欧盟《网络安全法》修订（CSA2）对中国企业的影响

作者：袁立志 周宇心

欧盟《网络安全法》（Cybersecurity Act, 以下简称“CSA”）的立法源于欧盟委员会于2017年提出的Cybersecurity Package。这项计划的核心内容之一，是提出关于欧洲网络与信息安全局（ENISA）授权及认证机制的立法提案。在此基础上，欧盟于2019年发布CSA，作为欧盟网络安全战略（EU Cybersecurity Strategy）的重要立法成果。CSA强化了ENISA的职能并赋予其永久性授权，同时建立了欧盟网络安全认证框架（ECCF），为ICT产品、ICT服务及ICT流程的认证提供统一的网络安全要求和评估标准。

2026年1月，面对日趋复杂的地缘政治环境以及持续升级的网络安全威胁，欧盟委员会发布新版Cybersecurity Package，提出对CSA的全面修订草案（Cybersecurity Act 2，以下简称“CSA 2”），旨在进一步提升欧盟整体网络安全韧性及重大网络安全事件应对能力。

与CSA相比，CSA 2强调ICT供应链安全建设，首次引入“非技术风险”（non-technical risks）概念，将第三国法律制度、政府影响力及地缘政治因素纳入网络安全监管与市场准入评估体系。该制度设计意味着，欧盟网络安全监管已逐渐突破传统技术安全审查框架，转向兼具技术、法律与地缘政治属性的综合性治理模式。这一趋势可能为中国ICT企业带来较强主观性的合规审查风险，并因此引发中国商务部的严正关切与批评。

一、CSA 2的核心修订内容

CSA 2的核心修订集中于第4编“ICT供应链安全”（Security of ICT Supply Chains）。欧盟委员会试图通过该编建立起可信ICT供应链框架（Trusted ICT Supply Chain Framework），以识别关键行业ICT供应链中的核心ICT资产（key ICT assets）、评估潜在的非技术风险，并提出相应的风险缓解措施。

根据《NIS 2指令》（NIS 2 Directive）的附件，高度关键行业包括能源、交通、数字基础设施等18个行业，其他关键行业则包括数字提供商、制造业等7个行业。CSA 2所构建的框架和机制，将覆盖前述所有行业的ICT供应链安全评估与风险管控。

(一)安全风险评估的开展

构建可信ICT供应链框架的核心之一是ICT供应链安全风险评估（security risk assessments）。该评估所形成的结果，是欧盟委员会后续识别网络安全关切国家、认定核心ICT资产以及确定高风险供应商的重要依据。

安全风险评估可以由欧盟委员会或至少三个成员国联合提出申请开展，也可以由欧盟委员会在有合理理由认为某ICT供应链存在重大网络安全威胁且有必要采取相应措施时主动启动。该评估应当包括对相关ICT供应链中关键ICT资产的识别，以及对影响该等资产的主要威胁行为体、风险与漏洞的分析，并构建风险场景、提出风险缓解措施。

(二)网络安全关切国家的认定与核心ICT资产的识别

依据安全风险评估的结果，欧盟委员会将分别通过实施法案（implementing acts）认定网络安全关切国家，并识别关键行业实体的核心ICT资产。

就网络安全关切国家的认定而言，欧盟委员会重点关注第三国可能产生的“严重且结构性的非技术风险”。一方面，其将审查第三国的法律制度，包括是否存在要求其管辖范围内实体在软件或硬件漏洞被利用前向主管机关报告相关漏洞信息的法律及执法实践，以及是否针对相关安全风险建立有效的司法救济与独立、民主的监督机制；另一方面，其还将考察该第三国是否存在实施恶意网络活动或网络攻击行为的情形。

就核心ICT资产的识别而言，欧盟委员会将重点考虑相关资产对于关键行业实体产品制造或服务提供的重要性与敏感性、是否依赖有限数量的供应商，以及与该等资产相关的漏洞被利用等安全事件可能造成后果的严重程度。

(三)高风险供应商的认定

对于为关键行业实体核心ICT资产提供ICT组件或包含ICT组件产品的供应商，欧盟委员会将对其开展进一步审查。审查对象包括两类供应商：一类与网络安全关切国家相关，此类供应商设立于存在网络安全关切国家，或受该国、该国境内实体或该国国民控制；另一类供应商受特定第三国实体控制，欧盟委员会认定相关特定实体提供的ICT组件或含ICT组件产品在欧盟境内造成大范围重大非技术网络安全风险。

CSA 2实质上大幅限制了高风险供应商在欧盟境内开展相关业务。具体措施包括：禁止其参与欧洲网络安全领域相关标准和规范的制定，禁止其申请或持有包括ECCF在内的任何网络安全领域的认证，以及禁止其参与核心ICT资产相关的公共采购或欧盟采购程序。

