1. 介绍

1.1 背景

1.2 网络安全的原则

2. 战略的首要目标和行动

2.1 实现网络弹性

2.2 大幅度减少网络犯罪

2.3 制定关涉共同安全和防护政策的网络防护政策和能力培养

2.4 发展有助于网络安全的企业和技术资源

2.5 针对欧盟确立一致的国际网络空间政策和倡导欧盟核心价值

3. 角色和责任

3.1 网络和信息安全主管部门/计算机应急响应小组、法律执行和防护之间的协调

3.2  针对主要网络事件或攻击的欧盟支持

4. 总结和后续工作

 

1. 介绍

1.1 背景

在过去的二十年里，社会的方方面面都受到了互联网和更为广义的网络空间的深远影响。目前，我们的日常生活，基本权利，社会互动和经济发展都有赖于信息和通讯技术的无缝协同工作。一个开放且自由的网络空间可以在全球内促进政治和社会的包容性，并且破除国家、社区和公民之间的障碍，使得彼此之间可以在全球范围内实现互动以及信息和思想的共享。此外，它也提供了一个自由表达、实现基本权利的平台，并通过赋权使得公民可以主张更为民主和公正的社会。在此，最为显著的例子就是阿拉伯之春。

为了确保网络空间的公开和自由，欧盟在线下所追寻的规范、原则和价值应当同样适用于线上活动。网络空间应当同样保护基本权利、民主和法律价值。我们的自由和富饶有赖于日益发展的且创新性的互联网。对此，私人部门的创新和市民社会都将有助于其发挥更为重要的作用，进而保持持续性的增长。 然而，自由的在线发展也需要安全。网络空间应当预防事故、恶意活动和滥用行为；政府也要在保障自由和安全的网络空间方面发挥重要的作用。政府可以做好以下的工作：保障接入和公开，尊重和保护在线的基本人权和保持互联网的可靠性和互通性。然而，网络空间很多都是由私人部门所有且由其操作，因此，需要这个领域内的活动想要获得成功，还需要意识到他们的领导作用。 

信息和通讯技术已经成为当代经济发展的支柱，且是所有经济领域所依赖的关键性资源。作为支柱，信息通讯技术是那些关键部门内确保经济可持续发展的复杂系统的基础所在，例如，金融领域、健康、能源和交通领域。事实上，互联网的持续性业已成为诸多商业模式的基础，包括信息系统顺畅运行的保障。 

通过建设数字单一市场，欧洲的国内生产总值每年可增长500,000,000,000欧元，即每人平均增加1000欧元。对于新技术的发展，如电子支付、云计算或者端对端通讯，公民需要信任它们，且并对它们持有信心。然而，不幸的是，2012年的一项欧洲调查表明：对于使用互联网来进行银行业务或者购买而言，几乎三分之一的欧洲人对上述操作不具有信心。而且大多数的人认为他们都基于安全的考量而极力避免在网上泄露个人的信息。在欧盟内，十分之一多的互联网使用者已经成为网络欺诈的受害者。

这些年的发展业已见证了急速增长的数字红利，但其也是相当脆弱的。网络安全事件可能是故意为之，也可能是意外事件，但这些都提高了警觉意识，且会破坏一些我们认为必要的服务供给，如水、健康保健、电或者移动通讯服务等。 威胁的源头是多样的，包括基于犯罪、政治、恐怖主义的原因抑或国家资助的袭击，以及自然灾害和意外过错。

欧盟经济已经受到那些针对私有部门和个人的网络犯罪活动的影响。网络犯罪正在使用日益复杂的方法侵入信息系统，盗取关键数据抑或勒索企业。网络空间内不断增多的商业间谍和国家资助的活动已经成为欧盟政府和企业的新威胁。 

对于欧盟之外的国家而言，政府可能滥用网络空间以便开展监测和控制其公民的活动。对此，欧盟基于网络自由和对于网络基本权利的尊重而反对这一行为。

所有这些因素都说明了为什么全世界的政府都已经开始制定网络安全的战略，并将网络空间视为一个日益重要的全球性问题。对此，欧盟也需要推进其在这个领域内的活动。这一由欧盟委员会以及外交事务和安全政策的高级代表所提出的针对欧盟网络安全战略的提案就勾勒了欧盟在这个方面的愿景，明确了其角色和责任，并制定了其所要采取的行动，进而强而有效地保护和促进公民有关确保欧盟网络环境最为安全的权利。

