資通安全管理法》修正草案:強化關鍵基礎設施韌性
2025.07.31
瀏覽數
636
壹、前言
立法院交通委員會於今(2025)年5月22日初步審議通過了《資通安全管理法》修正草案。此次修法重點聚焦於強化國家資通安全防護體系,特別是涉及關鍵基礎設施與涉密業務的資安管理。[1]
依據修法內容,「數位發展部」為《資通安全管理法》的主管機關,並由其指定之資安專責機關負責相關業務的執行。修法亦授權公務機關對資安專職人員進行適任性查核,並明定未通過查核者不得辦理涉及國家機密、軍事機密及國防秘密的資安業務。
此外,針對特定非公務機關(包括關鍵基礎設施、公營事業及政府捐助財團法人),修法增訂限制或禁止其下載、安裝或使用危害國家資通安全產品的條款。倘若對於這些特定非公務機關若發生資安事件卻未依規定通報,罰鍰上限將從現行的最高新台幣500萬元大幅提高至1,000萬元,此舉旨在強力嚇阻資安隱匿不報的行為,迫使相關單位嚴肅面對資安責任。儘管部分條文(如公務機關禁用危害資安產品及數位部對特定非公務機關重大資安事件的調查權範圍)仍待朝野協商,但本次初審已確立了我國強化資安治理的明確方向。
貳、安全意涵
一、強化關鍵基礎設施之資安韌性
將特定非公務機關未通報資安事件的罰鍰上限提高至新台幣1,000萬元,乃是國家層級對關鍵基礎設施資安的戰略性宣示。以往無論公務或非公務機關在發生資安事件時,傾向於低調處理甚至隱匿不報,以避免聲譽受損或承擔責任。然而,這種隱匿行為對國家安全可能帶來不小的風險甚至危險。
關鍵基礎設施,包括電力、通訊、交通、金融、能源領域等,為國家運作的核心命脈,因此在實體與資安防護上更需謹慎周全。因此,若關鍵基礎設施提供者未能及時通報與處置資安事件,可能被敵對勢力利用,甚至演變為大規模的癱瘓攻擊,直接威脅社會穩定與國本。此次加重罰則,目的在於對這些關鍵基礎設施服提供與營運者施加壓力,在事件發生時必須能及時與透明地通報,以便主管機關能迅速介入、協調資源,有效遏止資安危機擴散,確保國家關鍵功能的持續運作。
二、資安人員適任性查核以加強國家機密保護
情報與機密資訊是兵家必爭之地。資安人員身處第一線,掌握著系統存取權限與機密資料,其忠誠度、專業素養與抗壓能力直接關係到國家機密的安危。「適任性查核」不僅是對專業能力的審核,更隱含了對政治忠誠度與安全背景的深層考量。這項措施有助於降低內部威脅(insider threat)的風險,防止敵對勢力透過滲透、收買或脅迫等方式,利用關鍵資安人員來竊取或破壞國家機密。對於軍事單位而言,這項查核機制更是維護軍事行動機密性、武器系統研發資料安全以及作戰計畫完整性不可或缺的一環。
三、限制可能危害國家資安產品
「特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止」該項條文目的在於風險控管,以預防性手段加強資安。特別是在日益複雜的國家安全背景下,某些國家透過其科技企業開發的產品,可能藉由植入後門、蒐集敏感數據或具備潛在的攻擊能力,成為國家級網路攻擊的工具。此條文賦予主管機關限制或禁止此類產品的權力,旨在阻斷潛在的滲透途徑,降低資安供應鏈風險。
從國防戰略來看,這項限制亦具有關鍵意義。軍事指揮中心、國防研發機構、甚至軍工產業鏈若使用帶有潛在惡意功能的產品,可能導致關鍵資訊洩漏、系統遭遠端控制或被植入邏輯炸彈(logic bomb),進而嚴重影響作戰效能與國防安全。雖然該條文允許「業務需求且無替代方案,得以專案使用並列冊管理」,但這也意味著對這類產品的使用將採取極為謹慎且嚴格監管的態度,凸顯我國對技術獨立性與自主性的重視。
參、趨勢研判
一、強化關鍵基礎設施防衛韌性日漸重要
當前全球地緣政治局勢緊張、複合式威脅日益升高,「全社會防衛韌性」已成為我國國家安全戰略中的核心概念。 這項戰略思維超越了傳統的軍事防衛範疇,強調在面對來自網路攻擊、認知作戰、甚至實體破壞等多元挑戰時,整個社會從政府到民間,包括各行各業、基礎建設乃至於公民個體,都必須具備承受衝擊、快速恢復並持續運作的能力。
在建構全社會防衛韌性的過程中,關鍵基礎設施的重要性被提升到前所未有的高度,其猶如國家的神經中樞與動脈,一旦遭受攻擊或癱瘓,將立即引發嚴重的連鎖效應,不僅會破壞社會秩序、影響民生,更可能削弱國家的整體防禦能力。
因此,此次《資通安全管理法》修正草案,特別著重於強化關鍵基礎設施的資安韌性,正是為了彌補過去在法規與管理上的潛在漏洞,確保這些核心資產能夠抵禦日益複雜的網路威脅。透過加重對資安事件隱匿不報的罰則、提升資安人員的適任性要求,以及限制使用具潛在風險的產品,都是為了築牢國家在數位領域的防線,進而支撐並強化全社會的防衛韌性。這項修法不僅是技術層面的資安部署,更是國家戰略層面確保安全與穩定的關鍵一步。
