2026年1月20日，歐盟委員會(huì)正式發(fā)布《歐盟網(wǎng)絡(luò)安全法2.0》（CSA 2.0）修訂草案，該草案是歐盟強(qiáng)化網(wǎng)絡(luò)安全防御能力、提升戰(zhàn)略自主性的關(guān)鍵舉措，旨在從技術(shù)合規(guī)治理轉(zhuǎn)向涵蓋地緣政治考量的供應(yīng)鏈風(fēng)險(xiǎn)管理，如在能源、交通、ICT服務(wù)管理等關(guān)鍵行業(yè)排除所謂“高風(fēng)險(xiǎn)供應(yīng)商”，以系統(tǒng)應(yīng)對地緣政治、供應(yīng)鏈依賴等新興網(wǎng)絡(luò)風(fēng)險(xiǎn)。CSA 2.0屬于歐盟層面的條例（regulation），一旦歐盟官方公報(bào)發(fā)布并過了生效期，即在27個(gè)歐盟成員國自動(dòng)生效并實(shí)施，無需成員國再轉(zhuǎn)化為國內(nèi)法。該法案具有明顯政治色彩，意在以安全為由排除中國企業(yè)，將對中國企業(yè)市場準(zhǔn)入、供應(yīng)鏈與合規(guī)成本形成多重壓力，甚至導(dǎo)致中歐在部分ICT領(lǐng)域供應(yīng)鏈全面脫鉤風(fēng)險(xiǎn)，負(fù)面影響巨大。

一、通過可信ICT供應(yīng)鏈安全框架，排除高風(fēng)險(xiǎn)供應(yīng)商

CSA 2.0是對2019年《網(wǎng)絡(luò)安全法》和2022年《網(wǎng)絡(luò)和信息系統(tǒng)指令2》（NIS 2）的進(jìn)一步升級，反映了歐盟網(wǎng)絡(luò)安全策略的持續(xù)深化。其核心變化點(diǎn)包括構(gòu)建可信ICT供應(yīng)鏈安全框架、優(yōu)化歐盟網(wǎng)絡(luò)安全認(rèn)證框架體系（ECCF）、強(qiáng)化歐盟網(wǎng)絡(luò)安全局（ENISA）核心職能和角色等，其中可信ICT供應(yīng)鏈安全框架，旨在歐盟法律層面系統(tǒng)性地解決由非技術(shù)性因素引發(fā)的供應(yīng)鏈風(fēng)險(xiǎn)，強(qiáng)制要求成員國在能源、交通、ICT服務(wù)管理等關(guān)鍵行業(yè)排除所謂“高風(fēng)險(xiǎn)供應(yīng)商”，尤為值得重點(diǎn)關(guān)注。

可信ICT供應(yīng)鏈安全框架將歐盟2020年出臺(tái)的《5G網(wǎng)絡(luò)安全工具箱》中的建議性措施升級為強(qiáng)制性要求。適用范圍從5G等特定領(lǐng)域擴(kuò)展至移動(dòng)網(wǎng)絡(luò)（5G/6G）、固定網(wǎng)絡(luò)、電力、自動(dòng)駕駛、云服務(wù)、半導(dǎo)體、醫(yī)療設(shè)備等18類關(guān)鍵資產(chǎn)。CSA 2.0草案首次在立法層面提出“高風(fēng)險(xiǎn)國家”（HRC）概念，并建立“高風(fēng)險(xiǎn)供應(yīng)商”（HRV）名單。核心特點(diǎn)是從技術(shù)安全審查轉(zhuǎn)向地緣政治和制度環(huán)境的評估。

高風(fēng)險(xiǎn)國家（HRC）認(rèn)定標(biāo)準(zhǔn)（Art.100）：歐盟委員會(huì)可基于以下三項(xiàng)標(biāo)準(zhǔn)將第三國認(rèn)定為“構(gòu)成網(wǎng)絡(luò)安全擔(dān)憂的國家”：(a) 該國法律是否要求企業(yè)向政府報(bào)告漏洞；(b) 該國政府是否支持或發(fā)起網(wǎng)絡(luò)威脅活動(dòng)；(c) 是否缺乏獨(dú)立司法救濟(jì)和民主控制機(jī)制。 一旦中國被認(rèn)定為HRC，所有中國供應(yīng)商將自動(dòng)推定為HRV，無需逐一舉證，這被稱為“一鍵脫鉤”工具。