1.2 网络安全的原则

在没有政府监管和规制的情形下，无边界且多层级的互联网已经成为推进全球发展的最为有利的工具。当私人部门在建设互联网且对其进行日常管理方面继续发挥领导作用时，对其提出透明、问责和安全的要求也日益显得重要。对此，本战略在于明确制定欧盟以及国际网络安全政策时所遵循的原则。

欧盟的核心价值在物理世界和数字世界的重要性是一致的

我们日常生活中其他领域内所适用的法律和规则也同样适用于网络空间。

保护基本权利、言论自由、个人数据和隐私

只有基于保障欧盟基本权利宪章中所载明的基本权利和自由以及欧盟核心价值的网络安全才是可靠且有效的。同样的，没有安全的网络和系统，个人权利也无法得以保障。任何有助于网络安全的信息共享在危及个人数据时，应当符合欧盟数据保护法的要求并充分考虑该领域内个人权利保护。 

所有人可接入

鉴于数字世界在社会活动中的渗透，限制的或者无法接入互联网和数字时代的文盲都会使得公民处于劣势。因此，每个人都应当可以接入互联网并无障碍的获得信息。在实现互联网的完整性和安全性同时也要保障每个人的接入安全。

民主且有效的多元利益相关者治理

数字世界不是由单个实体所控制的。目前，有诸多的利益相关者，包括商业组织、非政府组织，且涉足在网络资源的日常管理、协议和标准制定以及互联网的未来发展中。欧盟已经意识到所有利益相关者在互联网治理中的重要性，且支持这一多元利益相关者治理方法。  

共享保障安全的责任

对于应用于人类生活各领域的信息和交流而言，它们的关联性日益密切，进而使得有必要明确存在的脆弱点，并对其进行分析，进而加以补救或者减少这些脆弱点。 所有相关的人员，无论其是公共机构，私人部门还是个体公民，都要意识到这一共享的责任，并采取行动保护它们。如有必要，可以通过协商一致的方式应对，继而强化网络安全。 

2. 战略的首要目标和行动

欧盟应当保障网络环境，为每一个人提供最高可能的自由和安全。 当意识到上述工作首当其冲是成员国确保网络安全所面临的挑战时，本战略也提出了可提高欧盟整体绩效的具体行动。这些行动既有短期的也有长期的，它们包括不同的政策工具和多类型的行动者，包括欧盟机构、成员国或行业。

本战略中提及的欧盟愿景涉及五个战略性的首要目标，其目的在于应对上文所提及的各项挑战，它们是：

 实现网络弹性

 大幅度减少网络犯罪

 制定网络防护政策和培养有关共同安全和防护政策的能力

 开发有助于网络安全的行业和技术资源

 针对欧盟制定一个一致性的国际网络空间政策并传播核心的欧盟价值

2.1 实现网络弹性

为了促进欧盟的网络弹性，公共机构和私人部门应当共同致力于能力的提升和有效的合作。 鉴于迄今为止已经通过各类活动取得的有益成果，欧盟未来的行动将更有助于应对跨地区的网络风险和威胁，并实现应急情形下的协同响应。这也将强有力地支持内部市场的良好运作和提升欧盟的内部安全。 

如果没有提高公私部门在预防、发现和处理网络安全事件的能力、资源和程序的实质性努力，那么欧洲在这个方面将依旧是脆弱的。这也是为什么欧盟委员会知制定有关网络和信息安全（NIS）的政策。欧洲网络和信息安全局（ENISA）成立于2004年，而一项意在强化该机构并更新其职权的法规（regulation）正由欧盟理事会和议会磋商中。 此外，电子通信的指令框架也要求电子通信的供应商对其网路风险进行适当的管理并上报重要的安全违规行为。而且，欧盟数据保护立法要求数据的控制者应当确保数据保护的要求得以落实并对其加以保护，包括采取有关安全的措施，而在可公开获取的电子通信服务领域，数据控制者也应当将涉及侵害个人数据的事故告知成员国的主管部门。 

尽管基于自愿性的承诺已有所进展，但是在欧盟内还是存在很多落差，尤其是国家能力、跨国事故处理的协调和私人部门的参与和防备。作为本战略的附件，也有一项主要针对以下内容的立法建议：

