2026-W08 有哪些重要的基礎設施韌性動態？

2026-W08 週報追蹤 13 項關鍵基礎設施韌性動態，重點包括歐盟能源社群反詐欺合作決議、EuroHPC 擴展至 AI Gigafactories、EDIP 歐洲防衛工業計畫、飲用水指令勘誤，以及 NIST NCCoE IoT 安全接入最終指引。

OT 安全團隊需要注意哪些新要求？

NIST SP 1334 可攜式儲存媒體 OT 安全指引（draft）建議 ICS 管理員建立 USB 裝置管理標準。NCCoE IoT 安全接入最終出版物要求在 IoT 設備連網前建立信任機制。Transit Cybersecurity Framework Community Profile 徵求公眾意見中。

歐盟 EuroHPC 修正案有何影響？

Council Regulation (EU) 2026/150 將 EuroHPC Joint Undertaking 擴展至 AI Gigafactories 與量子運算，新增建立與營運大規模 AI 基礎設施、授予 EuroHPC AI and Compute Infrastructure Seal 等職責，強化歐盟 AI 技術主權。

Critical Infrastructure Resilience — 2026-W08

本週重點：歐盟通過多項能源社群決議強化反詐欺合作與環境法規整合、EuroHPC 擴展至 AI Gigafactories、EDIP 建立歐洲防衛工業框架、飲用水指令技術勘誤；美國 NIST 發布 IoT 安全接入最終指引，Transit Cybersecurity Framework 與 OT 可攜式儲存媒體指引持續徵詢中。

本期追蹤 13 項關鍵基礎設施韌性動態，涵蓋 NIST 框架、NIST 洞察、歐盟法規。

免責聲明

本報告由 AI 系統自動產出，基於公開資料源萃取與結構化分析。內容僅供參考，不構成法律或合規建議。所有資訊應以原始發布機構的正式文件為準。標註「推測」之內容為系統推論，尚未經人工驗證。

本週重點

歐盟能源社群通過反詐欺合作決議，要求契約方與 OLAF、EPPO 合作，同時通過環境法規整合修正案；EuroHPC 擴展至 AI Gigafactories 強化歐盟 AI 基礎設施；NIST 發布 IoT 安全接入最終指引。

Council Decision (EU) 2026/69 — 能源社群反詐欺合作（2026-01-16, Council Decision, mandatory） 歐盟理事會通過能源社群部長級理事會立場決議，建立契約方（阿爾巴尼亞、波士尼亞、喬治亞、科索沃、摩爾多瓦、蒙特內哥羅、北馬其頓、塞爾維亞、烏克蘭）與 OLAF、EPPO 的反詐欺合作機制，核定違規裁定並實施 2026-2027 預算框架。
Council Regulation (EU) 2026/150 — EuroHPC 擴展至 AI Gigafactories（2026-01-23, amendment, mandatory） 修正 EuroHPC Joint Undertaking 規章，將範圍從高效能運算擴展至 AI Gigafactories（大規模 AI 基礎設施）與量子運算技術。新增職責包括建立與營運 AI 超級工廠、授予「EuroHPC AI and Compute Infrastructure Seal」、管理會員國 RRF 貢獻與存取時間分配。
Council Decision (EU) 2026/70 — 能源社群環境法規整合（2026-01-09, new, mandatory） 授權執委會提出能源社群條約修正案，將歐盟環境保護法規（鳥類指令 2009/147/EC、棲地指令 92/43/EEC、水框架指令 2000/60/EC）整合至能源社群成員國，對網絡能源活動施加場址保育義務與水質管理要求。
NIST NCCoE IoT Secure Onboarding — 最終出版物（2025-11-25, final, recommended） 發布三份 IoT 安全接入最終出版物，要求在 IoT 設備連接網路前建立信任機制並提供唯一網路憑證，透過可擴展自動化的信任網路層接入方式管理設備完整生命週期。
Regulation (EU) 2025/2643 — 歐洲防衛工業計畫 EDIP（2025-12-29, regulation, mandatory） 建立全新歐洲防衛工業計畫框架，為 2025-2027 年防衛產業提供財務支持，包含共同採購行動、工業強化行動及烏克蘭支持工具。受資助實體須滿足歐盟設立要求、控制權限制（不得受非關聯第三國控制）及外部元件成本上限（35%）。

「The position to be taken on behalf of the Union shall support enhanced cooperation with OLAF and EPPO, approve breach determinations against contracting parties, and implement the 2026-2027 budget framework with binding contribution schedules.」 Council Decision (EU) 2026/69

區域動態比較

美國（NIST）

NCCoE 發布 IoT 安全接入最終出版物，Transit Cybersecurity Framework 與 OT 可攜式儲存媒體指引持續徵詢中。

最終發布：

NCCoE IoT Secure Onboarding Publications（SP 1800-36, 2025-11-25, final）：三份出版物定義 IoT 設備安全接入的信任建立機制與憑證管理流程，適用於 IoT 製造商、網路管理員與部署團隊

草案徵詢中：

NIST CSWP 51 — Transit Cybersecurity Framework Community Profile（2025-08-20, draft）：公共運輸業者網路安全態勢強化指南，平衡 IT/OT 系統風險與營運需求
NIST SP 1334 — OT 環境可攜式儲存媒體指引（2025-07-15, draft）：針對工業控制系統的 USB 裝置與外部媒體管理責任標準

持續追蹤：

NIST IR 8259 修訂版：擴大 IoT 製造商 pre-market 與 post-market 活動範圍，新增 Activity 0（威脅建模與初始風險評估）