高風(fēng)險(xiǎn)供應(yīng)商（HRV）認(rèn)定標(biāo)準(zhǔn)（Art.104）：歐委會(huì)可基于所有權(quán)結(jié)構(gòu)、外國政府控制力、情報(bào)法義務(wù)、歷史安全記錄等因素，將特定企業(yè)列入HRV清單。歐盟2020年出臺(tái)的《5G網(wǎng)絡(luò)安全工具箱》已實(shí)質(zhì)性認(rèn)定華為、中興為HRV，CSA 2.0大概率將這一認(rèn)定法律化。一旦被認(rèn)定為HRV，企業(yè)將面臨六項(xiàng)硬性禁令（Art.100, 111）：

· 存量拆除：移動(dòng)網(wǎng)絡(luò)關(guān)鍵資產(chǎn)必須在36個(gè)月內(nèi)完成物理拆除（Art.110），固定網(wǎng)絡(luò)和衛(wèi)星網(wǎng)絡(luò)時(shí)間表由后續(xù)執(zhí)行法案確定。

· 新建禁入：禁止在關(guān)鍵ICT資產(chǎn)（附錄II清單）中使用HRV組件。

· 資金切斷：禁止參與任何歐盟資助項(xiàng)目，包括“地平線歐洲”（955億歐元）等研發(fā)計(jì)劃。

· 采購關(guān)門：禁止參與公共采購及18個(gè)NIS 2關(guān)鍵行業(yè)的敏感采購。

· 標(biāo)準(zhǔn)除名：禁止參與CEN/CENELEC/ETSI標(biāo)準(zhǔn)制定，已獲ECCF認(rèn)證證書立即撤銷。

· 人才封鎖：禁止成為歐洲網(wǎng)絡(luò)安全技能認(rèn)證（ECSF）的授權(quán)提供者。

二、指向性明顯，中國企業(yè)將遭受巨大損失

CSA 2.0草案的出臺(tái)，標(biāo)志著歐盟對華科技政策發(fā)生了質(zhì)變：它不再是一部單純的技術(shù)認(rèn)證法規(guī)，而是轉(zhuǎn)變?yōu)椤爸鳈?quán)博弈”工具，成為對華脫鉤的法律工具箱，覆蓋18個(gè)關(guān)鍵行業(yè)，為未來全面脫鉤做好法律準(zhǔn)備。

通過ICT供應(yīng)鏈安全框架，歐盟委員會(huì)試圖將原本屬于成員國的“國家安全定義權(quán)”收歸布魯塞爾。其戰(zhàn)略邏輯呈現(xiàn)“雙重性”：一是戰(zhàn)術(shù)上“精準(zhǔn)脫鉤”，當(dāng)前階段在維持消費(fèi)電子、綠色能源等低敏感領(lǐng)域合作的同時(shí)，通過法律強(qiáng)制力在5G、云、量子等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域?qū)嵤巴饪剖中g(shù)式”剔除；二是戰(zhàn)略上“全面儲(chǔ)備”，通過“高風(fēng)險(xiǎn)國家”(HRC)認(rèn)定機(jī)制，歐盟實(shí)際上完成了對華“全面脫鉤”的法律工具儲(chǔ)備。HRC/HRV機(jī)制指向性明顯，認(rèn)定標(biāo)準(zhǔn)近乎為中國“量身定制”。這是一把懸在中國ICT產(chǎn)業(yè)頭上的“達(dá)摩克利斯之劍”——一旦地緣形勢變化，歐盟可隨時(shí)利用此法律接口，將封鎖范圍從關(guān)鍵基礎(chǔ)設(shè)施瞬間擴(kuò)展至全行業(yè)，對中國科技企業(yè)造成巨大的負(fù)面影響：

