等保资讯

2026年1月20日，欧盟委员会正式发布《欧盟网络安全法2.0》（CSA 2.0）修订草案，该草案是欧盟强化网络安全防御能力、提升战略自主性的关键举措，旨在从技术合规治理转向涵盖地缘政治考量的供应链风险管理，如在能源、交通、ICT服务管理等关键行业排除所谓“高风险供应商”，以系统应对地缘政治、供应链依赖等新兴网络风险。CSA 2.0属于欧盟层面的条例（regulation），一旦欧盟官方公报发布并过了生效期，即在27个欧盟成员国自动生效并实施，无需成员国再转化为国内法。该法案具有明显政治色彩，意在以安全为由排除中国企业，将对中国企业市场准入、供应链与合规成本形成多重压力，甚至导致中欧在部分ICT领域供应链全面脱钩风险，负面影响巨大。

一、通过可信ICT供应链安全框架，排除高风险供应商

CSA 2.0是对2019年《网络安全法》和2022年《网络和信息系统指令2》（NIS 2）的进一步升级，反映了欧盟网络安全策略的持续深化。其核心变化点包括构建可信ICT供应链安全框架、优化欧盟网络安全认证框架体系（ECCF）、强化欧盟网络安全局（ENISA）核心职能和角色等，其中可信ICT供应链安全框架，旨在欧盟法律层面系统性地解决由非技术性因素引发的供应链风险，强制要求成员国在能源、交通、ICT服务管理等关键行业排除所谓“高风险供应商”，尤为值得重点关注。

可信ICT供应链安全框架将欧盟2020年出台的《5G网络安全工具箱》中的建议性措施升级为强制性要求。适用范围从5G等特定领域扩展至移动网络（5G/6G）、固定网络、电力、自动驾驶、云服务、半导体、医疗设备等18类关键资产。CSA 2.0草案首次在立法层面提出“高风险国家”（HRC）概念，并建立“高风险供应商”（HRV）名单。核心特点是从技术安全审查转向地缘政治和制度环境的评估。

高风险国家（HRC）认定标准（Art.100）：欧盟委员会可基于以下三项标准将第三国认定为“构成网络安全担忧的国家”：(a) 该国法律是否要求企业向政府报告漏洞；(b) 该国政府是否支持或发起网络威胁活动；(c) 是否缺乏独立司法救济和民主控制机制。 一旦中国被认定为HRC，所有中国供应商将自动推定为HRV，无需逐一举证，这被称为“一键脱钩”工具。

高风险供应商（HRV）认定标准（Art.104）：欧委会可基于所有权结构、外国政府控制力、情报法义务、历史安全记录等因素，将特定企业列入HRV清单。欧盟2020年出台的《5G网络安全工具箱》已实质性认定华为、中兴为HRV，CSA 2.0大概率将这一认定法律化。一旦被认定为HRV，企业将面临六项硬性禁令（Art.100, 111）：

· 存量拆除：移动网络关键资产必须在36个月内完成物理拆除（Art.110），固定网络和卫星网络时间表由后续执行法案确定。

· 新建禁入：禁止在关键ICT资产（附录II清单）中使用HRV组件。

· 资金切断：禁止参与任何欧盟资助项目，包括“地平线欧洲”（955亿欧元）等研发计划。

· 采购关门：禁止参与公共采购及18个NIS 2关键行业的敏感采购。

· 标准除名：禁止参与CEN/CENELEC/ETSI标准制定，已获ECCF认证证书立即撤销。

· 人才封锁：禁止成为欧洲网络安全技能认证（ECSF）的授权提供者。

二、指向性明显，中国企业将遭受巨大损失

CSA 2.0草案的出台，标志着欧盟对华科技政策发生了质变：它不再是一部单纯的技术认证法规，而是转变为“主权博弈”工具，成为对华脱钩的法律工具箱，覆盖18个关键行业，为未来全面脱钩做好法律准备。

通过ICT供应链安全框架，欧盟委员会试图将原本属于成员国的“国家安全定义权”收归布鲁塞尔。其战略逻辑呈现“双重性”：一是战术上“精准脱钩”，当前阶段在维持消费电子、绿色能源等低敏感领域合作的同时，通过法律强制力在5G、云、量子等关键基础设施领域实施“外科手术式”剔除；二是战略上“全面储备”，通过“高风险国家”(HRC)认定机制，欧盟实际上完成了对华“全面脱钩”的法律工具储备。HRC/HRV机制指向性明显，认定标准近乎为中国“量身定制”。这是一把悬在中国ICT产业头上的“达摩克利斯之剑”——一旦地缘形势变化，欧盟可随时利用此法律接口，将封锁范围从关键基础设施瞬间扩展至全行业，对中国科技企业造成巨大的负面影响：

