2021年3月9日，歐盟網絡安全委員會ENISA發布了金融領域的網絡安全倡議，目的是闡明金融實體、歐盟機構、金融部門的相關舉措，并指導感興趣的各方與之互動并從其產生的成果中受益。

金融部門是一個受到嚴格監管的部門，網絡安全條款已包含在多個歐盟政策和法規中（例如PSD 21，MIFID II2）。歐盟機構、代表、構成部分、監管機構和其他利益相關者團體實施了多項旨在改善金融實體網絡安全的舉措。這份簡短的文件概述了該行業中的此類歐洲網絡安全計劃，并且是對歐盟一級與網絡安全相關計劃的首次描述。

1.歐盟金融領域網絡安全政策的制定與實施

歐盟委員會在制定歐盟整體戰略以及設計和執行歐盟金融部門政策方面發揮著積極作用，它會定期評估并報告這些政策。這些舉措屬于歐洲委員會的責任。

歐盟委員會于2018年發布了Fintech行動計劃，其目的是實現更強的網絡彈性，并通過以下方式做到這一點：促進市場參與者之間關于網絡威脅的信息共享；促進更高的監管融合和IT風險管理的實施；使用常見的威脅情報線索方法（例如TIBER-EU）加強歐盟在網絡威脅測試中的協調。

2020年，數字金融戰略就歐洲如何在未來幾年內支持金融數字化轉型，同時規范其風險提出了一般思路。該戰略提出了四個主要優先事項：消除數字單一市場中的分散性，調整歐盟法規框架以促進數字創新，促進數據驅動的融資，通過數字化轉型應對挑戰和風險，包括增強金融系統的數字化運營彈性。

歐共體最近發布了有關《數字運營彈性法案》（“DORA”）的立法提案。金融部門對軟件和數字流程的日益依賴意味著信息通信技術（ICT）風險是金融固有的。因此，委員會建議所有金融實體確保其能夠承受與ICT相關的所有類型的破壞和威脅。信貸機構、支付和電子貨幣機構、保險公司和其他金融實體將必須遵守嚴格的標準，以防止和限制與ICT相關的事件的影響。歐共體還對服務提供商（例如大技術公司）設置監督框架，這些服務提供商向金融實體提供關鍵的ICT服務。

歐洲銀行業管理局（EBA）的主要任務是為創建《歐洲單一規則手冊》做出貢獻，旨在為整個歐盟的金融機構提供一套統一的審慎規則。關于與ICT /網絡相關的主題，EBA已制定了許多監管文件，包括指南、建議、意見和其他非監管公開聲明。EBA制定了旨在提高信貸機構、支付機構、投資公司和電子貨幣機構的網絡彈性的技術標準、指南、意見和其他法律工具。EBA已經建立了兩個相關的結構，它們正在處理與網絡相關的事務。第一個是支付服務小組委員會，該委員會致力于PSD2相關方面的工作，并由主管當局的專家參加。第二個結構是IT監督特別工作組（TFIT）。TFIT吸引了來自成員國的ICT專家，他們在與監管實踐融合有關的領域中提供協助，以監督IT和與IT相關的風險。此外，它還有助于建立一個一致而有效的框架來評估IT風險和其他審慎風險，這些風險可能是受監管機構使用創新技術（FinTech）引起的。

《EBA ICT和安全風險管理指南》規定了歐盟/歐洲經濟區的信貸機構、投資公司、支付機構和電子貨幣機構在緩解和管理其信息和通信技術（ICT）風險方面的要求，并旨在確保單一市場的強大方法。2019年11月，EBA發布了《ICT和安全風險管理指南》（EBA / GL / 2019/04），該指南要求通過建立健全的內部治理和使用內部控制框架來管理和緩解ICT和安全風險，明確規定金融機構員工（包括管理機構）的職責。

歐洲保險和職業養老金管理局（EIOPA）采取措施對保險和養老金行業進行監管。EIOPA專注于采用新技術的業務模型的影響，以及將新技術用于監督目的的影響。原子能機構還為建立歐洲共同的技術創新方法做出了貢獻，并促進了有關網絡安全和網絡攻擊的信息交流。EIOPA最近發布了一項網絡承保策略。它考慮了對網絡風險的接受度以及以下可能性：網絡攻擊可能造成的損失；來自網絡攻擊的響應和恢復；分享網絡風險管理的良好做法；鼓勵對降低風險的保險費進行投資。EIOPA還發布了外包準則。這些準則適用于所提供的各種云服務。這些準則的目的是向市場參與者提供透明的信息，避免潛在的監管套利。此外，它們旨在促進與云外包相關的流程方面的監督融合。

泛歐金融基礎設施歐洲網絡彈性委員會（ECRB）是金融市場基礎設施之間進行戰略討論的論壇。其目標是：提高對網絡彈性主題的認識；推動聯合行動，為市場開發有效的解決方案；提供一個共享最佳做法并促進信任與協作的場所。

ENISA定期對正在進行的、未來的涉及網絡安全的歐盟政策計劃進行最新評估，為政策制定和實施提供支持，并將此信息提供給歐洲委員會和國家網絡安全主管部門。它特別關注與NIS指令有關的政策以及專門用于網絡安全的政策（例如DSM，安全認證，危機合作，教育和培訓，信息中心）。ENISA在政策制定方面向歐盟委員會和其他歐盟相關機構提供網絡安全專家建議。ENISA還支持國家主管部門之間的合作，以便為實施已商定的歐盟政策（立法）而共同努力。因此，它可以分享國家的觀點和經驗，并有助于在這些觀點和經驗的基礎上提出建議并就其達成共識。

2.信息共享和能力建設

ECRB于2020年2月27日啟動了網絡信息和情報共享計劃（CIISI-EU）。CIISI-EU匯集了公共和私人實體的做法，旨在共享情報和交流最佳做法。CIISI-EU的核心目標是：通過預防，檢測和應對網絡攻擊來保護金融系統；促進在金融基礎設施之間共享信息，情報和最佳做法；和提高對網絡安全威脅的認識。CIISI-EU社區是一個市場驅動的計劃。它由ECRB代表的泛歐洲金融基礎設施、中央銀行（以其運營能力）、關鍵服務提供商、ENISA和EUROPOL組成。

七國集團成立了一個網絡專家組（CEG），定期開會以促進重大國際辯論的進展，并向七國集團部長和州長報告。該小組由英國和美國主持。CEG的目標是確定金融部門的主要網絡安全風險，并提出在此領域應采取的行動。

泛歐保險論壇（PEIF）致力于提高與網絡有關的事件的透明度，從而為網絡保險承保社區提供堅實的數據基礎。提高透明度既要在數量上提高（即增加目前在歐洲市場上生產和交換的信息的數量，又要使更多的經濟主體能夠獲得這些信息）。

ENISA通過提供有關最佳實踐的信息以及有關可用工具和程序的指南，并通過適當解決與信息共享有關的監管問題，來支持在各個部門中建立信息共享和分析中心（ISAC），從而為這些舉措做出了貢獻。這種信息交換可以幫助每個成員以及其成員國中的銀行提高對潛在風險的認識，并就新的威脅和MO發出預警。

3.網絡危機管理

ENISA在歐盟對網絡安全事件危機的協調響應中發揮了積極作用，并在需要時為歐盟委員會提供了幫助，特別是在綜合政治危機響應（IPCR）安排的框架內。

ENISA與成員國緊密合作，開發歐盟級別的網絡危機管理方法，以在發生跨境網絡事件時提高態勢意識，以協助國家和歐盟級別的決策者做出正確的決定。ENISA還運行了幾次危機模擬和演練，并提供了有關該主題的大量培訓。此外，ENISA管理泛歐洲演習計劃，即“Cyber Europe”，并提供網絡演習平臺，這是用于管理復雜演習的工具。

4．提高意識和培訓

歐洲銀行業管理局（EBA）通過其政策制定工作和監管融合活動來提高人們對網絡危機的認識。其中包括為整個歐盟和一些非歐盟轄區的監管者舉辦的研討會和培訓。在監管方面，EBA還通過將有關ICT和網絡安全的具體細節納入監管來提高意識。作為評估歐盟銀行業風險和脆弱性的任務授權的一部分，EBA定期發布風險評估報告，其中包括ICT和網絡安全風險。同樣，ESA風險報告聯合委員會還定期就涉及網絡安全方面的內容與外部利益相關者合作，包括磋商、圓桌會議和講習班。

歐洲銀行業聯合會（EBF）通過計劃和開展活動，以提高人們對網絡安全問題的認識，并提高銀行員工和客戶的網絡安全技能。EBF通過其網絡安全工作組，積極開展網絡風險意識提高運動和計劃，以提高勞動者和歐盟公民的網絡安全技能。2014年，EBF與EUROPOL歐洲網絡犯罪中心（EC3）在三個級別上簽署了諒解備忘錄。自那時以來，它利用其遍布全國的銀行界網絡來提高對最新網絡威脅和解決方案的認識，以減輕該部門（員工，客戶和董事會級別）的風險。

5.標準化和認證

網絡風險研究所（CRI）致力于通過發布標準來增強網絡安全性和彈性。作為金融機構和行業協會的非營利聯盟，CRI負責維護《金融服務網絡安全概況》（以下簡稱“概況”），這是金融服務行業網絡安全和彈性的基準。這份不斷發展且簡潔的評估問題清單是根據全球法規和網絡標準（例如ISO和NIST的標準）得出的。該概要還創建一種通用的監督工具，旨在提高主管部門對公司慣例進行基準測試的能力。EBA根據《支付服務指令II》發布了兩項監管技術標準。

6．研究與創新

CONCORDIA是一個網絡安全能力網絡，具有領先的研究、技術、工業和公共能力。CONCORDIA建立了以用戶為中心的、歐盟范圍的網絡安全生態系統。CONCORDIA的服務實例包括將不同的利益相關者聚集在一起，在金融部門等各個部門開發創新的解決方案，通過虛擬實驗室，培訓課程和網絡范圍提供領先的研究和創新，以及為歐洲決策者和行業提供專業知識。此外，CONCORDIA正在建立歐洲教育生態系統，并定期發布有關網絡安全技能認證或威脅態勢的報告。

同樣，歐洲網絡安全是一個研究項目，涵蓋了在數字基礎設施、金融、政府和智慧城市、醫療保健和交通運輸等垂直領域解決網絡安全挑戰的現實用例。其中工作重點專門放在下一代網絡安全技術（包括雙重用途），應用程序和服務的共同研究、開發和創新上，側重于橫向網絡安全技術和關鍵部門（例如金融）的網絡安全。

來源：中國信通院