· 中國企業(yè)將遭受重大損失：CSA2.0草案已明確移動(dòng)、固網(wǎng)、衛(wèi)星網(wǎng)絡(luò)的關(guān)鍵組件要全面排除HRV，規(guī)定移動(dòng)網(wǎng)絡(luò)排除HRV的時(shí)間線為HRV公布之日36個(gè)月內(nèi)，固定網(wǎng)絡(luò)、衛(wèi)星網(wǎng)絡(luò)的排除時(shí)間將通過執(zhí)行條例進(jìn)一步明確。歐盟委員會(huì)執(zhí)行副主席亨娜·維爾庫寧（Henna Virkkunen）曾多次表示電信行業(yè)HRV已由2023年6月歐委會(huì)文件確認(rèn)，指向中國企業(yè)。一旦CSA 2.0草案通過，HRC/HRV機(jī)制全面啟用，中國企業(yè)將首當(dāng)其沖，而且影響遠(yuǎn)超電信領(lǐng)域，將系統(tǒng)性沖擊新能源、醫(yī)療、云服務(wù)、安防監(jiān)控、無人機(jī)、智能網(wǎng)聯(lián)車等18個(gè)關(guān)鍵行業(yè)市場，將使整個(gè)中國ICT產(chǎn)業(yè)在歐洲面臨市場準(zhǔn)入危機(jī)。

· 供應(yīng)鏈重構(gòu)與成本攀升：歐洲企業(yè)為滿足監(jiān)管合規(guī)要求，會(huì)加速“去中國化”，中國供應(yīng)商將被擠出核心供應(yīng)鏈，會(huì)擾亂全球ICT供應(yīng)鏈，增加不確定性。同時(shí)，中國企業(yè)需要為每一類ICT產(chǎn)品取得歐盟統(tǒng)一認(rèn)證，合規(guī)與運(yùn)營成本激增。例如網(wǎng)絡(luò)設(shè)備獲得substantial級別網(wǎng)絡(luò)安全認(rèn)證的費(fèi)用可達(dá)數(shù)十萬歐元，認(rèn)證周期為6-24個(gè)月，部分中小廠商可能會(huì)不堪重負(fù)，被迫退出。

· 技術(shù)標(biāo)準(zhǔn)與規(guī)則壁壘：認(rèn)證體系向歐盟標(biāo)準(zhǔn)對齊，中國企業(yè)在標(biāo)準(zhǔn)制定中被邊緣化，長期技術(shù)合作與市場拓展受限。CSA 2.0草案也限制高風(fēng)險(xiǎn)供應(yīng)商參與歐洲標(biāo)準(zhǔn)的制定，無法申請歐洲網(wǎng)絡(luò)安全證書，并撤銷已有歐洲網(wǎng)絡(luò)安全認(rèn)證證書。例如，按照新的認(rèn)證框架，華為公司所有產(chǎn)品/設(shè)備無法申請CSA框架內(nèi)的網(wǎng)絡(luò)安全認(rèn)證，已獲證書會(huì)被撤銷。

· 聲譽(yù)受損與示范效應(yīng)：歐盟在缺乏公開、可驗(yàn)證事實(shí)證據(jù)的情況下，將中國企業(yè)貼上“高風(fēng)險(xiǎn)”標(biāo)簽，直接損害其國際聲譽(yù)。此舉把經(jīng)貿(mào)議題安全化、政治化，可能引發(fā)連鎖反應(yīng)，例如其他國家若照搬歐盟模式出臺(tái)類似限制，將產(chǎn)生“示范效應(yīng)”，進(jìn)一步撕裂全球供應(yīng)鏈。印度、日韓、拉美部分國家已啟動(dòng)類似“可信供應(yīng)商”清單，中國廠商或被集體貼上“不可信”標(biāo)簽，影響全球銷售。