就国家层面的网络和信息安全确立共同的最低要求，对此，成员国有义务确立负责网络和信息安全的国家主管部门，制定有序运作的计算机应急响应小组(CERT)，制定国家网络和信息安全战略以及国家网络和信息安全合作计划。欧盟机构也需要能力建设和协调国内工作，包括负责成立于2012年的关涉欧盟各机构的信息通讯系统安全的计算机应急响应小组。

制定协调性的预防、发现、减少和响应机制，在负责国家网络和信息安全系统的主管部门之间促进信息的共享和互助。国家网络和信息安全主管部门有义务确保欧盟内部开展有关响应跨国范围内的网络事件的广泛合作，尤其是基于欧盟的网络和信息安全的合作计划。 对于这一合作，也可以借助“成员国欧洲论坛（EFMS）”所取得的成果，即在网络和信息安全政策方面所开展的有意探讨和交流，对此，也可以一并整合到实践中的合作机制。 

提高私人部门的防备和参与。由于大多数的网络和信息系统都是由私人所有并由其操作，提高他们参与到网络安全的保障工作就成为关键的内容。私人部门应当在技术层面发展他们自己的网络弹性能力，并在各部门间共享最好的操作规范。行业所采取的应对事件、确认原因和开展司法调查的工具也会有助于公共部门的工作。 

然而，私人部门依旧在以下几个方面缺乏有效的动力，包括提供有关发生网络和信息安全事件及其影响的可靠数据，塑造一个风险管理文化抑或投资研究安全问题解决措施。因此，针对立法的提案在于确保各个关键领域（包括能源、交通、银行、证券交易所和关键互联网服务的引擎以及公共管理部门）内的参与者评估他们所面临的网络安全风险，通过适宜的风险管理确保网络和信息系统的可靠性和弹性，并与国内的网络和信息安全主管部门分享其所确认的信息。构建一个网络安全的文化可以在私人部门提高商业机会和竞争力，即可以使得网络安全成为卖点。 

这些实体应当向国家的网络和信息安全主管部门上报对于关键服务和基于网络和信息系统能够的商品供给的持续性造成重要影响的事件。 

国家网络和信息安全系统主管部门应当和其他的规制部门开展合作和交流信息，尤其是与有关个人数据保护的主管部门。网络和信息安全主管部门应当相应地将涉及严重犯罪性质的疑案事件报告给法律执行机构。国家主管部门也应该定期在既定的网站上发布不涉密的信息，包括针对事件和风险的持续性的早期预警以及协调性的响应。法律义务既不能替代也不能阻止构建一个正式的且义务性的合作，包括公共部门和私人部门，以便提高安全水平和交流信息以及最好的操作规范。尤其是，欧洲的针对弹性的公私合作伙伴（RP2R）是一个在欧盟层面的可靠且有效的平台，因此要进一步强化其作用。 

“联通欧洲设施”（Connecting Europe Facility）将为关键基础设施提供财政支持，进而提高成员国的网络和信息安全系统能力以便欧盟内部的合作可以更为便捷。 

最后，欧盟层面开展的针对网络事故的演习对于提升成员国和私人部门之间的合作也是至关重要的。这个方面最早涉及成员国的演习开展于2010年，即“欧洲网络2010”，第二次则涉及私人部门，开展于2012年10月，即欧洲网络2012.而欧盟和美国的高层演习也已于2011年开展，即大西洋网络2011。来年也会开展更多的演习，包括扩展国家合作。  

提高意识

确保网络安全是一项共同责任。终端用户在确保网络完全和信息系统中也发挥着关键作用。对此，需要提高他们的意识，使其认识到其在线时所面临的风险，并赋权使其可以采取简单的措施应对这些风险。

这些年所采取的一些措施应当继续加以执行。尤其是，欧洲网络和信息安全局已经通过报告发表、组织专家讨论会和发展公私伙伴关系来提升这一意识。欧洲刑警组织、欧洲检察官组织和国家数据保护机构也积极致力于这一意识的提升。在2012年10月，欧洲网络和信息安全局在和一些成员国的合作下，尝试开展了“欧洲网络安全月”的活动。提高这方面的意识是欧盟——美国网络安全和网络犯罪工作组的一个主要合作事项，且又是安全互联网项目（关注儿童在线安全）中的关键内容。

