安全資訊

文 | 國家工業(yè)信息安全發(fā)展研究中心 王麗穎
當前，網(wǎng)絡(luò )空間已成為繼海、陸、空、天之后的第五大主權領(lǐng)域空間，不僅事關(guān)經(jīng)濟安全和社會(huì )穩定，更是國際競爭與政治博弈的關(guān)鍵領(lǐng)域。同其他領(lǐng)土主權一樣，保障網(wǎng)絡(luò )空間安全就是保障國家安全。關(guān)鍵基礎設施（以下簡(jiǎn)稱(chēng)“關(guān)基”）作為網(wǎng)絡(luò )空間的“神經(jīng)中樞”，其功能穩定與服務(wù)持續是維護國家安全和社會(huì )穩定的核心要素。以歐盟、美國和日本等為代表的各國紛紛出臺相關(guān)戰略規劃、法律法規以及實(shí)施方案，進(jìn)一步加大對關(guān)基的網(wǎng)絡(luò )安全保護力度。其中，歐盟較早認識到關(guān)基網(wǎng)絡(luò )安全保護的重要性，陸續頒布《保護關(guān)鍵基礎設施的歐洲計劃》《歐盟網(wǎng)絡(luò )安全戰略》等一系列政策指令。尤其在協(xié)調成員國強化關(guān)基網(wǎng)絡(luò )安全防護力度方面，歐盟更是加大工作力度。2022 年以來(lái)，歐盟又通過(guò)了《關(guān)于在整個(gè)歐盟全境實(shí)現高度統一網(wǎng)絡(luò )安全措施的指令》《關(guān)于關(guān)鍵設施彈性的指令》《網(wǎng)絡(luò )彈性法案》、關(guān)基保護藍圖、《數字運營(yíng)彈性法案》以及《人工智能法案》等多項政策，這些政策的實(shí)施將進(jìn)一步提升關(guān)基網(wǎng)絡(luò )安全防護能力和水平。

一、搭建了一套較為完善的關(guān)基網(wǎng)絡(luò )安全防護法律體系

歐盟全面強調關(guān)基網(wǎng)絡(luò )安全保護的重要性，陸續出臺多項政策，實(shí)行以風(fēng)險管理為基礎的網(wǎng)絡(luò )安全治理策略。

