中国企业出海合规洞察系列 | 欧洲网络安全立法新趋势——以高风险供应商认定和影响为中心
在数字时代,网络安全已成为全球博弈的新前沿。2026年前后,欧盟及其成员国波兰相继推出旨在强化信息通信技术(以下简称“ICT”)供应链安全的立法,其核心均指向建立针对“高风险供应商”(以下简称“HRV”)的识别与限制机制。HRV认定如同一把悬于企业之上的达摩克利斯之剑,一旦落下,可能直接引发市场准入禁令与强制淘汰,对全球ICT产业格局产生深远影响。
背景
欧盟及波兰的网络安全立法呈现出明显的管控趋严态势。HRV的概念并非源于近期的立法举措,其雏形最早可追溯至欧盟于2020年1月发布的《5G网络安全工具箱》1。该文件首次确立了欧盟层面应对ICT供应链非技术风险的统一方略,其建议各成员国对供应商的风险状况进行评估时,不应仅依据技术标准,还需综合考量战略层面的因素,包括供应商的所有权结构、受第三国影响的程度,以及其注册地所在国的法律与制度环境。尽管其未在全欧盟范围内实施具有约束力的禁令,但其明确鼓励成员国采取针对性的限制措施,包括将经评估存在高风险的供应商排除在外或予以限制,尤其是在5G网络的关键敏感环节。这一基于风险且兼具地缘政治考量的路径,为欧盟及各国后续举措奠定了坚实的概念与政策基石。
2026年1月20日,欧盟委员会发布《网络安全法案》修正草案(以下简称“欧盟CSA修正草案”)2,试图在欧盟层面确立针对HRV的强制性去风险化机制。
值得注意的是,在欧盟CSA修正草案发布之前,波兰《国家网络安全系统法修正案》(以下简称“波兰KSC修正案”)3的草案即引入了HRV条款。波兰KSC修正案虽名义上宣称为落实欧盟《网络和信息系统指令》第二版(以下简称“NIS 2指令”)4的举措,但波兰立法者并未局限于对NIS 2指令所设定的最低限度协调要求进行忠实转化。相反,波兰KSC修正案引入了一系列超越NIS 2指令框架的规定,尤其在ICT供应链安全与供应商风险评估领域。具体而言,NIS 2指令虽要求成员国督促相关实体考量供应链风险及供应商安全,但刻意不在欧盟层面设立基于地缘政治或所有权因素指定或排除特定供应商的机制。与之形成鲜明对比的是,波兰KSC修正案将上述考量直接嵌入国内法,并授权主管机关针对特定ICT供应商采取影响深远的、基于风险的限制性措施。波兰KSC修正案已于2026年2月19日由波兰总统签署5,并于2026年4月3日生效6。但波兰KSC修正案中的HRV条款仍待波兰宪法法庭的最终审核7,如被认定违宪,将不被适用。
无论如何,HRV条款作为欧盟CSA修正草案和波兰KSC修正案最具实质影响力的核心条款,备受关注。一旦被认定为HRV,企业将面临公共采购禁令、欧盟资助项目排除、网络安全认证限制等多重市场准入障碍。
从政策动因来看,欧盟委员会在欧盟CSA修正草案的解释性备忘录中明确指出
对设立于存在网络安全风险的第三国的实体,或受该第三国、该第三国设立的实体,或该第三国国民控制的实体的依赖,已对整个欧盟范围内的相关主体产生影响 8。
这一表述似乎已将供应链安全与地缘政治风险直接挂钩。而欧盟CSA修正草案的影响评估报告更是直接指出
欧洲议会曾呼吁欧盟委员会制定具有约束力的ICT供应链安全立法,该立法应涵盖非技术风险,并禁止使用来自(欧盟认为的)高风险国家(特别是中国和俄罗斯)供应商生产的设备与软件 9。
综合以上背景,下文将对欧盟CSA修正草案和波兰KSC修正案中的HRV相关条款进行系统对比分析,并针对在欧中资企业的不同角色(即ICT供应商与使用方)提出差异化的应对建议。
欧盟和波兰HRV条款的对比
