文章总结： 欧盟委员会发布《第二版网络安全法》修订草案，要求成员国在电信、能源、云计算、航天、医疗等关键领域三年内强制剥离被认定为高风险的外国ICT供应商，实质将2020年自愿5G工具箱升级为强制制度，虽未点名中国及华为中兴，但沿用既有高风险认定，配合频谱分配新规，意在实现供应链去风险化与战略自主，同时面临运营商设备替换成本与合规碎片化挑战。 综合评分： 88 文章分类： 政策法规,网络安全,供应链安全,安全建设,解决方案

欧盟拟立法禁止外国高风险ICT供应商，实现关基行业“自主可控”

安全内参编译 安全内参编译

安全内参

2026年1月21日 18:09 北京

关注我们

带你读懂网络安全

修订提案要求欧盟国家在关键领域禁止外国高风险ICT供应商，将此前的5G工具箱行动转化为强制制度，试图排除我国通信企业。

前情回顾·欧盟数字安全领域动态

• 欧洲委员会发布《欧盟网络安全危机管理蓝图》提案
• 警惕！欧盟统一安全愿景或将破裂，安全合规面临碎片化风险
• 提升安全基线！欧盟推出首个数字产品网络安全认证计划
• 欧洲学者建议欧洲摆脱对美国的网络安全依赖

安全内参1月21日消息，欧盟委员会日前提出修订后的《网络安全法》，旨在引入一套法律框架，要求欧盟国家在关键领域切断与来自第三国、构成较高网络安全风险的信息通信技术（ICT）供应商的合作关系。

该提案被称为《第二版网络安全法》（CSA 2），其目标是通过对关键领域供应链实施去风险化，提升欧盟整体的网络安全韧性。这些关键领域包括电信、能源、云计算、航天和医疗卫生。

根据该计划，欧盟委员会将开展行业评估，并随后与欧盟国家协作，共同列出对欧盟安全构成风险的外国国家。这些风险可能源于以往的网络事件、恶意活动，或缺乏司法监督或民主制衡机制等因素。

随后，欧盟委员会将指定相关外国国家的特定供应商名称，欧盟国家必须采取措施缓解相关风险，包括可能逐步将特定实体排除在ICT供应链之外。

将此前的5G工具箱行动转化为强制制度，

试图排除我国通信企业

该提案以另一部网络安全法律《NIS2指令》为基础，该指令聚焦18个关键领域，包括电信、医疗卫生、能源和航天。

该计划还将欧盟委员会与欧盟国家此前在移动通信网络（4G/5G）领域已采取的行动加以制度化。这些行动在2020年促成了一项旨在降低风险的自愿性框架，即所谓的“5G工具箱”。

CSA 2将把这一工具箱正式纳入法律，并为各国设定3年的强制期限，以淘汰高风险供应商。

在现行的自愿性框架下，国内电信企业华为和中兴已被指定为高风险，多年来各成员国一直被要求将它们排除在5G网络之外。然而，各成员国采取的实际行动有限，这也促使欧盟科技事务专员汉娜·维尔库宁的团队如今推动建立一套强制性制度。

该法案草案并未正式点名中国为高风险国家，也未明确将华为中兴标注为高风险，但一名欧盟委员会官员向外媒Euractiv表示，自它们在5G工具箱框架下被指定以来，相关情况并未发生变化，这意味着它们极有可能在CSA 2的框架下再次被指定。

预计针对移动运营商的监管压力也将进一步加大，要求其通过移除由高风险供应商制造的设备，对自身网络进行去风险化。

Euractiv于1月14日获得的一份《数字网络法》泄露草案显示，在该电信改革框架下，6G频谱的分配将仅向完全遵守CSA 2网络安全禁令的运营商开放。

参考资料：euractiv.com

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《欧盟拟立法禁止外国高风险ICT供应商，实现关基行业“自主可控”》