我們需要清醒的認(rèn)識(shí)到，CSA 2.0草案違背了公平競爭和非歧視的市場原則，是將經(jīng)貿(mào)科技問題政治化、泛安全化、對華脫鉤的工具。盡管其尚處于草案階段，還需要經(jīng)過完整的立法流程，爭取成員國的“有效多數(shù)”同意，但其負(fù)面影響已初見端倪，因?yàn)槲磥砬熬懊媾R極大不確定性，部分歐洲公司已經(jīng)開始啟動(dòng)風(fēng)控措施，減少中國ICT產(chǎn)品的采購，一旦獲得通過，影響將更為巨大。因此CSA 2.0草案應(yīng)當(dāng)引起我們的高度重視，需要我國政府、行業(yè)、企業(yè)迅速采取必要措施積極應(yīng)對，堅(jiān)定維護(hù)中國企業(yè)的合法權(quán)益。

歐盟《網(wǎng)絡(luò)安全法2.0》監(jiān)管覆蓋的18類核心資產(chǎn)

1. 移動(dòng)網(wǎng)絡(luò)（5G/6G）：無線接入網(wǎng)（RAN）、核心網(wǎng)、基站等關(guān)鍵組件

2. 固定網(wǎng)絡(luò)（光纖/海底電纜）：骨干網(wǎng)、接入網(wǎng)、傳輸設(shè)備、海底電纜系統(tǒng)

3. 電力供應(yīng)與儲(chǔ)能系統(tǒng)：智能電網(wǎng)、儲(chǔ)能電站、電力控制設(shè)備、新能源并網(wǎng)組件

4. 供水系統(tǒng)：供水調(diào)度 SCADA 系統(tǒng)、水質(zhì)監(jiān)測聯(lián)網(wǎng)設(shè)備

5. 聯(lián)網(wǎng)和自動(dòng)駕駛車輛：車聯(lián)網(wǎng)（V2X）、自動(dòng)駕駛域控制器、車載通信模塊

6. 無人機(jī)與反無人機(jī)系統(tǒng)：軍用 / 民用無人機(jī)、反制設(shè)備、數(shù)據(jù)傳輸鏈路

7. 鐵路信號(hào)系統(tǒng)：列車控制系統(tǒng)（CTCS）、調(diào)度通信設(shè)備

8. 工業(yè)控制系統(tǒng)：化工、制造等關(guān)鍵行業(yè)的 PLC、DCS、SCADA 系統(tǒng)

9. 衛(wèi)星通信系統(tǒng)：衛(wèi)星地面站、星上載荷、衛(wèi)星運(yùn)營服務(wù)

10. 云服務(wù)：政務(wù)云、醫(yī)療云、工業(yè)云等關(guān)鍵領(lǐng)域云服務(wù)

11. 半導(dǎo)體制造與設(shè)計(jì)：芯片設(shè)計(jì)工具、制造設(shè)備、先進(jìn)工藝芯片

12. 醫(yī)療設(shè)備：聯(lián)網(wǎng)醫(yī)療設(shè)備、遠(yuǎn)程診療系統(tǒng)、醫(yī)療云平臺(tái)

13. 監(jiān)控設(shè)備：視頻監(jiān)控?cái)z像頭、安防管理平臺(tái)、人臉識(shí)別系統(tǒng)

14. 航天服務(wù)：衛(wèi)星制造、發(fā)射服務(wù)、在軌運(yùn)營支持

15. 邊境安全系統(tǒng)：邊境監(jiān)控、人員核查、通關(guān)設(shè)備

16. AI模型：生成式 AI、關(guān)鍵領(lǐng)域?qū)Ｓ?AI（如醫(yī)療、工業(yè)）

17. 關(guān)鍵軟件組件：操作系統(tǒng)、數(shù)據(jù)庫、工業(yè)軟件、安全固件

18. 數(shù)據(jù)中心基礎(chǔ)設(shè)施：服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)交換機(jī)、冷卻系統(tǒng)

其中，1-9類為基礎(chǔ)設(shè)施領(lǐng)域，10-18類為核心科技領(lǐng)域。