一是 NIS 2 指令是歐盟關(guān)基網(wǎng)絡(luò )安全防護的“基準線(xiàn)”。2022 年 12 月，歐洲議會(huì )和理事會(huì )共同通過(guò)了《關(guān)于在整個(gè)歐盟全境實(shí)現高度統一網(wǎng)絡(luò )安全措施的指令》（NIS 2 指令），確定了整個(gè)歐盟關(guān)基的網(wǎng)絡(luò )安全法律框架。NIS 2 指令作為歐盟關(guān)基網(wǎng)絡(luò )安全防護的核心法規，構建了一套基于分級分類(lèi)原則的網(wǎng)絡(luò )安全防護體系。根據關(guān)基實(shí)體的重要性和規模上限要求，NIS 2 指令明確十類(lèi)基本實(shí)體和六類(lèi)重要實(shí)體，清晰界定受管轄范圍和具體對象。針對不同類(lèi)別的實(shí)體規定不同的網(wǎng)絡(luò )安全風(fēng)險管理和事件報告要求，提高了關(guān)基網(wǎng)絡(luò )安全防護的針對性，并規定了違規行為的具體懲罰措施，通過(guò)制定極高的罰款金額，倒逼關(guān)基實(shí)體提高對內生網(wǎng)絡(luò )安全的重視。
二是 CER 指令是歐盟關(guān)基網(wǎng)絡(luò )安全防護的“配套法則”。2022 年 12 月，歐盟通過(guò)了《關(guān)于關(guān)鍵設施彈性的指令》（CER），該指令明確歐盟地區的關(guān)基領(lǐng)域主要涉及 11 個(gè)領(lǐng)域，并明確識別關(guān)基實(shí)體的考慮因素和安全義務(wù)。CER 指令是 NIS2 指令的“配套法則”，根據 CER 指令被確定為關(guān)基實(shí)體的重點(diǎn)行業(yè)企業(yè)和機構也將受到 NIS 2 指令的網(wǎng)絡(luò )安全義務(wù)約束。同時(shí)，CER 和 NIS 2 指令下的國家主管部門(mén)必須定期合作和交換相關(guān)信息，如網(wǎng)絡(luò )和非網(wǎng)絡(luò )風(fēng)險、威脅和事件等。
三是 CRA 法案是歐盟關(guān)基網(wǎng)絡(luò )安全防護的“產(chǎn)品檢驗法”。2022 年 9 月，歐盟委員會(huì )發(fā)布《網(wǎng)絡(luò )彈性法案》（CRA），該法案規定，特定關(guān)基實(shí)體必須使用經(jīng)安全認證的信息和通信技術(shù)產(chǎn)品，進(jìn)一步加強關(guān)基中數字產(chǎn)品的網(wǎng)絡(luò )安全。CRA 法案是歐盟關(guān)基實(shí)體中軟硬件等數字產(chǎn)品的“檢驗法”，根據網(wǎng)絡(luò )安全風(fēng)險級別的不同，數字產(chǎn)品被劃分為 I 類(lèi)和 II 類(lèi)，為產(chǎn)品制造商、進(jìn)口商和分銷(xiāo)商等主體設定了不同的網(wǎng)絡(luò )安全評估要求，確保不同主體在數字產(chǎn)品供應鏈的網(wǎng)絡(luò )安全中承擔起各自的責任。
四是關(guān)基保護藍圖是歐盟關(guān)基網(wǎng)絡(luò )安全防護的“國際協(xié)作指南”。2023 年 9 月，歐盟委員會(huì )提出“協(xié)調聯(lián)盟層面行動(dòng)以應對關(guān)鍵基礎設施中斷造成重大跨境影響的規劃藍圖”（以下簡(jiǎn)稱(chēng)“關(guān)基保護藍圖”）。該藍圖旨在通過(guò)落實(shí)國內協(xié)調聯(lián)動(dòng)措施，提升國際聯(lián)合應對能力，實(shí)施關(guān)基網(wǎng)絡(luò )安全事件分類(lèi)分級管理，以改善關(guān)基網(wǎng)絡(luò )安全等危機造成的破壞性跨境影響，加大智能化響應能力，強化關(guān)基復原力，確保關(guān)基恢復的時(shí)效性和有效性。
五是 DORA 法案及 AI 法案等是歐盟關(guān)基網(wǎng)絡(luò )安全防護的“細分法則”。為配合 NIS 2 指令的落地與實(shí)施，歐盟在金融等特定關(guān)基領(lǐng)域中，制定了更為細致的法則。在金融領(lǐng)域，2022 年 11 月，歐盟理事會(huì )通過(guò)了《數字運營(yíng)彈性法案》（DORA），主要針對金融領(lǐng)域中的關(guān)基實(shí)體，該法案由 DORA 主管部門(mén)與 NIS 2 指令下設的單一聯(lián)絡(luò )點(diǎn)（SPOCs）和計算機安全事件應急響應小組（CSIRT）協(xié)商并共享安全信息，以預防和減輕針對金融領(lǐng)域的網(wǎng)絡(luò )威脅，確保金融實(shí)體的彈性運作。同時(shí)，就關(guān)基領(lǐng)域中的 AI 技術(shù)使用問(wèn)題，2022 年 6 月，歐洲議會(huì )通過(guò)了《關(guān)于“歐洲議會(huì )和理事會(huì )條例：制定人工智能的統一規則（人工智能法案）并修訂某些聯(lián)盟立法”的提案》（簡(jiǎn)稱(chēng)“AI 法案”）。該法案將關(guān)基領(lǐng)域中的 AI 應用風(fēng)險列為高風(fēng)險，作為重點(diǎn)監管對象，并提出了具體的監管措施。
二、明確關(guān)基實(shí)體范疇并確立分類(lèi)分級的關(guān)基實(shí)體清單

一是清晰界定關(guān)基實(shí)體涉及的 11 個(gè)領(lǐng)域和范疇。歐盟 CER 指令中界定的關(guān)鍵實(shí)體指提供基本服務(wù)，維護關(guān)鍵社會(huì )職能、經(jīng)濟、確保公眾健康和安全、環(huán)境的機構，具體包括能源、交通、銀行、金融市場(chǎng)基礎設施、醫療、供水、廢水、數字基礎設施、公共管理、太空、食品等 11 個(gè)領(lǐng)域。在這些領(lǐng)域內，CER 指令要求歐盟成員國詳細梳理出本國的關(guān)基實(shí)體清單，并對其開(kāi)展全面的安全風(fēng)險評估。評估內容涉及兩個(gè)主要方面：一是關(guān)基實(shí)體面臨的各種風(fēng)險，包括自然災害人為事故、突發(fā)公共衛生事件、潛在的敵對威脅和恐怖主義活動(dòng)等；二是關(guān)基實(shí)體提供的基礎服務(wù)特性，以及這些服務(wù)對其他領(lǐng)域的依賴(lài)程度。一旦實(shí)體發(fā)生安全事件，它可能對所提供的基本服務(wù)或該領(lǐng)域其他基本服務(wù)產(chǎn)生重大破壞性影響。在梳理安全風(fēng)險的過(guò)程中，還需考慮關(guān)基實(shí)體提供的基本服務(wù)的用戶(hù)數量、其他部門(mén)對該服務(wù)的依賴(lài)程度、安全事件可能對經(jīng)濟、社會(huì )運轉、環(huán)境和公共安全造成的影響程度和持續時(shí)間等因素。此外，實(shí)體在基本服務(wù)領(lǐng)域所占的市場(chǎng)份額、可能受事件影響的地理區域、實(shí)體在維持基本服務(wù)水平方面的重要性，以及其他替代方案的可行性。

二是通過(guò)自主登記制度確定關(guān)基實(shí)體清單。為了進(jìn)一步落實(shí)關(guān)基實(shí)體清單，NIS 2 指令敦促歐盟成員國在 2025 年 3 月前，通過(guò)基本實(shí)體和重要實(shí)體的自我注冊機制，形成關(guān)基管轄范圍內的所有實(shí)體清單。該清單詳細列出每個(gè)實(shí)體的名稱(chēng)、內部下屬部門(mén)和分部門(mén)、地址、電子郵件和電話(huà)號碼等聯(lián)系信息，以及實(shí)體活躍的成員國名單。因此，NIS 2 指令按照“規模上限原則”，將未達到一定規模門(mén)檻的實(shí)體排除在管理范圍之外。例如，員工數量少于 10 人、年收入 200 萬(wàn)歐元或以下的小型和微型企業(yè)被排除在外。然后根據這些實(shí)體的規模大小、所在領(lǐng)域和重要程度，將他們分為基本實(shí)體和重要實(shí)體兩類(lèi)，其中基本實(shí)體包括能源、健康、交通、飲用水、廢水、空間、公共政府、信息通信技術(shù)服務(wù)管理（B2B 商家對商家）、金融市場(chǎng)基礎設施、銀行業(yè)、數字基礎設施（包括互聯(lián)網(wǎng)服務(wù)提供商 ISP 和云）等。這類(lèi)實(shí)體的員工數量通常為 250 人，年營(yíng)業(yè)額為 50 萬(wàn)歐元或資產(chǎn)負債表為 43 萬(wàn)歐元。重要實(shí)體則包括數字供應商、研究、郵政和快遞服務(wù)、食品生產(chǎn)與分銷(xiāo)、制造業(yè)、化學(xué)品制造生產(chǎn)和分銷(xiāo)、廢棄物管理等，這類(lèi)實(shí)體的員工數量通常為 50 人，年營(yíng)業(yè)額為 10 萬(wàn)歐元或資產(chǎn)負債表為 10 萬(wàn)歐元。

三是根據網(wǎng)絡(luò )安全風(fēng)險級別劃定關(guān)基中數字產(chǎn)品的不同類(lèi)別。關(guān)基中使用的數字產(chǎn)品涵蓋了各種軟件和硬件產(chǎn)品，以及遠程數據處理解決方案。CRA 根據產(chǎn)品存在網(wǎng)絡(luò )安全風(fēng)險的相關(guān)級別，分為三類(lèi)“具有數字元素的關(guān)鍵產(chǎn)品”，即 I 類(lèi)、II 類(lèi)和默認類(lèi)別。其中，關(guān)基中的數字產(chǎn)品涉及 I 類(lèi)和 II 類(lèi)，這兩類(lèi)產(chǎn)品須滿(mǎn)足不同的網(wǎng)絡(luò )安全要求。I 類(lèi)產(chǎn)品包括 NIS 2 指令中描述的基本實(shí)體使用的集成電路和門(mén)陣列、移動(dòng)設備和應用程序管理軟件、遠程訪(fǎng)問(wèn)軟件、身份和訪(fǎng)問(wèn)管理軟件、瀏覽器等。這些產(chǎn)品必須堅持應用標準或完成第三方評估以證明網(wǎng)絡(luò )安全的符合性。II 類(lèi)產(chǎn)品包括供 NIS 2 中描述的基本實(shí)體使用的工業(yè)物聯(lián)網(wǎng)設備、供 NIS 2 中描述的基本實(shí)體使用的工業(yè)自動(dòng)化和控制系統、智能電表、工業(yè)開(kāi)關(guān)、安全元件、硬件安全模塊、工業(yè)用防火墻等，須完成第三方符合性評估。

三、建立關(guān)基實(shí)體網(wǎng)絡(luò )安全責任制并明晰具體職責和義務(wù)

一是確定關(guān)基實(shí)體的風(fēng)險評估職責和義務(wù)。CER 指令規定，關(guān)基實(shí)體應開(kāi)展安全風(fēng)險評估，及時(shí)采取技術(shù)和組織等措施增強安全彈性，并向當局報告安全事件。歐盟成員國當局應向關(guān)基實(shí)體提供支持，對跨國和跨部門(mén)風(fēng)險、最佳實(shí)踐、方法、跨國培訓和演習活動(dòng)等方面給予補充支持，并確保國家當局擁有權力和手段對關(guān)基實(shí)體進(jìn)行現場(chǎng)檢查，能夠對不遵守指令的行為進(jìn)行處罰。

二是規定關(guān)基實(shí)體承擔網(wǎng)絡(luò )安全管理責任、風(fēng)險管理、事故通知等義務(wù)。NIS 2 指令提出了關(guān)基實(shí)體應承擔的具體網(wǎng)絡(luò )安全義務(wù)。在管理責任方面，基本實(shí)體和重要實(shí)體必須批準并監督網(wǎng)絡(luò )安全措施的實(shí)施，對違規行為問(wèn)責，并定期組織網(wǎng)絡(luò )安全培訓。在風(fēng)險管理方面，基本實(shí)體和重要實(shí)體必須加強風(fēng)險分析與信息系統安全，優(yōu)化網(wǎng)絡(luò )安全事故處理流程，采取備份、災難恢復、危機管理等確保供應鏈安全和業(yè)務(wù)連續性，實(shí)施加密策略確保網(wǎng)絡(luò )衛生。在事故通知方面，簡(jiǎn)化重大網(wǎng)絡(luò )安全事件的報告義務(wù)，基本實(shí)體和重要實(shí)體須在 24 小時(shí)內向國家主管部門(mén)或 CSIRT 報告重大事件，72 小時(shí)內對事件嚴重性、影響等進(jìn)行初步評估，1 個(gè)月內對事件詳細信息、根本原因等進(jìn)行總結上報。三是規定關(guān)基中數字產(chǎn)品制造商、進(jìn)貨商和經(jīng)銷(xiāo)商等主體的不同義務(wù)。CRA 提出，關(guān)基中數字產(chǎn)品的規制主體包括制造商、進(jìn)口商、分銷(xiāo)商及其他必須履行法案規定義務(wù)的自然人或法人，并針對不同類(lèi)型的主體施加了不同義務(wù)。其中，制造商對設計、開(kāi)發(fā)和生產(chǎn)的數字產(chǎn)品需符合 CRA 規定的網(wǎng)絡(luò )安全要求。經(jīng)質(zhì)量評估和網(wǎng)絡(luò )安全評估后，制造商必須為產(chǎn)品張貼 CE 標志，并提供清晰、易懂、可理解和易讀的產(chǎn)品隨附信息和說(shuō)明，以確保用戶(hù)安全地安裝、操作和使用。進(jìn)口商需確認數字產(chǎn)品符合質(zhì)量和網(wǎng)絡(luò )安全要求，并在產(chǎn)品包裝或隨附文件中標明商家名稱(chēng)、注冊商標、電子郵件等，并對產(chǎn)品的網(wǎng)絡(luò )安全漏洞或事件承擔報告義務(wù)。經(jīng)銷(xiāo)商則需要確保銷(xiāo)售的數字產(chǎn)品帶有 CE 標志，產(chǎn)品中包含制造商的隨附信息和說(shuō)明以及進(jìn)口商的聯(lián)系信息等。四是規定關(guān)基中高風(fēng)險 AI 系統的網(wǎng)絡(luò )安全義務(wù)。AI 法案針對關(guān)基中的高風(fēng)險 AI 系統，從入市前到入市后，制定了全流程風(fēng)險管理措施。在高風(fēng)險 AI 系統投入市場(chǎng)前，AI 提供者應建立和維持風(fēng)險管理系統，識別潛在的風(fēng)險，確保人工可對 AI 系統進(jìn)行監督，并干預存在“自動(dòng)化偏見(jiàn)”的輸出結果。投放入市時(shí)，AI 提供者需向主管機關(guān)提供 AI 系統開(kāi)發(fā)過(guò)程、檢測、運作和控制等系統相關(guān)必要信息，確保 Al 系統的性能符合預期目的及各項管理要求，并貼上 CE 標志。投入使用后，AI提供者應當建立入市后的檢測系統，收集、記錄和分析 AI 系統在整個(gè)生命周期的可靠性、性能和安全性等數據，評估 AI 系統對法規的持續遵守情況。當 AI 系統發(fā)生嚴重故障或侵犯人類(lèi)基本權利的事件時(shí)，提供者需在 72 小時(shí)內向國家監督機構報告。