二、宜借鑑歐盟NIS 2以落實權力行使的明確性與合理性
資安防護與韌性固然是國家優先事項,然而,若相關規範缺乏清晰界線,恐引發對行政裁量權過大的疑慮,甚至可能對產業創新與社會運作造成不必要的限制。
歐盟《網路與資訊安全指令》(Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, 下稱 NIS 1指令)[3] 的發展歷程及其核心原則,提供了一個極具參考價值的國際範例。歐盟透過這項指令,旨在建立一套統一的資安框架,以提升整個聯盟的資安韌性。
NIS 1指令於 2016年7月6日通過,並於 2018年5月9日全面生效。作為歐盟首部針對資安的跨領域立法,NIS 1指令的主要目標是確保關鍵服務與數位服務供應商的高資安水準。然而,NIS 1指令 在實施後暴露出適用範圍不夠廣泛、各成員國執行標準不一、通報門檻不明確等限制,使得歐盟整體資安防護仍存在漏洞。
為彌補 NIS 1指令的不足並應對日益嚴峻的網路威脅,歐盟於 2022年12月14日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive,下稱NIS2 指令),[4]於2023年1月16日生效,各成員國須在 2024年10月17日前將其內容轉化為國內法規。NIS 2指令補充了NIS1在監管範圍、成員國協調以及資安風險管理措施等面向,大幅強化了歐盟資安治理框架。
NIS 2指令的核心變革包括大幅擴大適用範圍,將更多領域的實體納入管轄,如製造業、食品生產、廢棄物管理等,顯著增加了受規範的企業數量;同時,它強化了資安管理要求,對所有受規範實體提出了更為嚴格和詳細的風險管理措施,例如供應鏈安全、加密技術應用、入侵偵測等,旨在提升資安防護的全面性。此外,NIS 2也嚴格了通報義務與懲罰,明確了更具體的資安事件通報時限,並大幅提高未遵守規定的罰款上限,以強力嚇阻隱匿行為。最重要的是,NIS 2賦予各國主管機關更大的監督與執法權力,同時強調透過風險管理措施提升資安程度,促使被管制實體主動識別和評估資安風險,將資安責任內化為營運常態,而非僅為法規所迫。
三、現行資安法規仍存在發展之潛在疑慮
《資通安全管理法》此次修法方向在概念上與NIS 2指令有部分相似之處,特別是在擴大管制範圍、強化通報義務與加重罰則等方面。這反映了臺灣在建構全社會防衛韌性的國家戰略下,對資安防護體系的迫切需求。然而,在參考國際經驗的同時,我國政府仍需審慎應對修法可能引發的各界疑慮。例如,對於「危害國家資通安全產品」的認定標準,若缺乏明確、公開且可被檢驗的準則,恐引發對行政裁量權過大的擔憂,甚至可能對產業創新與社會運作造成不必要的限制,損及市場公平競爭與產業發展。
[1] 〈立法院第11屆第3會期第19次會議議案關係文書〉,《立法院》,2025年7月4日,https://ppg.ly.gov.tw/ppg/download/agenda1/02/pdf/11/03/19/LCEWA01_110319_00116.pdf。
[2] 〈總統府全社會防衛韌性委員會第1 次委員會議紀錄〉,《總統府》,2024 年 9 月 26 日,https://www.president.gov.tw/File/Doc/3d11cbf2-37db-4d62-a7d9-dabbe26042ef。
[3] “Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 Concerning Measures for Aa High Common Level of Security of Network and Information Systems across the Union,” European Union, https://eur-lex.europa.eu/eli/dir/2016/1148/oj/eng.
[4] “Directive (EU) 2022/2555 on Measures for Aa High Common Level of Cybersecurity across the Union, Amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and Repealing Directive (EU) 2016/1148 (NIS 2 Directive),” European Union, https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng .