2026年1月20日，歐盟委員會正式發(fā)布《歐盟網(wǎng)絡(luò)安全法2.0》（CSA 2.0）修訂草案，該草案是歐盟強化網(wǎng)絡(luò)安全防御能力、提升戰(zhàn)略自主性的關(guān)鍵舉措，旨在從技術(shù)合規(guī)治理轉(zhuǎn)向涵蓋地緣政治考量的供應(yīng)鏈風(fēng)險管理，如在能源、交通、ICT服務(wù)管理等關(guān)鍵行業(yè)排除所謂“高風(fēng)險供應(yīng)商”，以系統(tǒng)應(yīng)對地緣政治、供應(yīng)鏈依賴等新興網(wǎng)絡(luò)風(fēng)險。CSA 2.0屬于歐盟層面的條例（regulation），一旦歐盟官方公報發(fā)布并過了生效期，即在27個歐盟成員國自動生效并實施，無需成員國再轉(zhuǎn)化為國內(nèi)法。該法案具有明顯政治色彩，意在以安全為由排除中國企業(yè)，將對中國企業(yè)市場準入、供應(yīng)鏈與合規(guī)成本形成多重壓力，甚至導(dǎo)致中歐在部分ICT領(lǐng)域供應(yīng)鏈全面脫鉤風(fēng)險，負面影響巨大。

一、通過可信ICT供應(yīng)鏈安全框架，排除高風(fēng)險供應(yīng)商

CSA 2.0是對2019年《網(wǎng)絡(luò)安全法》和2022年《網(wǎng)絡(luò)和信息系統(tǒng)指令2》（NIS 2）的進一步升級，反映了歐盟網(wǎng)絡(luò)安全策略的持續(xù)深化。其核心變化點包括構(gòu)建可信ICT供應(yīng)鏈安全框架、優(yōu)化歐盟網(wǎng)絡(luò)安全認證框架體系（ECCF）、強化歐盟網(wǎng)絡(luò)安全局（ENISA）核心職能和角色等，其中可信ICT供應(yīng)鏈安全框架，旨在歐盟法律層面系統(tǒng)性地解決由非技術(shù)性因素引發(fā)的供應(yīng)鏈風(fēng)險，強制要求成員國在能源、交通、ICT服務(wù)管理等關(guān)鍵行業(yè)排除所謂“高風(fēng)險供應(yīng)商”，尤為值得重點關(guān)注。

可信ICT供應(yīng)鏈安全框架將歐盟2020年出臺的《5G網(wǎng)絡(luò)安全工具箱》中的建議性措施升級為強制性要求。適用范圍從5G等特定領(lǐng)域擴展至移動網(wǎng)絡(luò)（5G/6G）、固定網(wǎng)絡(luò)、電力、自動駕駛、云服務(wù)、半導(dǎo)體、醫(yī)療設(shè)備等18類關(guān)鍵資產(chǎn)。CSA 2.0草案首次在立法層面提出“高風(fēng)險國家”（HRC）概念，并建立“高風(fēng)險供應(yīng)商”（HRV）名單。核心特點是從技術(shù)安全審查轉(zhuǎn)向地緣政治和制度環(huán)境的評估。

高風(fēng)險國家（HRC）認定標準（Art.100）：歐盟委員會可基于以下三項標準將第三國認定為“構(gòu)成網(wǎng)絡(luò)安全擔(dān)憂的國家”：(a) 該國法律是否要求企業(yè)向政府報告漏洞；(b) 該國政府是否支持或發(fā)起網(wǎng)絡(luò)威脅活動；(c) 是否缺乏獨立司法救濟和民主控制機制。 一旦中國被認定為HRC，所有中國供應(yīng)商將自動推定為HRV，無需逐一舉證，這被稱為“一鍵脫鉤”工具。

高風(fēng)險供應(yīng)商（HRV）認定標準（Art.104）：歐委會可基于所有權(quán)結(jié)構(gòu)、外國政府控制力、情報法義務(wù)、歷史安全記錄等因素，將特定企業(yè)列入HRV清單。歐盟2020年出臺的《5G網(wǎng)絡(luò)安全工具箱》已實質(zhì)性認定華為、中興為HRV，CSA 2.0大概率將這一認定法律化。一旦被認定為HRV，企業(yè)將面臨六項硬性禁令（Art.100, 111）：

· 存量拆除：移動網(wǎng)絡(luò)關(guān)鍵資產(chǎn)必須在36個月內(nèi)完成物理拆除（Art.110），固定網(wǎng)絡(luò)和衛(wèi)星網(wǎng)絡(luò)時間表由后續(xù)執(zhí)行法案確定。

· 新建禁入：禁止在關(guān)鍵ICT資產(chǎn)（附錄II清單）中使用HRV組件。

· 資金切斷：禁止參與任何歐盟資助項目，包括“地平線歐洲”（955億歐元）等研發(fā)計劃。

· 采購關(guān)門：禁止參與公共采購及18個NIS 2關(guān)鍵行業(yè)的敏感采購。

· 標準除名：禁止參與CEN/CENELEC/ETSI標準制定，已獲ECCF認證證書立即撤銷。

· 人才封鎖：禁止成為歐洲網(wǎng)絡(luò)安全技能認證（ECSF）的授權(quán)提供者。

二、指向性明顯，中國企業(yè)將遭受巨大損失

CSA 2.0草案的出臺，標志著歐盟對華科技政策發(fā)生了質(zhì)變：它不再是一部單純的技術(shù)認證法規(guī)，而是轉(zhuǎn)變?yōu)椤爸鳈?quán)博弈”工具，成為對華脫鉤的法律工具箱，覆蓋18個關(guān)鍵行業(yè)，為未來全面脫鉤做好法律準備。

通過ICT供應(yīng)鏈安全框架，歐盟委員會試圖將原本屬于成員國的“國家安全定義權(quán)”收歸布魯塞爾。其戰(zhàn)略邏輯呈現(xiàn)“雙重性”：一是戰(zhàn)術(shù)上“精準脫鉤”，當前階段在維持消費電子、綠色能源等低敏感領(lǐng)域合作的同時，通過法律強制力在5G、云、量子等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域?qū)嵤巴饪剖中g(shù)式”剔除；二是戰(zhàn)略上“全面儲備”，通過“高風(fēng)險國家”(HRC)認定機制，歐盟實際上完成了對華“全面脫鉤”的法律工具儲備。HRC/HRV機制指向性明顯，認定標準近乎為中國“量身定制”。這是一把懸在中國ICT產(chǎn)業(yè)頭上的“達摩克利斯之劍”——一旦地緣形勢變化，歐盟可隨時利用此法律接口，將封鎖范圍從關(guān)鍵基礎(chǔ)設(shè)施瞬間擴展至全行業(yè)，對中國科技企業(yè)造成巨大的負面影響：

· 中國企業(yè)將遭受重大損失：CSA2.0草案已明確移動、固網(wǎng)、衛(wèi)星網(wǎng)絡(luò)的關(guān)鍵組件要全面排除HRV，規(guī)定移動網(wǎng)絡(luò)排除HRV的時間線為HRV公布之日36個月內(nèi)，固定網(wǎng)絡(luò)、衛(wèi)星網(wǎng)絡(luò)的排除時間將通過執(zhí)行條例進一步明確。歐盟委員會執(zhí)行副主席亨娜·維爾庫寧（Henna Virkkunen）曾多次表示電信行業(yè)HRV已由2023年6月歐委會文件確認，指向中國企業(yè)。一旦CSA 2.0草案通過，HRC/HRV機制全面啟用，中國企業(yè)將首當其沖，而且影響遠超電信領(lǐng)域，將系統(tǒng)性沖擊新能源、醫(yī)療、云服務(wù)、安防監(jiān)控、無人機、智能網(wǎng)聯(lián)車等18個關(guān)鍵行業(yè)市場，將使整個中國ICT產(chǎn)業(yè)在歐洲面臨市場準入危機。

· 供應(yīng)鏈重構(gòu)與成本攀升：歐洲企業(yè)為滿足監(jiān)管合規(guī)要求，會加速“去中國化”，中國供應(yīng)商將被擠出核心供應(yīng)鏈，會擾亂全球ICT供應(yīng)鏈，增加不確定性。同時，中國企業(yè)需要為每一類ICT產(chǎn)品取得歐盟統(tǒng)一認證，合規(guī)與運營成本激增。例如網(wǎng)絡(luò)設(shè)備獲得substantial級別網(wǎng)絡(luò)安全認證的費用可達數(shù)十萬歐元，認證周期為6-24個月，部分中小廠商可能會不堪重負，被迫退出。

· 技術(shù)標準與規(guī)則壁壘：認證體系向歐盟標準對齊，中國企業(yè)在標準制定中被邊緣化，長期技術(shù)合作與市場拓展受限。CSA 2.0草案也限制高風(fēng)險供應(yīng)商參與歐洲標準的制定，無法申請歐洲網(wǎng)絡(luò)安全證書，并撤銷已有歐洲網(wǎng)絡(luò)安全認證證書。例如，按照新的認證框架，華為公司所有產(chǎn)品/設(shè)備無法申請CSA框架內(nèi)的網(wǎng)絡(luò)安全認證，已獲證書會被撤銷。

