(安德万编译自兰德公司网站)
《欧洲网络安全战略》的出台是因为认识到欧洲必须在一系列政策领域做出协调以应对网络安全这样的挑战。这份战略的意义是重大的,因为它试图协调三个方面的政策——执法、“数字议程”、以及防务、安全和外交政策——而以前它们是独立的。
这份高级别战略文件要实现这样的目标:改善欧盟成员国的弹性和能力、加强打击网络犯罪、发展欧盟网络防御的组织结构和功能,并制定网络安全国际政策,以帮助欧盟以外的地区发展能力。
这一举措的一个重要方面是努力协调欧盟成员国的网络安全能力,确保欧盟国家适当装备自己,以解决网络安全和信息安全。该战略需要通过相关立法,每个欧盟成员国建立一个运作良好的国家级计算机应急响应分队(CERT),而且能在欧洲层面的讨论中发表国家的意见。但是兰德公司的研究表明,这个战略的实施谈何容易:不是所有的国家都可以提供国家层面的响应。兰德公司对计算机应急响应分队的文化和实践活动的分析表明,他们缺乏强有力的法律依据,计算机应急响应分队经常发现自己不知道什么数据他们可以和不能进行跨国分享,以及与其他组织(例如执法)分享。
该战略还努力加强公共部门和私营部门之间的合作,鼓励公共和私营部门伙伴关系的发展,比如利用“欧洲弹性公共-私营伙伴关系”(European Public-Private Partnershipfor Resilience,EP3R)。“欧洲弹性公共-私营伙伴关系”已经存在了好几年,但它面临着方向和参与机制方面的挑战,它缺乏一个足够强大的和多样化的利益相关者群体(特别是技术的终端用户)。2013年,在欧洲网络与信息安全局的促进下,其试图恢复活动。就“欧洲弹性公共-私营伙伴关系”是一个影响布鲁塞尔决策者的合适渠道而言,目前尚不清楚产业界对“欧洲弹性公共-私营伙伴关系”的参与程度。
最后,《欧洲网络安全战略》通过一个统一框架,使防务和外交政策加入了网络安全。考虑到在防务和安全政策领域,欧盟成员国历来高度重视保护自己的主权,这也许是最显著的特征。这份战略呼吁建立欧盟层面的网络防御概念、组织结构以及能力。在欧盟军事参谋机构(European Union Military Staff)之下,欧盟已经在“共同防卫和安全政策”的任务下有了一个新的网络防御概念。为了支持这一目标,兰德公司欧洲分部为欧洲防务局提供了有关多个欧洲国家军事网络防御能力水平的基准评估,相关研究结果表明整个欧盟范围内相关能力参差不齐,成员国在一系列军事能力的领域,如条令、组织、训练和互操作性方面,需要寻求建议和帮助。
《欧洲网络安全战略》将面临二个重大问题。首先,需要管理机构地盘之争,以让战略得到落实。任何布鲁塞尔内部人士都认为,不同部门之间的机构竞争都是令人沮丧的。其次,战略需要一个相关的行动计划,详细规定如何开展工作,特别是在当前财政紧缩的情况下更是如此。行动计划还应该包括评估指南,以评估战略的影响。
联系客服