NIS 2.0 還成立一個名為歐盟網路危機聯繫網絡 EU-CyCLONe（Cyber Crises Liaison Organisation Network ）的反應中心，作為協助成員國戮力合作，提升網路安全計畫的一部分，該中心目的是協助歐盟各國監督、反應所遭遇的重大網路攻擊。

「如果我們受到工業規模的網路攻擊，我們也需要以同等規模聯手合作、抵禦。」歐盟議會議員 Bart Groothuis 指出。

且據 NIS 2.0 指令，歐盟還會與美國等國家一起強制執行更嚴格的網路安全匯報規定。例如該法規將要求所有受規範組織，在察覺遭受網路攻擊的24小時內提出報告，不這樣做的公司恐面臨巨額罰款。

中國駭客入侵、烏俄戰爭威脅基礎設施，新版 NIS 勢在必行

然而為何選在這個時間點批准實施 NIS 2.0 ？事實上有關 NIS 2.0 已經進行數年，且 2020 年就已經有相關提案。而鑑於近年歐盟成員國及國際社會遭受到資安威脅更勝以往，也是歐盟決議更新它的主因。

像是今年 2 月，比利時和荷蘭的幾間大型煉油廠遭到網路攻擊，駭客主要癱瘓了油庫的自動裝卸流程，導致碼頭邊等著裝卸原油產品的船無法順利操作，幾乎中斷了整個地區的石油產品交易。

♦ TO 延伸閱讀：網路防禦力才是 21 世紀戰爭決勝點，烏俄之戰帶給台灣什麼新啟示？

又或是中國針對全球電信服務的攻擊。根據美國國安機構在今年中發布的調查報告指出，由中國政府雇傭的駭客，在過去兩年陸續入侵全球多家大型電信業者。據《MIT Technology Review》報導，中國駭客多半利用 Cisco、Citrix 和 Netgear 等常見網路設備供應商的產品漏洞，訪問目標網路。

更不用提烏俄戰爭挑動歐洲各國對網路安全的敏感神經。當今年 2 月俄羅斯初入侵烏克蘭時，俄羅斯政府的駭客將攻擊目標對準了美國衛星公司 Viasat。該行動立刻導致烏克蘭軍隊在戰爭初期失去通訊工具，因為烏克蘭軍隊依靠 Viasat 的衛星服務來指揮部隊。

這次襲擊證明了俄國軍方有能力採用網路攻擊、發動軍隊，兩者同步的混合戰略，不但向世人昭示了網路在現代戰爭中的角色，同時也威脅著 Viasat 在全球的合作夥伴：其他西歐國家、美國軍方等。

NIS 2.0 在 12 月正式生效後，未來歐盟成員國將有 21 個月的時間，將新規定納入該國立法。然而與此通時，EU-CyCLONe 成員已著手進行大規模網路攻擊模擬，以提高歐盟整體的戰備水準。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：在戰爭爆發時守住醫院與電網！歐盟全新資安指令怎麼抵禦新形態戰爭？