2. 智慧型物聯網（IoT）設備於進入歐盟市場之時，應該要遵循下列何項歐盟新發布的法案，以完成應遵循的安全責任及義務事項，以避免高額的罰鍰(如 1,500 萬歐元)？
(A) NIS2 Directive（歐盟第 2022/2555 號《於歐盟實施高度共通程度之資安措施指令》）
(B) Cybersecurity Resilience Act（《資通安全韌性法案》）
(C) NIS Directive（《網路與資訊系統安全指令》）
(D) Cybersecurity Act, Regulation 2019/881（《資通訊安全法案》）

A選項詳解:

歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》（Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive）於2023年1月16日正式生效，其於《網路與資訊系統安全指令》（Directive on Security of Network and Information Systems, NIS Directive）之基礎上，對監管範圍、成員國協調合作，以及資安風險管理措施面向進行補充。

（1）監管範圍：
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品（如藥品與醫療器材）製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型，並以企業規模進行區分，所有中大型企業皆須遵守NIS 2之規定，而個別具高度安全風險之小型企業是否需要遵守，則可由成員國自行規範。

（2）成員國協調合作：
NIS 2簡化資安事件報告流程，對報告程序、內容與期程進行更精確的規定，以提升成員國間資訊共享的有效性；建立歐洲網路危機聯絡組織網路（European cyber crisis liaison organisation network, EU-CyCLONe），以支持對大規模資安事件與危機的協調管理；為弱點建立資料庫及揭露之基本框架；並引入更嚴格的監督措施與執法要求，以使成員國間之裁罰制度能具有一致性。

（3）資安風險管理措施：
NIS 2具有更為詳盡且具體之資安風險管理措施，包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等，並要求各公司解決供應鏈中的資安風險。

參考資料:

https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=8973

B選項詳解:

1. 許多時候，製造商都專注於讓產品能夠盡快上市，因此資安措施通常是事後考量。有時候，廠商在產品上市之後就人間蒸發，例如消費性 IoT 裝置，此時萬一其軟體出現了問題就可能「永遠無解」，變成一個永遠沒辦法修補的零時差漏洞。這項新的法案將要求製造商必須在產品生命週期當中融入安全性 (也就是安全始於設計的概念)，並確定產品已經盡可能做到安全之後才能上市。如此一來，有可能迫使製造商必須比以往更早在產品生命週期當中加入更多資安措施，而這正是網路資安產業長久以來所一直呼籲的。
2. 這套框架將有助於製造商了解並遵循這項法案。為了遵循這項法案，廠商必須宣告其產品符合這項法案，並提供技術文件，附上檢測標章，並提供一份書面的符合歐盟法規宣告。除此之外，萬一廠商的產品被發現有漏洞正在遭受攻擊，廠商也必須在 24 小時內立即揭露。
3. 網路資安實務越透明，製造商就越容易遵守。這在過去一直都是一項難以達成的目標，因為企業已經有各種的框架、法律、認證及其它規範必須遵守。 
4. 該法案的終極目標，就是要確保歐盟居民和企業在購買產品時能獲得最安全的產品。

這項法案在製造商身上加諸了許多負擔，因此未來到底有多少廠商會願意遵守還是乾脆放棄該市場，將是個有趣的觀察點。對許多企業來說，要一開始就將安全融入設計當中肯定需要花費大量成本，但我們希望他們可以看到這麼做的長期效益。有些漏洞是在程式開發過程當中可經由滲透測試和其他措施來發現的，未來需要修補這類漏洞的情況肯定會減少。不過如果企業心存僥倖，想要省下這些功夫，可能會面臨嚴重的禁售與罰鍰。對某些企業來說，違反這項法案可能面臨最高 1,500 萬歐元或其前一會計年度全球營收 2.5% 的行政罰鍰 (取其大者)。至於其他企業，也可能面臨高達 1,000 萬歐元或前一會計年度全球營收 2% 的罰鍰 (取其大者)。最後，如果使用不正確、不完整或經過篡改的資訊來誤導市場監理機關，將面臨 500 萬歐元或前一會計年度營收 5% 的罰鍰 (取其大者)。由於違反法規可能帶來巨大罰鍰，所以應該可以說服大多數廠商遵守。

https://www.trendmicro.com/zh_tw/research/23/l/how-the-eu-resilience-act-impacts-manufacturers.html

C選項詳解:

　歐盟於2016年7月6日公布了網路與資訊系統安全指令（Directive on Security of Network and Information Systems, NIS Directive），該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力，以提高歐盟內部市場之功能。

　　故至2018年11月前，各會員國須確認境內的關鍵基礎服務營運商並建立一份清單，包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分，其判斷標準為（a）提供維持社會重要或經濟活動之服務；（b）倚賴網路或資訊系統供應之服務；（c）該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務，如線上市場、搜尋引擎及雲端服務之數位服務提供者，而上述兩者所適用之規範略有不同，如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時，另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。

　　此外，為了促進會員國間之策略合作及資訊交換，歐盟將會設立一個合作小組，亦將建立電腦安全事件因應小組（Computer Security Incident Response Teams, CSIRTs），主要負責監測國家資安事件、並對資安風險為預警、因應及分析等，另為確保各會員國彼此間在運作上之迅速與效率，並建立電腦安全事件因應小組網路（CSIRTs network），提供各會員國交換資安風險或事件相關資訊之平台。

　　該指令於今年8月生效，會員國須於指令生效後21個月內即2018年5月，將指令之內容適用至本國法並公布之，該指令之內容可做為我國訂定資安法規之參考。

https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=7531

D選項詳解:

歐盟執委會於2019年6月正式通過「歐盟網路與資訊安全局暨網路安全認證規則(EU Regulation on ENISA and Cyber Security Certification)(Regulation (EU) 2019/881)。規則新增歐盟網路與資訊安全局（European Union Agency for Network and Information Security,ENISA）之職責，負責推行「網路安全認證機制(European cybersecurity certification scheme)」。

　　網路安全認證機制旨在歐盟層面針對特定產品、服務及流程評估其網路安全。運作模式是將產品或服務進行分類，有不同的評估類型（如自行評估或第三方評估）、網路安全規範（如參考標準或技術規範）、預期的保證等級（如低、中、高），並給予相關之認證。為了呈現網路安全風險的程度，證明書上可以使用三個級別：低、中、高（basic，substantial，high）。若資訊安全事件發生時，對產品、服務及流程造成影響時，廠商應依據其產品或服務之級別採行相對應的因應對策。若被認證為高等級的產品，則表示已經通過最高等級的安全性測試。

　　廠商之產品或服務被認可後會得到一張認證書，使企業進行跨境交易時，能讓使用者更方便理解產品或服務的安全性，供應商間能在歐盟市場內進行良好的競爭，從而產生更好的產品及性價比。藉由該認證機制所產生的認證書，對於市場方將帶來以下之效益：

一、產品或服務的提供商（包括中小型企業和新創企業）和供應商：藉由該機制獲得歐盟證書，可以在成員國中提升競爭力。

二、公民和最終使用者（例如基礎設施的運營商）：針對日常所需的產品和服務，能做出更明智的購買決策。例如消費者欲購買智慧家具，就可藉由ENISA的網路安全認證網站諮詢該產品網路安全資訊。

三、個人、商業買家、政府：在購買某產品或服務時，可以藉此機制讓產品或服務的資訊透明化，以做出更好的抉擇。

https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8344