从法律层级关系来看,欧盟CSA修正草案一旦正式通过,将作为欧盟条例直接适用于所有成员国,具有优先于成员国国内法的效力;而波兰KSC修正案作为实施NIS 2指令的国内立法,其部分内容若与欧盟条例存在冲突,可能面临被优先适用的欧盟条例所取代或限制解释的风险。然而,深入对比二者绝非理论空谈,而是具有紧迫的现实合规意义。尽管欧盟立法最终将统一规则,但波兰立法进程显著领先,其KSC修正案已生效,将率先对波兰企业产生直接法律约束。波兰作为中东欧重要市场,其单边措施实质上构成了一次监管压力测试,其执法实践与效果很可能反过来影响欧盟最终规则的细节(如过渡期、执行力度等)。因此,对于任何在波兰拥有业务或供应链布局的企业而言,理解波兰KSC修正案的要求是当前合规工作的重中之重。
在立法逻辑上,欧盟CSA修正草案旨在构建一个基于风险评估、多边协调与程序正义的联盟层面统一监管框架;而波兰KSC修正案则体现了一种以国家安全为绝对优先、通过高效国内行政程序快速建立单边管控工具的先行先试模式。这种立法差异正是当前欧盟数字主权领域规则碎片化的典型体现,为企业带来了严峻的双重合规挑战。
以下,我们将从认定方式、认定流程、认定因素、法律后果及豁免机制这五个核心维度,对两者进行系统对比分析。
一 认定方式
在认定方式上,欧盟CSA修正草案与波兰KSC修正案的核心路径存在显著差异。
欧盟CSA修正草案采用了双重路径:一是基于国家的间接指定,即先认定“构成网络安全关切的第三国”,进而覆盖在该国设立或受其控制的实体;二是对特定实体的直接指定。
波兰KSC修正案则采用了单一的、结果导向的路径,其认定标准直接聚焦于供应商是否对国家安全的核心利益构成威胁,且认定效力自动覆盖其所属资本集团。
二 认定流程
欧盟的认定流程兼具系统性与灵活性,以欧盟委员会为主导,并强调成员国协调,且注重程序正当和供应商参与权。
波兰的流程则高度集中和高效,由国内部长主导,行政色彩浓厚。
三 认定因素
两份立法都超越了单纯的技术漏洞,纳入了法律、地缘政治等宏观风险,但评估的维度不同。
欧盟CSA修正草案采用分层评估框架,既评估目标第三国的整体法律与政治环境,也评估特定实体带来的具体风险。
波兰KSC修正案的评估则高度聚焦于供应商对波兰国家安全的直接、具体威胁。
四 法律后果
两份立法均对认定的HRV施加严厉限制,并聚焦能源、交通等关键行业。HRV相关产品淘汰期限上,波兰KSC修正案更进一步地为存量设备设定了明确、统一的最后期限,冲击更直接。在处罚上,欧盟授权成员国自行制定细则;波兰则已在国内法中规定了具体、分层的罚款标准,并创新性地增设了对企业负责人的个人罚款,形成了对机构与个人的双重威慑。
五 豁免机制
欧盟CSA修正草案设计了相对完整的豁免与救济机制,为受影响实体提供了合规调整和申诉的渠道。
波兰KSC修正案则未设立任何行政豁免程序,认定后的法律后果自动触发,司法救济途径亦有限,体现了其法规的绝对性和强制性。
这种差异侧面凸显了欧盟立法试图在安全与商业现实间寻求平衡,而波兰立法则更倾向于将安全视为不容妥协的绝对优先事项。
对欧盟中资企业的影响和应对
HRV机制作为前述立法的核心监管工具,其生效后将直接影响在欧企业的市场准入与运营连续性。鉴于在欧中资企业在ICT供应链中扮演角色的多样性(主要包括ICT供应商与使用方),其所面临的具体风险与合规挑战也呈现出显著差异。
下文将分别针对这两类主体,进行具体的影响评估并提供应对建议。
ICT供应商的影响及应对
由于HRV机制的核心在于从源头管控供应链风险,其规制对象首先且主要指向ICT供应商。因此,在欧中资ICT供应商成为评估该法案影响的首要焦点。
一 影响评估
对于在欧盟及波兰提供ICT产品或服务的中资企业而言,HRV机制可能带来以下主要影响:
01 市场准入受限
一旦被认定为HRV,企业将被排除在涉及关键ICT资产的公共采购程序之外,无法参与欧盟资助项目,也无法获得欧洲网络安全证书,已获得的欧盟网络安全证书也会被立刻收回。这一限制可能导致企业错失欧盟市场上相当比例的B2G(企业对政府)和B2B(企业对企业)业务机会。
02 存量业务面临淘汰压力