2.2 大幅度减少网络犯罪

我们对数字世界依赖更多，那么网络犯罪的机会也会越来越多。网络犯罪是增长速度最快的犯罪形式，每一天全球都有超过一百多万的人成为受害者。网络犯罪分子和网络犯罪网络变得日益复杂，为此我们需要适宜的操作工具和能力去应对他们。网络犯罪的收益高，风险低，而且犯罪分子经常发掘网络领域内的匿名性。

网络犯罪是没有国界的，因而全球范围内对互联网的研究意味着法律执行必须采取协调且合作的跨境方式来应对这一日益增长的风险。

有力且有效的立法

欧盟和成员国需要有力且有效的立法来应对网络犯罪。网络犯罪欧洲公约（布达佩斯公约）的理事会是一个具有约束力的国家协议，其规定了制定国家立法的有效框架。 

欧盟已经针对网络犯罪制定了法律，包括打击在线对儿童性剥削和儿童色情制品的指令。欧盟也将同意通过一项针对攻击信息系统的指令，尤其是通过使用僵尸网络的攻击行为。 

提高打击网络犯罪的执行能力

网络犯罪技术的演变已经加快，相应的，如果没有与时俱进的执法工具，那么法律执行机构也将无法打击网络犯罪。最近，并不是所有的欧盟成员国有能够使其有效应对网络犯罪的执行能力。对此，所有的成员国都需要有效的打击网络犯罪

的国家机构。 

提高欧盟层面的协调

欧盟可以通过协调且合作的方式完善成员国的工作，进而使得法律执行和司法机构以及欧盟内外的公私部门的利益相关者一同致力于这一工作。 

2.3 制定关涉共同安全和防护政策的网络防护政策和能力培养

欧盟层面有关网络安全的努力也涉及到网络防护领域。为了提高意在支持成员国防护和国家安全利益的通讯信息系统的弹性，网络防护能力发展应当聚焦于风险、响应复杂的网络风险并尽快恢复正常。 

考虑到风险的多面性，应当结合民事的和军事的方式来保护关键网络设施，并提高这方面的水平。这些努力还应当得到研究发展的支持，以及涉及欧盟内政府、私人部门和学术界的合作支持。为了避免工作的重复，欧盟应当寻求更多有助于欧盟和北大西洋公约组织（NATO）完成其提升关键性政府防护和其他被上述两个组织视为关键性的信息基础设备的弹性的可能性。

2.4 发展有助于网络安全的企业和技术资源

欧洲具有卓越的研究和发展能力，但是很多提供创新性通讯信息技术产品和服务的国际引领者并不根植于欧盟。由此而来的一个风险便是欧洲不仅过度依赖于由其他地区生产的通讯信息技术，而且也需要借助其域外提供的方式解决安全问题。至关重要的一点是要确保由欧盟内以及第三国所生产的用于关键服务和基础设施以及移动设备中日益增多的硬件和软件组件的可信赖性、安全性和能够保障个人数据安全。 

推进有助于网络安全产品的单一市场

只有所有价值链（诸如设备生产商、软件开发商、信息社会服务提供商）都将安全视为首要目标，才能实现高水平的安全保障。 然而，现在的许多参与者似乎都近将安全视为额外负担，进而对安全措施的诉求也非常有限。 对此，需要针对在欧洲使用的通讯信息技术产品的网络安全绩效提出适宜要求，并将它们适用于各价值链。私人部门也需要激励他们实现较高的网络安全保障水平。例如，表明足够网络安全绩效的标识可以鼓励企业达到优秀的网络安全绩效并通过记录追踪将其作为一个卖点而由此获得竞争优势。 此外，针对网络和信息安全的指令提案也提出了一些义务要求，而这些都可以有效地提升相关行业内的企业竞争力。 

针对高安全水准产品的泛欧洲市场需求也会因此得到刺激。第一，这一战略的目的在于针对通讯信息技术产品的安全性提高合作和透明要求。对此，需要确立一个平台，将相关的欧洲公共和私人利益攸关者集结起来，确认各价值链中有关网络安全方面的良好实践，并就发现和采用有利于实现通讯和信息技术安全的措施提供有力的市场条件。一个主要的焦点便是为采取适宜的风险管理和安全标准及问题解决措施提供激励措施，并尽可能鉴于欧盟以及国际上既有的项目确立自愿性的泛欧洲认证项目。欧盟委员会将促进成员国采用一致性的方式来避免分歧所导致的企业的地域劣势。 