· 中国企业将遭受重大损失：CSA2.0草案已明确移动、固网、卫星网络的关键组件要全面排除HRV，规定移动网络排除HRV的时间线为HRV公布之日36个月内，固定网络、卫星网络的排除时间将通过执行条例进一步明确。欧盟委员会执行副主席亨娜·维尔库宁（Henna Virkkunen）曾多次表示电信行业HRV已由2023年6月欧委会文件确认，指向中国企业。一旦CSA 2.0草案通过，HRC/HRV机制全面启用，中国企业将首当其冲，而且影响远超电信领域，将系统性冲击新能源、医疗、云服务、安防监控、无人机、智能网联车等18个关键行业市场，将使整个中国ICT产业在欧洲面临市场准入危机。

· 供应链重构与成本攀升：欧洲企业为满足监管合规要求，会加速“去中国化”，中国供应商将被挤出核心供应链，会扰乱全球ICT供应链，增加不确定性。同时，中国企业需要为每一类ICT产品取得欧盟统一认证，合规与运营成本激增。例如网络设备获得substantial级别网络安全认证的费用可达数十万欧元，认证周期为6-24个月，部分中小厂商可能会不堪重负，被迫退出。

· 技术标准与规则壁垒：认证体系向欧盟标准对齐，中国企业在标准制定中被边缘化，长期技术合作与市场拓展受限。CSA 2.0草案也限制高风险供应商参与欧洲标准的制定，无法申请欧洲网络安全证书，并撤销已有欧洲网络安全认证证书。例如，按照新的认证框架，华为公司所有产品/设备无法申请CSA框架内的网络安全认证，已获证书会被撤销。

· 声誉受损与示范效应：欧盟在缺乏公开、可验证事实证据的情况下，将中国企业贴上“高风险”标签，直接损害其国际声誉。此举把经贸议题安全化、政治化，可能引发连锁反应，例如其他国家若照搬欧盟模式出台类似限制，将产生“示范效应”，进一步撕裂全球供应链。印度、日韩、拉美部分国家已启动类似“可信供应商”清单，中国厂商或被集体贴上“不可信”标签，影响全球销售。

我们需要清醒的认识到，CSA 2.0草案违背了公平竞争和非歧视的市场原则，是将经贸科技问题政治化、泛安全化、对华脱钩的工具。尽管其尚处于草案阶段，还需要经过完整的立法流程，争取成员国的“有效多数”同意，但其负面影响已初见端倪，因为未来前景面临极大不确定性，部分欧洲公司已经开始启动风控措施，减少中国ICT产品的采购，一旦获得通过，影响将更为巨大。因此CSA 2.0草案应当引起我们的高度重视，需要我国政府、行业、企业迅速采取必要措施积极应对，坚定维护中国企业的合法权益。

欧盟《网络安全法2.0》监管覆盖的18类核心资产

1. 移动网络（5G/6G）：无线接入网（RAN）、核心网、基站等关键组件

2. 固定网络（光纤/海底电缆）：骨干网、接入网、传输设备、海底电缆系统

3. 电力供应与储能系统：智能电网、储能电站、电力控制设备、新能源并网组件

4. 供水系统：供水调度 SCADA 系统、水质监测联网设备

5. 联网和自动驾驶车辆：车联网（V2X）、自动驾驶域控制器、车载通信模块

6. 无人机与反无人机系统：军用 / 民用无人机、反制设备、数据传输链路

7. 铁路信号系统：列车控制系统（CTCS）、调度通信设备

8. 工业控制系统：化工、制造等关键行业的 PLC、DCS、SCADA 系统

9. 卫星通信系统：卫星地面站、星上载荷、卫星运营服务

10. 云服务：政务云、医疗云、工业云等关键领域云服务

11. 半导体制造与设计：芯片设计工具、制造设备、先进工艺芯片

12. 医疗设备：联网医疗设备、远程诊疗系统、医疗云平台

13. 监控设备：视频监控摄像头、安防管理平台、人脸识别系统

14. 航天服务：卫星制造、发射服务、在轨运营支持

15. 边境安全系统：边境监控、人员核查、通关设备

16. AI模型：生成式 AI、关键领域专用 AI（如医疗、工业）

17. 关键软件组件：操作系统、数据库、工业软件、安全固件

18. 数据中心基础设施：服务器、存储设备、网络交换机、冷却系统

其中，1-9类为基础设施领域，10-18类为核心科技领域。