私营部门网络空间监管和治理的关键角色，考虑到许多（西方）国家的关键基础设施大多为私人所有，对私营公司的工业软件的攻击也可能对国家安全产生重要影响。网络安全治理安排的差异可能反映了某种历史性的路径依赖，即独特的国内国家和产业关系。作者提出了一个简明的理论框架，以比较网络领域中不同的国家与产业间组织关系模式。作者认为比较政治经济学理论可以阐明预先存在的国家-产业关系如何影响网络安全治理。同时，需要考虑国防产业的独特性。

作者总结出国家与产业关系的三个基本属性：

a.政府的保护程度

b.公共部门和私营部门精英网络之间的相互渗透程度

c.采购机构不受行业影响的地位和自主权。

当这三种属性以治理的形式结合起来时，可以确定两种主要的治理生态系统：

1. 公共治理生态系统的特点是政府的高度保护（表现为政府对产业的所有权或控制权），公共和私人行为者之间的高度相互渗透（旋转门），以及公共采购机构和私营部门之间非常密切的关系

2. 私人治理生态系统的特点是政府保护程度低，公共和私人行为者之间的相互渗透程度低，公共采购机构和私营部门之间的关系更加公平。

最近的研究表明， 网络安全产品的合同通常由国家产业赢得，网络安全产品的公共采购实际上与国防采购非常相似。几乎所有的欧洲主要国防公司及其分部都在网络安全市场上运作。

基于现有研究，作者指出了构成网络安全治理主体的参数：

1. 决策

公共治理生态系统中，网络安全的目标是共同确定的，有一个合作和基于共识的决策，国家与行业的关系是由基于信任和非正式的关系形成的。相反，在私人治理生态系统中，作者期望国家和产业之间的关系更加公平，政府制定法律、技术和规范性规则，而不一定要让产业参与其中，而且两个行为体之间的关系更加正式。

2. 专门机构

作者预期，与私营系统相比，公共治理生态系统中存在专门的机构和机关，并且集中化程度更高。

3. 政府支持

政府支持可以是直接的（通过资金、减税、自上而下的工业区等）或间接的（通过发展国家认证、将外国参与者排除在市场之外等）。在公共治理生态系统中，鉴于国家和产业之间的密切关系以及它们捕捉国家偏好的能力，政府会提供高度的支持。在私人治理生态系统中，预期相反。

4. 欧盟机构

生态系统的性质影响到国家与欧洲机构在网络安全方面的互动。共治理生态系统更有可能利用欧洲机构来塑造其行业相关的偏好，而私人系统的国家在与欧洲机构的互动中更有可能考虑其他偏好（主要与战略-运营问题相关）。

1. 决策

法国网络安全治理是基于共识的、国家与国内产业之间的非正式关系。自从法国政府关注网络安全以来，各行业已经能够影响巴黎的战略。2010年，法国总统府创建了"战略教育和研究高级委员会"（CSFRS），该小组建议对网络安全产业进行大规模的投资。CSFRS由重要的安全公司成员领导。那些已经活跃在国防领域的法国公司的目标是促进网络安全治理的集中化，并在一个相对较新的市场领域建立国家和行业之间的特权关系。CSFRS呼吁建立一个国家观察站和一个公私协调机构。代表法国网络安全公司的游说团体 "数字信任联盟"和国家与产业之间的对话团体 "安全产业委员会"也在塑造国家偏好方面发挥了决定性作用，其任务是确定优先事项，避免重叠并协调提供与需求。经济部的 "新法国工业"计划设计的 "网络安全计划"，旨在维持与网络安全有关的公司和该部门的新技术发展。在最近的2018-2022年法国大投资计划中，政府承诺将花费大约50亿欧元来改善人工智能、巨型数据、纳米技术和网络安全方面的商业创新。法国的网络安全治理一直是由于产业界希望在国家（作为监管者、客户和投资者）和产业供应商之间建立合作渠道而不断推动的

2. 专门机构

法国的网络安全治理是基于高度的机构集中化。2008年的白皮书首次将网络安全列为国家安全优先事项并建议通过国家网络安全战略和建立一个集中的网络安全机构。2009年，政府成立了法国网络安全中央机构--国家信息系统安全局（ANSSI）。ANSSI负责协助国家机构的网络安全，组织行业和关键基础设施的标准。在军事方面，网络安全治理围绕着军方总局（DGA）的活动，该局的任务是协调工业界在生产网络安全相关产品方面的努力。

一个集中的机构框架构成了法国工业的优势，因为他们可以通过完善的机构渠道进行游说。这种治理结构受益于国家、官僚机构和私营企业之间的密切联系，特别是因为网络安全产业的游说团体非常熟悉法国的政治和制度体系。考察网络安全中国家与产业关系的另一个指标是公共和私人行为体之间的相互渗透程度。填充法国网络安全机构的高层管理人员有共同的学术背景（通常毕业于理工学院），他们通常有在国防部或邻近部门的专业经验。