第二，欧盟委员会将支持针对云计算领域内的安全标准制定，并协助泛欧洲的自愿性认证项目。与此同时，也会考虑数据保护的必要。工作将致力于供应链的安全按保障，尤其是关键的经济领域（企业控制系统、能源和交通基础设施）。这一工作将基于欧洲标准化组织（CEN,CENELEC和ETSI）、网络安全协调小组（CSCG）所开展的持续性的标准化工作，此外也会听取欧洲网络和信息安全局、欧盟委员会和其他相关参与者的专业信息。 

促进研究和开发的投资以及创新

研究和开发可以支持一个强有力的行业政策，促进值得信赖的欧洲信息通讯技术行业，刺激内部市场和减少欧洲对于国外技术的依赖性。研究和开发应当可以弥补信息通讯技术安全方面的差距，准备迎接下一轮的安全挑战，考虑用户需求的持续变化并获取双重使用技术所带来的收益，应当持续支持密码学的发展。而将研究和开发的成果用于商业问题的解决也可以完善上述的努力，而这需要提供必要的激励措施并落实适宜的政策条件。 

欧盟应当充分利用2014年执行的地平线2020项目对于研究和创新的支持。欧盟委员会就可信赖的信息和通讯技术以及打击网络犯罪提出了一些具体的目标，而这些与本战略都是相一致的。地平线2020项目将支持与新出现的信息通讯技术相关的安全研究，提供点对点保障信息通讯技术系统、服务和应用安全的问题解决之道，为执行和采用既有的措施提供激励，并关注网络和信息安全内互通性的问题。欧盟层面将明确具体的关切内容以便最大化的利用并协调各类资金支持项目（地平线2020，内部安全基金，EDA研究，包括欧盟框架合作）。

2.5 针对欧盟确立一致的国际网络空间政策和倡导欧盟核心价值

保持一个开放、自由和安全的网络空间是一项全球挑战，对此，欧盟应当和相关的国际伙伴和组织以及私人部门和市民社会共同迎接这一挑战。

通过其国际网络空间政策，欧盟试图促进其互联网开放性和自由，鼓励那些意在制定行为规范和适用既有的有关网络空间的国际法律的努力。欧盟也会致力于减少数字鸿沟的工作，并积极参与有助于提升网络安全能力建设的国际努力。欧盟在网络问题中的国际参与应当给予欧盟的核心价值，包括保障人格尊严、自由、民主、平等、法治和对基本人权的尊重。

把网络空间问题作为欧盟外交关系和共同外交和安全政策的主流问题

欧盟委员会、高级代表和成员国应当明确一项一致的欧盟国际网络空间政策，该政策的目的在于改进和强化与一些关键国际伙伴和组织以及市民社会和私人部门的关系。就欧盟向一些国际参与者咨询有关网络问题而言，其应当合理设计、协调和执行，以便将欧盟价值融入到既有的欧盟成员国和第三国的双边对话中。欧盟将重新强调与第三国对话的重要性，并重点发展与欧盟价值具有相似想法的伙伴关系。其将致力于实现高水平的数据保护，包括向第三国转移个人数据。为了应对网络空间的全球挑战，欧盟将和积极致力于这个领域的机构开展合作，包括欧洲理事会，经济合作与发展组织、联合国、欧洲安全与合作组织、北大西洋公约组织、非洲联盟、东南亚国家联盟会议、美洲国家组织。就双边关系而言，与美国的合作尤其重要，且应当加以强化，尤其是欧盟和美国针对网络安全和网络犯罪的工作组。

欧盟国际网络政策的一个主要内容就是促进网络空间的发展，使其成为一个自由和保障基本权利的领域。扩大互联网的接入服务应改进民民主革命和其在全世界范围内的推进。与日益增进的全球互通性相伴发展的不应是审查或大范围的监视。欧盟应当提高企业社会责任，并开展国际性的项目以提高这个领域内的全球协调。