(四)风险缓释措施的实施

CSA 2针对关键行业实体提出了一系列缓释措施（mitigation measures），以控制高风险供应商可能带来的网络安全风险。

一方面，欧盟委员会将通过实施法案，禁止关键行业实体以任何形式在其核心ICT资产中使用、安装或集成高风险供应商提供的ICT组件或含ICT组件产品，并对已投入使用的相关ICT组件设定逐步淘汰期限；另一方面，欧盟委员会还将通过一系列风险缓释措施，对关键行业实体实施持续监管，包括要求其披露ICT资产供应商信息、禁止向第三国传输数据或开展远程数据处理、对技术措施进行审计、限制组织职能外包及与特定供应商建立合作关系，以及对特定岗位人员设置国籍限制，并推动ICT组件供应来源多元化。

主管机关将通过多种执法手段监督关键行业实体履行前述义务，并根据违规行为的具体情形发出警告、作出纠正决定或责令停止违规行为，同时处以罚款。罚金最高可达相关主体所属企业上一财年全球年度总营业额的7%。

(五)电信领域ICT供应链的特别措施

电子通信网络一直是欧盟重点监管的领域。2021年，欧盟委员会发布“5G安全工具箱”（EU Toolbox for 5G Security），强调5G网络安全的重要性，并建议成员国评估供应商的风险状况、采取相应限制措施，以及维持多元化且可持续的5G供应链。CSA 2则试图在法律层面直接确立对于电子通信网络供应链的安全要求，以解决各成员国对“5G安全工具箱”落实进度不一的问题。

CSA2在附录二中列明了电信领域核心资产清单，并要求在移动通信网络高风险供应商名单公布后36个月内，全面淘汰相关ICT组件及含ICT组件产品。此外，CSA 2还明确要求，电信领域运营者在核心ICT资产的运营过程中，不得以任何形式使用、安装或集成高风险供应商提供的ICT组件或含ICT组件产品。

二、CSA 2对中国的影响

(一)对中国法律制度与网络安全治理的单边化评价

在CSA 2项下，欧盟委员会有权识别“存在网络安全关切的第三国”以及“高风险供应商”。然而，相关认定标准整体上较为抽象，对于核查范围、证据形式及认定程序均缺乏明确限制，从而赋予欧盟委员会较大的自由裁量空间。

在具体适用过程中，欧盟委员会不仅可能基于其既有认知对第三国法律制度、国家治理结构及网络安全环境作出判断，也可能在风险评估中引入地缘政治、外交关系或经济安全等法律之外的考量因素。由于当前中欧在技术竞争、供应链安全及经济安全领域的敏感关系，中国较容易被纳入“高风险”审查框架之中。

因此，CSA 2实际上不仅是一套网络安全监管机制，也可能演变为欧盟对第三国网络安全治理体系进行单边评价与风险分类的重要工具。

(二)对中国ICT供应商市场准入与经营模式的限制

在CSA 2与NIS 2指令相互衔接的背景下，欧盟对高风险ICT供应商的监管对象，已不再局限于传统电信或5G基础设施领域，而是进一步扩展至能源、金融、交通、医疗、数字基础设施、公共行政等18个关键行业。由此，中国ICT供应商所面临的风险限制范围，正在从特定通信领域逐步扩展至欧盟关键基础设施体系的多个层面。

在此背景下，中国ICT供应商由于其国家属性，本身即存在被纳入高风险供应商范围的潜在可能。与此同时，华为、中兴等已在欧洲市场形成较大业务布局的企业，亦可能绕过国家因素，直接被认定为高风险供应商。欧盟委员会在“5G安全工具箱”实施进展报告中的相关表态，已在一定程度上反映出这一监管趋势。

一旦被列入高风险供应商清单，中国ICT企业在欧盟关键行业中的业务可能面临显著限制，包括被禁止向关键行业实体提供产品或服务、在规定期限内退出既有设备，以及承担由此产生的资产处置损失与合同纠纷风险。

即使未被完全排除，相关供应商仍可能需要配合客户实施额外风险缓解措施，包括履行额外的信息披露义务、接受第三方技术审计、限制数据传输或远程访问权限等。对于依赖远程技术支持开展业务的中国ICT企业而言，这还可能导致其原有服务模式与运营结构发生调整。

(三)对中国ICT产业链与国际竞争地位的长期影响

CSA 2所引入的高额罚款、退出期限及供应链风险管理要求，还可能进一步强化欧盟客户对中国ICT供应商的审慎态度。为降低监管风险，欧盟企业可能主动调整采购政策，提高对中国供应商的准入标准，甚至在关键业务领域优先选择被认定为“可信”的本地或第三国供应商。