四、完善關(guān)基事件協(xié)調應對制度以及時(shí)提升關(guān)基復原力

一是明確關(guān)基事件協(xié)調應對機制啟用的觸發(fā)條件。關(guān)基保護藍圖明確了觸發(fā)聯(lián)盟應對機制的兩類(lèi)重大關(guān)基事件：第一，對六個(gè)及以上成員國提供基本服務(wù)的關(guān)基造成破壞性影響；第二，對兩個(gè)及以上成員國提供基本服務(wù)的關(guān)基造成破壞性影響，且理事會(huì )輪值主席國與其他成員國一致認為由于具有廣泛且重大的技術(shù)或政治影響需要聯(lián)盟層面協(xié)調和響應的情況。通過(guò)設定聯(lián)盟協(xié)同應對機制的觸發(fā)條件，可以迅速精準地識別和理解關(guān)基面臨的威脅程度，確定關(guān)基事件的優(yōu)先級和緊急程度，合理分配不同等級資源，采取適宜的安全措施和防護策略。

二是構建分工明確的協(xié)調管理機制。關(guān)基保護藍圖建立了按照職責分工相互配合、層次分明的聯(lián)盟協(xié)作應對體系。但當關(guān)基事件達到聯(lián)盟應對機制的觸發(fā)條件時(shí)，歐盟成員國、歐盟理事會(huì )、歐盟委員會(huì )、歐盟對外行動(dòng)署（EEAS）等聯(lián)盟機構及歐洲刑警組織等執法機構應在關(guān)基保護藍圖框架內相互合作，通過(guò)固定的聯(lián)絡(luò )點(diǎn)交流事件信息并協(xié)調應對行動(dòng)，這樣可以最大程度地緩解關(guān)基事件帶來(lái)的破壞性跨境影響，并及時(shí)恢復關(guān)基的正常運行。為了確保應對舉措的有序性和應急性，上述參與者應聯(lián)合關(guān)基運營(yíng)商等私營(yíng)企業(yè)定期演練聯(lián)盟協(xié)調應對機制，不斷優(yōu)化國家、區域和聯(lián)盟層面的協(xié)調響應能力。同時(shí)通過(guò)理順職能部門(mén)和執法部門(mén)的職責關(guān)系，逐步構建并優(yōu)化協(xié)同高效的多部門(mén)間應急履職體系。此外，完善突發(fā)事件應急流程，提高關(guān)基安全事件處置效率，并針對應急演練中發(fā)現的突出問(wèn)題和漏洞隱患，及時(shí)整改加固，完善保護措施。
三是規定信息交換和公開(kāi)溝通流程。關(guān)基保護藍圖提出針對重大關(guān)基事件啟動(dòng)聯(lián)盟協(xié)調應對機制的第一步是確保所有相關(guān)者的信息交流及公共溝通的順暢。發(fā)生重大關(guān)基事件后，由國家主管部門(mén)率先通過(guò)單獨聯(lián)絡(luò )點(diǎn)與輪值主席國聯(lián)絡(luò )，交換關(guān)基運營(yíng)主體及已采取的網(wǎng)絡(luò )和物理措施等詳情。歐盟應急協(xié)調反應中心（ERCC）作為危機應對業(yè)務(wù)部門(mén)，實(shí)時(shí)監控、協(xié)調和支持聯(lián)盟層面的緊急情況，增強跨部門(mén)協(xié)調。與此同時(shí)，歐盟委員會(huì )立即組織召開(kāi)關(guān)基恢復小組專(zhuān)家會(huì )，所在國家主管部門(mén)匯報重大關(guān)基事件的性質(zhì)、原因、影響、應對舉措、對受影響成員國提供的技術(shù)支持等。歐盟委員會(huì )根據交換信息編寫(xiě)綜合態(tài)勢感知和分析報告（ISAA），包括從網(wǎng)絡(luò )安全角度評估歐盟層面的風(fēng)險情況及委員會(huì )等各機構采取的緩解舉措，旨在提高聯(lián)盟層面的透明度，以信息共享為基礎，加強態(tài)勢感知，積極構建歐盟成員國及委員會(huì )等相關(guān)方廣泛參與的信息共享、協(xié)同聯(lián)動(dòng)的防護機制。