构建一个更为安全的网络空间责任在于全球信息化社会中的所有参与者，包括市民和政府。欧盟支持那些有助于制定网络行为规范并使得所有人都加以遵循的努力。一如欧盟希望其公民在线时遵循民事义务，社会责任和法律，相应的，国家也应当被上述的规范和既有的法律所约束。就国际安全的事项而言，欧盟鼓励那些有助于构建网络安全信任的措施，进而提高透明度、减少对国家行为的误解风险。 

欧盟并不号召创造新的用于解决网络问题的国际法律手段。

那些在国际公民和政治权利公约、欧洲人权公约以及欧盟基本人权宪章中明确的法律义务，也是网络空间中应当遵循的要求。欧盟将关注那些可以确保这些内容在网络空间得以实现的措施。 

针对网络犯罪的问题而言，布达佩斯公约是一个可以由第三国家公开采取的措施。其为制定国家打击网络犯罪的立法提供了模范法，并为国际在这个方面的合作奠定了基础。 

如果武装冲突扩张到网络空间，国际人权法可以应用于这些棘手的案件,适宜时，适用人权法即可。

在第三国提升网络安全的能力建设和有弹性的信息基础设施

日益增进的国际合作对于那些用于提供和便利通讯服务的底层基础设施的顺畅运行而言是有意的。这包括交流最好的操作规范，信息共享，早期预警和共同开展危机管理等。为实现上述的目标，欧盟将强化其针对国际方面的持续性努力，即巩固关涉政府和私人部门的关键信息基础设施保护的合作网络。 

互联网的数字红利并没有让世界上的所有地区都受益，这是因为缺乏一个公开、安全、互通和可靠的接入服务。为此，欧盟将持续地支持那些致力于为其国民发展互联网接入和使用的国家努力，进而确保互联网的完整性、安全性和打击网络犯罪的有效性。 

3. 角色和责任

在相互关联的数字经济和社会中，网络事件并不会因为边界而自行制止。对于所有的行动者而言，包括网络和信息安全的主管部门、计算机应急响应小组和法律执行机构到行业部门，都应该在成员国和欧盟层面履行自己的职责，并通过共同的努力强化网络安全。 由于会涉及到不同的法律框架和司法体系，对于欧盟而言，明确诸多相关人员的角色和责任是其面临的一个主要挑战。 

考虑到问题的复杂性和关涉人员的多元性，集中的欧洲监测并不是可行的方式。国家政府最适宜开展预防和应对网络事件及袭击的工作，包括在它们业已确认的政策流和法律框架中构建和私人部门以及大众的联系和网络。与此同时，由于潜在的或者实际发生的跨境风险，有效的国家响应系统也常要求欧盟层面的参与。为了以更为全面的方式保障网络安全，相关的活动应当覆盖三个关键的支柱性内容，它们是网络和信息安全，法律执行和防护，而这些领域的执行也涉及到不同的法律框架。 

3.1 网络和信息安全主管部门/计算机应急响应小组、法律执行和防护之间的协调

成员国层面

成员国应当业已开展抑或为执行本战略而架构应对网络弹性、网络犯罪和防护的事宜。为此，他们应该到达处理上述网络事件的能力水平。然而，鉴于许多的实体机构承担着网络安全关涉的诸多不同领域内的职责，以及私人部门参与的重要性，成员国层面应当优化不同部委之间的协调性。成员国应在其国家网络安全战略中确立不同国家机构的角色和职责。 

国家机构之间的信息共享以及和私人部门之间的功能共享应当加以促进，并鼓励成员国和私人部门保持对不同风险的评估，进而更好地了解用于网络攻击的新趋势和新技术，以便更为迅速地应对它们。国家层面可建立网络和信息安全的合作方案，并在应对网络事件时加以适用。对于这一目标，成员国应当可以明确相关的职能和职责，并优化响应措施。 

欧盟层面

一如国家层面，欧盟层面也有许多关涉网络安全的参与者。尤其是，欧洲网络与信息安全局、欧洲刑警组织/欧洲网络犯罪中心 (EC3)和欧洲防务局(EDA)是三个分别关涉网络和信息安全、法律执法和防护的组织。这些机构的管理委员会都有成员国的代表，且经常提供欧盟协调的平台。

应鼓励上述的机构在涉及它们的多个领域内开展协调和合作，尤其是针对趋势分析，风险评估，培训和最佳实践的经验分享。它们应彼此合作并保持自身的特色。这些机构与欧盟层面的计算机应急响应小组、欧盟委员会和成员国一起支持该领域内的一个可信赖的技术和政策专家的团体发展。 

