二、欧盟网络安全具体法律秩序的初步建构

与欧盟上述网络安全战略相关及相配合，欧盟层面制定了一系列具体法律规范，以增强对网络安全领域的精细化监管和保障。

（一）欧盟《关键信息基础设施——面向全球网络安全的决议》（Critical Information Infrastructure Protection：towards Global Cyber-security）（2013）

1. 决议背景

这部决议是建立在以下几项决议基础上的：2010年的《一项新的欧洲数字法案：2015》；2010年的《网络治理：下一个步骤》；2011年的《欧洲宽带投资：数字驱动增长》《工业、研究和能源报告》《公民自由、正义和家庭事务意见》。当时的欧盟需要出台决议，以有效执行涉及互联网的数据隐私和知识产权等方面的立法；在网络技术和安全方面开展强有力的国际合作；促进公共和私人的基础设施获得较强的抗打击能力。

2. 决议内容

第一，在国家和欧盟层面加强关键基础设施保护。决议提出要支持成员国积极履行欧洲关键基础设施保护项目，建立关键基础设施预警信息系统。具体要求评估关键基础信息基础设施保护计划的实施情况，敦促成员国建立国家计算机紧急应急小组，组织规律性的网络事件训练，促进形成欧洲网络安全事件应对机制。

第二，对网络安全采取进一步措施。决议提出要敦促欧洲网络与信息安全局（ENISA）实施每年一次的欧盟网络安全宣传月。呼吁各成员国设立国家网络安全偶发事件应急计划。启动全欧洲及各成员国强化信息安全训练和教育项目，支持提升网络安全方面的教育。

第三，加强国际合作。该决议呼吁欧洲委员会和欧洲外事司与所有相关国家开始一项建设性的对话，并在主要的关键信息基础设施成员国中积极沟通。建议在欧盟和美国立法之间建立沟通，寻找与相关国际论坛的合作。

3. 基本评价

这部决议是欧洲网络安全战略在基础设施方面的进一步细化，体现出了欧盟较强的前瞻性。基本贯穿了战略中对国际协作、技术发展等的重视。尤其是这部决议细化了对于网络安全训练的考量，强调机制性建设等均值得我国借鉴。

（二）欧盟《网络与信息安全指令》（Proposal for a Directive of the European Parliament and of the Council）（2014）

1. 制定背景

欧盟的战略并非是一个简单的满足商业交往的信息安全保护法令，更是在新的信息技术高度发展语境下对传统的基础性权利保护的重申。而指令的出台就是欧盟这项战略的主要举措。而一段时间以来的立法仅仅强调了电讯方面采取风险控制措施，大量基础设施和服务提供者尤其脆弱。欧盟强调必须通过渐进式的行动来推进这一问题的解决。指令的形成历史如表1所示。

2. 主要内容

第一，设置专门职能部门负责网络安全事务。每个成员国应该设置一个职能部门专门处理网络与信息安全相关的事务，负责监督该项法规在国家层面的实施情况。此外，该机构应当在必要时保持与相关执法部门等的联系，并且应及时向欧洲委员会通告其任务和任何重大改变。

第二，确立协作机制。该机制主要由专门机构和欧洲委员会组成。专门部门主要负责：及时传递危机或事件预警信息并作出响应；在网站公布正在进行的非涉密网络事件或危机事项；与欧洲网络犯罪中心、欧洲刑警组织及其他相关的欧洲实体机构就数据保护、能源等领域问题进行合作与信息共享，等等。

第三，建立早期预警制度。当出现了以下三种情形之一时，专门部门和委员会就要作出预警：①网络安全事件发展迅速或可能快速发展；②网络安全事件超出或有可能超出国家反应能力；③网络安全事件影响或可能影响到多于一个成员国。当涉及犯罪时，应通知欧洲网络犯罪中心和欧洲刑警组织。

第四，规定制裁措施。各成员国可以指定相关的制裁或惩罚措施，来惩治违反这些条款的行为，制裁措施必须有效、适当、有遏制力。各成员国应当向委员会告知这些条款，并及时告知修改情况。

3. 制度创新性评价

第一，确立由专门部门负责网络安全相关事务。此举能够有效提高应对危机的能力，我国对此已有所借鉴，国家互联网应急中心就是一个专门部门，不过指令也强调要多部门协调配合，只有这样才能更好维护网络安全。

第二，确立内容丰富的协作机制。协作内容包括技术协作、信息共享、维护训练等八大方面，有利于建设良性的网络安全事件预防机制。

第三，确立以惩罚为后果模式的完整规范。缺少后果模式的法律规范难以真正发挥作用。指令专门规定了违反网络安全相关规范时需要承担法律制裁，并且强调了制裁应当与行为相协调，能够起到遏制作用。此举值得我国借鉴，在立法时应当有与其相适应的制裁型条款。