对于已在欧盟市场部署的设备和服务,一旦被认定为HRV,现有客户可能被要求在一定年限内完成淘汰替换。如果涉及移动通信网的关键ICT资产,则根据欧盟CSA修正草案第110条,过渡时间被限制在36个月以内或更短。
03 合规成本显著增加
为降低被认定为HRV的风险,或争取欧盟CSA修正草案下的豁免资格,企业可能需要满足极高的透明度要求(如向主管当局提供供应链详细信息)、接受第三方审计、实施数据本地化措施、调整运营控制结构等,这些措施可能导致运营模式的重大调整和持续合规成本的增加。
二 应对建议
针对上述影响,建议受影响的中资ICT供应商从以下方面着手应对:
01 预防性合规建设
在欧盟CSA修正草案正式通过前,提前参照要求建立供应链安全管理体系,包括完善漏洞管理流程、建立安全事件响应机制、获取国际认可的网络安全认证。根据波兰KSC修正案第67b条,“在欧盟成员国或北大西洋公约组织成员国颁发或认可的信息通信技术产品、服务或流程的认证证书,特别是在欧洲网络安全认证计划框架下颁发的证书”是HRV认定时的考量因素之一,因此获取权威认证可能有助于降低被波兰认定为HRV的风险。
02 商业安排可行性的多维度评估
为应对潜在的HRV监管压力,部分中资ICT供应商可能正在评估或考虑采取特定的商业实践,例如在欧盟与当地企业建立合资公司,或通过白盒交付、技术授权转让等方式与欧盟实体合作。我们建议,企业在评估此类方案的可行性时,应全面、审慎地考量其可能触发的多维度合规要求,避免因应对单一监管风险而引入新的合规隐患。
例如,在欧盟当地设立合资企业,不仅要关注欧盟在HRV认定中可能对企业所有权与控制结构进行的穿透式审查,也需同步遵守中国法律下对境外投资的全链条监管与信息报告义务。
而通过白盒交付或技术授权转让等方式开展合作,则需在内部评估商业秘密保护策略的同时,严格审视该等安排是否满足中国的技术出口管制、重要数据出境安全评估等相关法规的强制性要求。建议企业对境内外合规义务进行通盘审视,以确保商业安排的长远稳定性,并尽可能降低潜在的法律与运营风险。
03 立法意见反馈
通过行业协会、商会等渠道,在欧盟CSA修正草案的意见征求阶段及成员国国内立法程序中表达关切,推动建立更为透明、非歧视性的供应商评估标准。
同时,欧盟认定“构成网络安全关切的第三国”涉及国家层面的要素(如发动或纵容网络攻击、收集并隐藏网络漏洞信息、缺乏司法救济和民主监督程序等),而这些内容超出企业合规范畴,需要企业与中国政府部门协同行动,一方面由中国政府通过外交等途径就上述不合理的规定进行交涉,另一方面企业可为中国政府提供行业信息支持,共同驳斥不当关联,以共同应对潜在风险。
04 豁免申请与法律救济
一旦欧盟CSA修正草案正式通过,符合豁免申请条件的企业应及时准备申请材料,包括证明将采取有效措施解决非技术风险的明确证据、确保无不当干涉的合规方案等。
此外,根据欧盟CSA修正草案,企业在被限制、豁免被否决前,有权进行意见陈述。企业应在程序启动阶段即积极参与,充分行使权利,必要时准备提起行政诉讼。
另外,针对波兰KSC修正案独立生效的情况,还可考虑就其与欧盟法的兼容性提出质疑。
ICT使用方的影响及应对
随着欧盟CSA修正草案与波兰KSC修正案的推进,ICT使用方面临不断强化的监管压力。一旦所依赖的ICT服务商被认定为HRV,18个行业的使用方将面临供应链中断、业务合规性风险及运营成本上升等多重挑战。
一 影响评估
01 供应链中断风险
若企业当前使用的ICT产品或服务供应商被认定为HRV,在欧企业将面临在一定期限内强制更换供应商的要求。在部分关键行业中,ICT及相关数字基础设施已形成高度集中化的供应格局。若触发更换供应商要求,替换周期内可能出现项目建设延期、生产线停工等风险。
02 分行业差异化影响
不同行业受HRV机制影响的程度存在显著差异。具有代表性的行业包括:
电信网络行业