更多结构化的连接也可以完善针对协调和合作的非正式渠道。欧盟军事人员和欧洲防务局的网络防护项目小组可以作为防护合作领域中的媒介。欧洲刑警组织/欧洲网络犯罪中心的项目委员会可以召集其他成员的参与，包括欧洲检察官组织、欧洲警察学校、成员国、欧洲网络与信息安全局和欧盟委员会，并提供它们可以互相自有技术的机会，进而确保欧洲网络犯罪中心的行动可以以合作的方式开展，并意识到外来专业技术支持和尊重各成员国权责的重要性。欧洲网络与信息安全局的新职能是使其可以提高和欧洲刑警组织的合作并强化和行业利益相关者的关联。最为重要的是，欧盟委员会针对网络和信息系统的立法提案可以通过国家网络和信息系统的主管部门而构建一个合作框架，并强化网络和信息系统以及法律执行机构之间的信息共享。 

国际

欧盟委员会和高级代表与成员国一起确保促进网络安全领域内的国际行动的可协调性。为此，欧盟委员会和高级代表会支持欧盟核心价值的宣传并促进一个和平、开放和透明的网络技术的使用。欧盟委员会、高级代表和成员国也会致力于与国际伙伴以及诸如欧洲理事会，经济合作与发展组织、欧洲安全与合作组织、北大西洋公约组织和联合国等国际组织的政策对话。

3.2  针对主要网络事件或攻击的欧盟支持

主要的网络事件或攻击可能对欧盟政府、企业和个人产生影响。作为这个战略的成果，尤其是针对网络和信息系统的指令提案，应对网络事件的预防、发现和响应机制都应到提高水平，成员国和欧盟委员会也要加强彼此之间有关主要网络事件或攻击的信息告知。 然而，响应机制应当给予事件的性质、规模和跨境影响加以区别。 

如果事件对企业的持续性经营有严重的影响，针对网络和信息系统的指令建议国家或者联盟的网络和信息安全合作方法可以实施，并根据事件的跨境性质。网络和信息安全主管部门的工作网络也应当在上述的情形下加以启动，进而保障信息的共享和支持工作。 

如果事件可能和犯罪相关，应当将这一信息告知欧洲刑警组织/欧洲网络犯罪中心，这样他们可以联合被影响国家所在的法律执行机构一起开展调查，保留证据，确认犯罪者并最终确保对他们提起诉讼。 

如果事件可能和网络间谍或国家赞助的袭击相关，抑或影响到国家安全，国家安全和防护机构可就相关的部门进行预警，进而让它们知道它们遭受了攻击并采取保护措施。早期预警机制也将随之被触发，如果有必要，可以启动危机管理或其他程序。一个尤为严重的网络事件或攻击应当是成员国适用欧盟团结条款（欧盟运作条约地222条）的依据。 

如果事件可能涉及到被泄密的个人数据，国家数据保护机构或者国家规制机构应根据第2002/58/EC号指令采取行动。

最后，联络网络和国际伙伴的支持也有助于应对网络事件和攻击。这包括技术缓解、犯罪调查或启动危机管理响应机制。 

4. 总结和后续工作

这一提案的欧盟网络安全战略是由欧盟委员会和欧盟外交与安全政策高级代表提出的，其规定了欧盟的愿景和被要求采取的行动，并应以有力保护和促进公民权利为基础，进而使得欧盟的网络环境可以在全世界范围内保持最高的安全水平。

这一愿景可以通过在诸多参与者之间构建真正的伙伴关系加以实现，对此，应当承担自己的责任并迎接未来的挑战。 

因此，欧盟委员会和高级代表邀请理事会和欧盟议会通过这一战略并帮助开展其所规划的行动。此外，私人部门和公民社会的支持和承诺也是必要的，因为他们是提高我们安全水平和保护公民权利的关键参与者。 

眼下就应当采取行动。欧盟委员会和高级代表应当与所有的参与者一并行哦的那个，确保欧洲所需要的安全水平。为了保障这一战略可以尽快落实并可结合可能的发展加以评估，他们将在12个月后通过高层会议召集所有相关的成员来评估执行的进展。