歐盟

能源社群決議與 EuroHPC 擴展為本週焦點，EDIP 防衛工業計畫建立新的供應鏈安全框架。

能源領域：

Council Decision (EU) 2026/69：能源社群反詐欺合作與 2026-2027 預算框架（mandatory）
Council Decision (EU) 2026/70：能源社群環境法規整合，五年內納入鳥類、棲地、水框架指令（mandatory）

運算基礎設施：

Council Regulation (EU) 2026/150：EuroHPC 擴展至 AI Gigafactories 與量子運算（mandatory）

防衛產業：

Regulation (EU) 2025/2643 (EDIP)：歐洲防衛工業計畫，含歐盟控制權限制與外部元件成本上限（mandatory）

水務：

Directive (EU) 2020/2184 Corrigendum（2026-01-29, amendment）：飲用水品質指令技術勘誤，修正 Article 8(5) 段落引用

能源效率：

Directive (EU) 2025/2647（2026-01-16）：修正能源效率指令 (EU) 2023/1791

基礎設施領域矩陣

領域	美國要求	歐盟要求	本週變動
能源	無新要求	能源社群反詐欺合作、環境法規整合、能源效率指令修正	Council Decision (EU) 2026/69, 2026/70; Directive (EU) 2025/2647
電信	無新要求	無新要求	無
金融	無新要求	無新要求（EDIP 側重防衛產業）	無
運輸	Transit Cybersecurity Framework（draft）	無新要求	NIST CSWP 51 持續徵詢
水務	無新要求	飲用水指令技術勘誤	Directive (EU) 2020/2184 Corrigendum

責任變動追蹤

來源	文件	affected_roles	shift_type	shift_summary
EU	Council Decision (EU) 2026/69	Energy Community contracting parties, OLAF, EPPO	new	建立反詐欺合作機制與 2026-2027 預算框架
EU	Council Regulation (EU) 2026/150	EuroHPC Joint Undertaking, AI infrastructure operators	expansion	EuroHPC 擴展至 AI Gigafactories 與量子運算
EU	Council Decision (EU) 2026/70	Energy Community parties, protected area authorities	new	能源社群整合歐盟環境保護法規
EU	Regulation (EU) 2025/2643 (EDIP)	Defence industry entities, EU procurement bodies	new	建立歐洲防衛工業計畫與供應鏈控制要求
EU	Directive (EU) 2020/2184 Corrigendum	Water suppliers, competent authorities	amendment	修正飲用水指令段落引用
NIST	NCCoE IoT Secure Onboarding	IoT manufacturers, network administrators	final	IoT 設備安全接入信任機制與憑證管理
NIST	Transit Cybersecurity Framework	Transit operators, IT/OT teams	draft	公共運輸業者網路安全態勢指南
NIST	SP 1334 OT Portable Storage	ICS administrators, OT engineers	draft	OT 環境 USB 裝置管理責任標準

義務與舉證要求

新增義務摘要

歐盟能源社群：

契約方須與 OLAF、EPPO 合作進行反詐欺調查
五年內整合鳥類指令、棲地指令、水框架指令至能源社群法規

EuroHPC / AI Gigafactories：

建立與營運 AI 超級工廠
授予符合資格的國家基礎設施「EuroHPC AI and Compute Infrastructure Seal」
管理會員國 RRF 貢獻與存取時間分配

EDIP 防衛工業計畫：

受資助實體須滿足歐盟設立要求
控制權限制：不得受非關聯第三國控制
外部元件成本上限：35%

IoT 安全接入（NIST）：

IoT 設備連網前須建立信任機制
提供唯一網路憑證
可擴展自動化的信任網路層接入

舉證要求摘要

領域	舉證項目
能源社群	反詐欺合作紀錄、預算貢獻證明
EuroHPC	AI 基礎設施認證文件、RRF 貢獻紀錄
EDIP	歐盟設立證明、控制權結構聲明、元件來源成本分析
IoT	設備信任建立紀錄、憑證管理日誌
飲用水	監測資訊取得紀錄（Article 8(5) 第 2、3 段）

L5 — Evolution Signals

歐盟正建立整合 AI、HPC、量子運算的技術主權生態系統，同時透過 EDIP 強化防衛產業供應鏈自主性。

[系統推論] 歐盟運算基礎設施整合加速：EuroHPC 從 HPC 擴展至 AI Gigafactories 與量子運算，顯示歐盟正建立整合性的戰略運算基礎設施，AI 基礎設施營運者將面臨更嚴格的治理要求與存取時間分配機制
[系統推論] 供應鏈主權要求擴散：EDIP 的「非關聯第三國控制禁止」與「外部元件成本上限 35%」模式可能擴散至其他關鍵基礎設施領域，組織應預先評估供應鏈元件來源結構
[系統推論] IoT 安全從建議走向標準化：NIST NCCoE IoT 安全接入最終出版物的發布，結合 IR 8259 修訂，顯示 IoT 設備安全接入將從最佳實踐逐步成為採購與部署的基準要求

統計

指標	數值
總變動數	13
來源分布	NIST Frameworks: 3, NIST Insights: 2, EU Regulations: 8
rule_type 分布	final: 1, draft: 3, new: 2, amendment: 2, regulation: 1, Council Decision: 1, 其他: 3
enforcement_signal 分布	mandatory: 7, recommended: 4, informational: 1, 未標註: 1
REVIEW_NEEDED	1 筆（EDIP 2025/2643 重複條目，已有完整版本涵蓋）

資料來源

Layer	Category	筆數	時間範圍
nist_frameworks	critical_infrastructure	3	2025-07-15 ~ 2025-11-25
nist_cybersecurity_insights	critical_infrastructure	2	2025-05-13 ~ 2025-09-30
eu_regulations	critical_infrastructure	8	2025-12-11 ~ 2026-01-29