电信网络行业是HRV机制最直接的目标领域。对于电信网络行业企业而言,替换核心网络设备需大规模系统切换,网络稳定性与安全认证也需重新评估,最终将导致供应链投入成本大幅提高。
光伏与新能源行业
根据欧盟委员会2025年12月发布的《强化欧盟经济安全》11,太阳能逆变器被明确列为“高风险依赖”领域。根据美国清洁能源咨询公司的数据12,2024年前四个月,欧洲就从中国进口约33GW的太阳能光伏组件,这一数字占到了中国组件出口总量的高达43%。若中国光伏逆变器供应商被认定为HRV,ICT使用方需要寻找欧盟内外部替代源,成本高、周期长,显著增加项目实施成本和风险。
汽车行业
根据欧盟发布2024年欧盟汽车行业贸易数据显示13,中国以127亿欧元进口额成为欧盟汽车进口最大来源国。汽车制造业高度依赖电子控制单元、车载通信模块、自动驾驶传感器等ICT组件。若相关中国供应商被认定为HRV,在欧盟设有生产基地的中国整车厂须重新进行车型调试与兼容性验证、生产线软件重构等,可能导致生产中断或延后交付。
金融服务行业
金融服务行业是欧盟网络安全监管的关键领域,尤其在跨境支付、云端数据存储等环节对高度依赖ICT产品及服务。在欧盟运营的中资银行、保险公司、金融科技公司若使用被认定为HRV的ICT产品或服务,不仅可能面临高额罚款或业务限制,还可能因强制更换供应商导致核心系统中断、数据迁移成本激增。
二 应对建议
针对上述影响,建议受影响的中资ICT使用方从以下方面着手应对:
01 合同条款的合规审查
审查与ICT供应商的合同条款,确保包含适当的合规承诺和风险分担机制。
其一,建议纳入合规持续保证条款,要求供应商持续履行欧盟相关要求,承诺及时通报任何可能影响其HRV认定的事件。
其二,考虑纳入不可抗力或监管变更条款,为因HRV认定导致的供应链调整预留法律和财务空间。若因任何一方无法合理控制的重大外部事件(包括但不限于政府法规变更、HRV认定标准更新、国际贸易政策调整等),导致需对现有供应链进行重大重组或产生额外合规成本,双方应启动协商机制,公平调整交付周期、成本分担及合规责任。
02 供应链风险评估与多元化
系统性评估ICT供应链风险并推动供应商多元化,以降低对HRV的依赖、增强业务连续性。
其一,开展全面的供应链风险评估。不应仅停留在供应商名单梳理层面,而应建立动态评估机制,重点分析关键供应商被认定为HRV的潜在可能性以及该认定对自身业务连续性可能造成的具体影响(如产品交付、运维支持、系统升级等)。
其二,制定并执行供应商多元化战略。基于风险评估结果,为识别出的高风险环节,提前规划和引入合格的替代供应商。此过程应避免“为替代而替代”,需综合考虑技术兼容性、成本、服务能力及新供应商的长期合规韧性,逐步建立多元、有弹性的供应商组合,降低对单一来源的过度依赖。
其三,系统化留存合规决策证据。在实施任何供应商变更或调整的过程中,建立完整的文档记录链,包括但不限于:风险评估报告、替代方案选型分析、切换实施计划等。这些文档是未来应对监管机构审查、证明企业已履行审慎管理义务的关键证据。
03 加强行业协调与信息共享
行业协会、商会作为连接企业与政府、市场的重要桥梁,在欧洲商事交往中发挥着信息枢纽、政策倡导与资源整合的关键作用,对在欧中资企业融入本地市场、防范合规风险具有重要意义。
建议中资企业通过行业协会、商会等组织化平台建立信息共享机制,以实现对欧盟及各成员国HRV认定标准、清单更新及执法动向的全流程动态追踪。对于可能受到HRV机制影响的行业,可考虑联合委托专业机构进行政策影响评估,联合商会等行业平台向欧盟及成员国监管机构反映行业关切。依靠组织化平台形成行业共识性风险研判与联合应对策略,提高应对策略的实现效果和影响力。
结语