在此背景下，中国ICT企业不仅可能面临市场份额下降的问题，还可能逐渐被排除于欧盟网络安全规则制定、技术标准形成及产业生态合作之外。随着欧盟供应链“去风险化”政策的持续推进，中国ICT产业在欧盟市场中的参与空间可能进一步收缩，并形成“监管限制—市场退出—生态弱化”的循环性影响，进而导致其在欧盟数字产业体系中的制度性边缘化。

此外，为满足欧盟客户的合规要求，中国企业在欧盟设立的本地运营实体，也可能主动降低对中国ICT供应商的依赖，从而在中国企业之间形成一种以合规风险隔离为导向的“合规切割”趋势。

三、中国ICT企业的应对措施

CSA 2体现出欧盟通过网络安全治理实现技术主权与供应链重构的制度倾向。如该草案最终获得通过，技术标准与网络安全规则将进一步演变为新的市场准入壁垒。在此背景下，中国ICT企业有必要尽早启动系统性的风险应对与合规准备工作。

(一)持续开展监管追踪与规则参与

目前，CSA 2仍处于欧盟普通立法程序的一读（first reading）阶段。对于中国企业而言，应持续关注修订草案的最新立法进展，以及欧盟委员会、欧洲议会、ENISA等机构通过政策文件、实施报告及监管表态所释放出的监管信号，从而为后续的风险评估、业务调整及合规方案制定提供支持。

另一方面，中国企业亦应积极参与欧盟相关立法与政策讨论，通过多种渠道提升自身在规则制定过程中的参与度与影响力。具体而言，企业可借助后续听证会、行业工作组沟通、利益相关方咨询等机制适时提交意见，并通过行业协会、商会等组织形成联合发声机制。同时，还应重视与中国外交、商务等主管部门之间的持续沟通，以增强企业在跨境监管协调中的政策支持能力。

在当前监管环境持续趋严的背景下，单纯采取保守观望策略，而不主动参与规则沟通与合规布局，往往容易使企业陷入被动应对的合规困境。

(二)提前推进合规布局与风险防控

整体而言，CSA 2未来的制度演进方向及具体监管强度仍存在一定不确定性。在此情况下，中国企业有必要尽早制定相应的合规预案，并提前开展风险识别与内部排查工作。

就企业内部治理而言，应进一步健全供应链管理制度，全面梳理并掌握供应链结构、关键供应商及相关依赖关系，以避免在监管透明度不足或信息披露不充分的情况下，被认定存在高风险供应链依赖。同时，企业还应持续加强网络安全治理体系建设，完善产品与服务的技术安全保障方案，以提升自身在欧盟监管框架下的可信度与合规能力。

在客户关系层面，中国ICT企业亦应加强与欧盟客户之间的前置沟通，主动展示自身在网络安全、数据治理及供应链安全方面的合规能力，并及时同步可能产生积极影响的监管动态、认证进展及行业合作措施，以降低客户因信息不对称而产生的合规顾虑。否则，在当前欧盟监管环境趋严的背景下，部分客户可能基于风险规避考虑，采取“超前合规”策略，提前终止或限制与中国企业的业务合作。

(三)强化中国法下的法律义务履行

中国ICT企业在维护欧盟市场业务稳定的同时，亦应重视中国法项下的法律义务，不得因维持海外业务机会而损害中国国家安全、产业安全及相关公共利益。

具体而言，企业应重点关注供应链安全及反域外制裁领域的立法与监管动态，例如《国务院关于产业链供应链安全的规定》以及《反外国不当域外管辖条例》等重要制度安排。在相关监管要求下，企业应进一步完善风险防控体系，提升核心技术、关键信息系统及相关数据的安全可控能力，以降低跨境经营活动中的合规风险。

此外，在监管机构针对外国歧视性禁止、限制或其他类似措施开展调查过程中，企业亦应依法履行配合义务，及时提供相关信息。对于监管机构依法采取的反制措施，中国企业亦应严格遵守相关要求，避免通过直接或间接方式协助相关外国组织或个人实施不当域外管辖或其他歧视性措施。

四、结语

CSA 2所反映的，已不仅是欧盟网络安全监管规则的技术性调整，而是欧盟在数字时代背景下，通过网络安全、供应链治理与经济安全政策相结合，重塑关键基础设施治理体系与技术信任秩序的重要制度尝试。随着网络安全、产业政策与地缘政治因素的进一步交织，欧盟数字监管规则正在逐渐突破传统市场监管范畴，并呈现出更明显的战略化与外部化趋势。

对于中国ICT企业而言，CSA 2所带来的影响，也已超越单纯的市场准入问题，而逐渐演变为涵盖供应链安全、跨境合规、国际规则参与及全球经营模式调整在内的长期性制度挑战。在全球数字治理规则持续重构的背景下，中国企业如何在维护自身国际竞争力的同时，实现多重法域下的合规平衡与风险协调，或将成为未来参与国际数字产业竞争的重要议题。

声明：本文来自减熵实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。