3. 政府支持

鉴于国家和产业之间的特权关系，后者的有效游说活动说服了巴黎追求两个主要目标：促进对网络安全的公共投资和保护法国市场免受可能的外国干涉。

法国在2011年发布了 "信息系统防御和安全战略"，以制定一系列旨在维护网络空间的工业自主权的具体措施。在2012年，法国参议员建议在网络安全方面制定一个统一的工业方法的政治优先权。在2013年和2014年之间，政府推出了一个庞大的工业计划，研究与开发（R&D）投资达1.5亿欧元。未来投资计划投资2000万欧元，推动与数字安全相关的研发投资。从2014年到2019年，法国政府已承诺在网络安全方面投资10亿欧元。军事采购机构DGA已经将其资源增加了两倍，以支持研发、可行性研究和具体的采购计划。法国政府还在布列塔尼建立了一个网络防御卓越中心，DGA现在直接监督专门的网络安全研究中心。最近，国防部长分配了1.3亿欧元的预算，以支持对于布列塔尼地区网络安全公司。法国在网络安全方面的公共投资得到了国家工业基地的积极欢迎。对于这些公司来说，一个价值约15亿欧元并预计每年以15-20%的速度增长的内部市场的出现被誉为 "埃尔多拉多"。鉴于欧洲立法对禁止外国投资与网络安全有关的战略部门设定了限制，法国政府开发间接工具来保护其国内市场。例如，巴黎引入了 "法国网络安全 "的认证标签，由ANSSI管理，目的是为网络安全供应链创建一个可靠的政府供应商网络。这一认证的引入得到了业界的明确支持。

4. 与欧盟机构的关系

法国政府在其网络安全相关文件中，经常提到欧盟是发展网络安全能力的考虑背景。巴黎也对欧洲网络安全的治理产生了强烈的影响，因为它是第一个对公共和私人基础设施实施强制性措施的欧洲国家。

法国似乎更倾向于欧盟和北约在解决网络安全问题上的明确分工。巴黎区分了“网络安全”（经济和关键基础设施的保护）和“网络防御”（军事和情报）。经济和工业网络安全标准被赞成在欧盟内部讨论。法国确立了网络安全分工的共识，与欧委会一起促进欧洲对网络安全产业问题的态度。巴黎认为欧盟是推进其行业相关优惠政策的理想环境，并使欧洲产品和服务相对于欧洲以外的竞争对手具有竞争优势。在从事网络安全工作的最重要的欧洲机构中，巴黎也发挥了领导作用。2021年1月，法国代表担任欧盟网络安全局（ENISA）和欧洲网络安全组织（ECSO）的主席。法国工业界代表在ENISA咨询小组和ECSO中也有很好的代表性。在产业政策方面，法国的参与者在建立欧洲网络安全组织方面有很大的影响。

1. 决策

与法国的情况相反，英国的国家-产业关系并不紧密。随着2011年 "英国国家网络安全战略 "的出台，政府实施了许多措施来加强与行业的合作。英国的网络安全战略不仅在信息共享层面让企业参与进来，而且整体战略仍然是 "企业主导的"。更确切地说，英国希望企业能将网络战略付诸实施，并促成网络安全的变革。更广泛的想法是不干预市场力量，将关键基础设施的保护工作完全交给私营部门。2016年英国国家网络安全战略出台后，英国政府以市场为导向的做法以及英国与行业之间的公平关系略有改变。英国网络安全治理的市场导向方法不得不让位于一个混合的监管框架，其特点是逐渐的机构集中化，增加公共投资以支持私营部门，但仍然缺乏与法国相媲美的积极的市场保护政策。

2. 专门机构

英国的治理结构是高度分散的，其特点是缺乏专门的机构和机关来支持私营部门，只有少数机构具有网络安全相关的能力，负责行使领导权的行为者之间也存在一些混乱。在国家与行业关系的具体情况下，政府沟通总部（Government Communication Headquarters，下文称GCHQ）是公共和私营部门之间的主要联络点，但是GCHQ与行业之间缺乏协调和信息流动。2016年英国国家网络安全战略打造了一个更集中的系统，以应对市场失灵、私营部门投资不力，以及更广泛地应对公共和私营部门之间的困难协调。新战略强调政府必须带头，通过发挥其影响力和资源来解决网络威胁，进行更直接的干预。英国通过创建国家网络安全中心以确保国家网络事件的集中管理，并制定关键国家基础设施运营商的政策和监管框架。

3. 政府支持

随着时间的推移，英国政府对私营部门的支持程度也在增加。以市场为导向的战略让位于国家的直接参与和集中化的机构结构，以及更大的公共投资。然而，这仍不足以与法国相媲美。英国政府旨在激励私营部门，而不是建立强制性的网络安全法规。英国的工业企业一直特别担心市场导向的方法以及缺乏必要的保护机制而遭受可能的外国渗透。大公司旨在渗透和确保新的和有利可图的网络安全市场，并希望得到本国政府的保护。然而，英国政府并没有表现出对采购网络安全设备和网络组件的特别关注。英国政府认为在没有强制性法规和市场保护的情况下，私营部门将被迫更高效的自主解决网络安全威胁。

英国工业的一个相关问题是在发生网络攻击时缺乏国家保护。由于基础设施主要由私营企业拥有和运营，其治理类依赖于正式和非正式的法律和监管实体的宏观管理。这一责任隶属于私营实体的董事会、所有者和经营者本身。政府不直接负责私营企业及其基础设施的网络安全，但英国另一项政策声明指出：国家网络安全的最终责任在于政府。英国在承认政府确保关键基础设施（数字或其他）安全的责任和不参与私人公司的决策之间模糊不清。然而，近年来，支持私营部门的公共投资不断增加。政府在财政上或者更直接地参与监管框架以促进产区形成并整合参与者。

4. 与欧盟机构的关系

英国没有利用欧洲框架来专门支持其产业相关的利益。在2011年至2016年期间，英国以市场为导向的方法与布鲁塞尔制定的更具决定性的监管政策之间存在着明显的对比。英国试图塑造欧洲指令，在呼吁降低与拟议范围有关的成本（只包括关键基础设施供应商，不包括信息社会服务的供应商）中夹带了市场导向方法。其他欧洲国家更倾向于一个更集中的和监管的方法。无论如何，欧盟指令给英国带来了遵守欧洲标准的压力。建立国家网络安全中心作为技术权威，并对关键的国家基础设施引入更有力的监管，都是朝这个方向迈出的重要一步。