目前,波兰KSC修正案业已生效,但欧盟CSA修正草案尚未正式生效,其具体条款的解释尺度、执行标准、过渡期安排及配套细则仍有待最终确定。无论如何,欧盟及波兰在网络安全领域的立法动向已清晰表明,一种以政治关系和制度差异为潜在依据的新型监管壁垒正在形成。HRV机制将政治因素纳入核心评估范畴,实质上正演变为一种带有保护主义色彩的市场准入工具。这一趋势对在欧中资企业的合规与应变能力构成了严峻挑战。无论是ICT供应商面临的市场准入限制与既有业务退出压力,还是ICT使用方可能承受的供应链中断与运营成本攀升,都深刻表明企业必须超越被动响应,转而向战略性、前瞻性的全局部署升级。
基于安永全球服务网络,安永中国14可协同安永波兰律师事务所15,持续追踪欧盟及波兰立法动态,为面临HRV机制挑战的在欧中资企业提供前瞻性、定制化的专业服务,涵盖从战略规划到落地执行的全流程。
• 针对ICT供应商,我们可协助开展预防性合规差距分析与能力建设,包括评估并完善网络安全治理体系、漏洞管理及事件响应流程,以符合潜在的认证要求;模拟HRV评估场景,协助准备抗辩或豁免申请材料,并在程序启动时提供策略支持。
• 针对ICT使用方,我们可协助开展供应链风险映射与评估,识别对HRV的依赖环节;制定并推动供应商多元化战略,协助遴选与导入替代供应商,并对切换过程进行项目管理与合规性验证;审查及修订现有供应商合同模板,嵌入合规承诺、风险分担及监管变更应对条款。
整体而言,我们可协助企业将合规要求转化为可操作的行动计划,以有效管理市场准入风险,增强供应链韧性,保障在欧洲业务的持续与稳定发展。
注:
[1] https://digital-strategy.ec.europa.eu/en/library/eu-toolbox-5g-security
[2] https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act
[3] https://eli.gov.pl/eli/DU/2026/252/ogl/pol
[4] https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
[5] https://t.prezydent.pl/aktualnosci/wydarzenia/prezydent-rp-podpisal-dwie-ustawy-dwie-zawetowal,115305
[6] https://eli.gov.pl/eli/DU/2026/252/ogl/pol
[7] 同注5
[8] 同注2
[9] 同注2
[10] “18个行业”指代:能源、交通、银行、金融市场基础设施、健康、饮用水、废水、数字基础设施、ICT服务管理(B2B)、公共管理、太空、邮政与快递服务、废物管理、化学品制造生产与分销、食品生产处理与分销、制造业、数字服务供应商、科研机构。
[11] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52025JC0977
[12] https://info.cea3.com/hubfs/STP%20Reports/CEA%20Q2%202024%20PV%20STPR%20Report%20Sample.pdf
[13] https://ec.europa.eu/eurostat/web/products-eurostat-news/w/ddn-20250401-1#
[14] 安永(中国)企业咨询有限公司
[15] Ernst & Young Law Zakrzewska i Wspólnicy sp.k.
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
如欲转载本文,务必原文转载,不得修改,且标注转载来源为:安永中国海外投资业务部官方微信公众号。如需修改内容,需要获得安永的书面确认。
京公网安备 11011502006498号