· 聲譽受損與示范效應(yīng)：歐盟在缺乏公開、可驗證事實證據(jù)的情況下，將中國企業(yè)貼上“高風(fēng)險”標簽，直接損害其國際聲譽。此舉把經(jīng)貿(mào)議題安全化、政治化，可能引發(fā)連鎖反應(yīng)，例如其他國家若照搬歐盟模式出臺類似限制，將產(chǎn)生“示范效應(yīng)”，進一步撕裂全球供應(yīng)鏈。印度、日韓、拉美部分國家已啟動類似“可信供應(yīng)商”清單，中國廠商或被集體貼上“不可信”標簽，影響全球銷售。

我們需要清醒的認識到，CSA 2.0草案違背了公平競爭和非歧視的市場原則，是將經(jīng)貿(mào)科技問題政治化、泛安全化、對華脫鉤的工具。盡管其尚處于草案階段，還需要經(jīng)過完整的立法流程，爭取成員國的“有效多數(shù)”同意，但其負面影響已初見端倪，因為未來前景面臨極大不確定性，部分歐洲公司已經(jīng)開始啟動風(fēng)控措施，減少中國ICT產(chǎn)品的采購，一旦獲得通過，影響將更為巨大。因此CSA 2.0草案應(yīng)當引起我們的高度重視，需要我國政府、行業(yè)、企業(yè)迅速采取必要措施積極應(yīng)對，堅定維護中國企業(yè)的合法權(quán)益。

歐盟《網(wǎng)絡(luò)安全法2.0》監(jiān)管覆蓋的18類核心資產(chǎn)

1. 移動網(wǎng)絡(luò)（5G/6G）：無線接入網(wǎng)（RAN）、核心網(wǎng)、基站等關(guān)鍵組件

2. 固定網(wǎng)絡(luò)（光纖/海底電纜）：骨干網(wǎng)、接入網(wǎng)、傳輸設(shè)備、海底電纜系統(tǒng)

3. 電力供應(yīng)與儲能系統(tǒng)：智能電網(wǎng)、儲能電站、電力控制設(shè)備、新能源并網(wǎng)組件

4. 供水系統(tǒng)：供水調(diào)度 SCADA 系統(tǒng)、水質(zhì)監(jiān)測聯(lián)網(wǎng)設(shè)備

5. 聯(lián)網(wǎng)和自動駕駛車輛：車聯(lián)網(wǎng)（V2X）、自動駕駛域控制器、車載通信模塊

6. 無人機與反無人機系統(tǒng)：軍用 / 民用無人機、反制設(shè)備、數(shù)據(jù)傳輸鏈路

7. 鐵路信號系統(tǒng)：列車控制系統(tǒng)（CTCS）、調(diào)度通信設(shè)備

8. 工業(yè)控制系統(tǒng)：化工、制造等關(guān)鍵行業(yè)的 PLC、DCS、SCADA 系統(tǒng)

9. 衛(wèi)星通信系統(tǒng)：衛(wèi)星地面站、星上載荷、衛(wèi)星運營服務(wù)

10. 云服務(wù)：政務(wù)云、醫(yī)療云、工業(yè)云等關(guān)鍵領(lǐng)域云服務(wù)

11. 半導(dǎo)體制造與設(shè)計：芯片設(shè)計工具、制造設(shè)備、先進工藝芯片

12. 醫(yī)療設(shè)備：聯(lián)網(wǎng)醫(yī)療設(shè)備、遠程診療系統(tǒng)、醫(yī)療云平臺

13. 監(jiān)控設(shè)備：視頻監(jiān)控攝像頭、安防管理平臺、人臉識別系統(tǒng)

14. 航天服務(wù)：衛(wèi)星制造、發(fā)射服務(wù)、在軌運營支持

15. 邊境安全系統(tǒng)：邊境監(jiān)控、人員核查、通關(guān)設(shè)備

16. AI模型：生成式 AI、關(guān)鍵領(lǐng)域?qū)Ｓ?AI（如醫(yī)療、工業(yè)）

17. 關(guān)鍵軟件組件：操作系統(tǒng)、數(shù)據(jù)庫、工業(yè)軟件、安全固件

18. 數(shù)據(jù)中心基礎(chǔ)設(shè)施：服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)交換機、冷卻系統(tǒng)

其中，1-9類為基礎(chǔ)設(shè)施領(lǐng)域，10-18類為核心科技領(lǐng)域。