四是確定聯(lián)盟協(xié)調應對和處理規則。關(guān)基保護藍圖提出針對重大關(guān)基事件啟動(dòng)聯(lián)盟協(xié)調應對機制的第二步是基于關(guān)基事件的規模和影響而采取協(xié)調應對行動(dòng)。歐盟理事會(huì )民事保護工作組關(guān)基恢復小組基于 ISAA，組織召開(kāi)專(zhuān)家會(huì )議，搭建溝通平臺，請求其他成員國或聯(lián)盟機構的技術(shù)支持。其他成員國及歐洲刑警組織等機構評估可提供的技術(shù)支持以減輕重大關(guān)基事件的影響。在必要情況下，可配合啟動(dòng)快速警戒系統機制（ARGUS）、綜合政策威脅響應機制（IPCR）、共同體民事保護機制（UCPM）等其他應急響應機制，請求更多成員國幫助并探討協(xié)調應對舉措。若涉及國際安全影響，EEAS 可召開(kāi)歐盟——北約恢復結構性對話(huà)會(huì )議，交流歐盟和北約分別采取的有關(guān)措施，加強國家主管部門(mén)的響應及與其他成員國、聯(lián)盟機構等的合作，做到統一指揮、快速調度，迅速解決關(guān)基中斷問(wèn)題并重建基本服務(wù)。另外，由歐盟理事會(huì )和委員會(huì )準備公共溝通話(huà)術(shù)，消除公眾信息差，最大程度地減少重大關(guān)基事件后向公眾傳達的信息差異，避免虛假信息傳播。

五、設立針對關(guān)基實(shí)體的懲罰制度以倒逼網(wǎng)絡(luò )安全水平提升

一是明確關(guān)基中基本實(shí)體和重要實(shí)體違規的懲罰舉措。NIS 2 指令對違反法律要求未履行及時(shí)報告義務(wù)、未實(shí)施網(wǎng)絡(luò )安全風(fēng)險管理措施的關(guān)基實(shí)體提出了嚴格的懲罰舉措，基本實(shí)體將面臨高達年營(yíng)業(yè)額 2% 或 400 萬(wàn)歐元的罰款，重要實(shí)體將面臨高達年營(yíng)業(yè)額 1% 或 200 萬(wàn)歐元的罰款，二者均以較高者為準，這一舉措旨在提高關(guān)基實(shí)體對內生網(wǎng)絡(luò )安全的重視。

二是明確關(guān)基中使用違規數字產(chǎn)品的懲罰舉措。關(guān)基中使用的數字產(chǎn)品，如果違反 CRA 規定的網(wǎng)絡(luò )安全要求和制造商義務(wù)，將面臨最高 1500 萬(wàn)歐元或上一財政年度全球年營(yíng)業(yè)額的 2.5% 的罰款，以較高者為準。若違反其他義務(wù)，將面臨最高 1000 萬(wàn)歐元或上一財政年度全球年營(yíng)業(yè)額 2% 的罰款，以較高者為準。若向指定機構和市場(chǎng)監督機構提供不準確、不完整或誤導性的信息，將受到最高 500 萬(wàn)歐元或上一財政年度全球年營(yíng)業(yè)額的 1%的罰款，同樣以較高者為準。

（本文刊登于《中國信息安全》雜志2024年第1期）