欧盟《网络安全与人工智能行动计划》:上市前评估延伸至前沿模型
2026年7月7日,欧盟委员会公布行动计划,为《人工智能法案》补上缺失的测试能力:先进模型进入欧盟市场前须经第三方评估,并由 ENISA 制定安全访问蓝图。
这是什么?
2026年7月7日,欧盟委员会公布了其《网络安全与人工智能行动计划》。该计划做了《人工智能法案》条文本身未能做到的事:着手构建欧盟真正测试先进人工智能系统所需的技术能力,而不再依赖厂商自行提供的材料。计划围绕三个目标展开:促进先进人工智能的安全负责任使用、强化欧盟的网络安全与韧性,以及扩大欧洲自身用于网络防御的人工智能能力。
同一天,ENISA 发布了配套报告《ENISA’s view on Cybersecurity in the Frontier AI Era》,面向各成员国主管机关与防御方,就应对”机器速度”威胁给出首批建议,并明确与委员会的计划保持一致。两者共同表明:欧盟将前沿模型评估视为一项需要建设的基础设施,而非一个可勾选的合规项。
计划的具体内容
对任何部署大模型的机构而言,最具影响的举措,是承诺依据《人工智能法案》强化欧洲在模型进入欧盟市场之前进行评估的能力。实践中,这指向一个独立的、由第三方承担的评估职能,用以支持欧盟人工智能办公室(AI Office)的执法职责——这打破了以自我评估作为默认入市路径的做法。据 Agence Europe 等媒体报道,这被视为委员会拟建立自有模型评估能力的提案,常被援引的运行目标时间为 2027 年;具体时间表与范围将由人工智能办公室后续的指引确定,而非由本计划确定。
在评估之外,委员会承诺与 ENISA 合作制定一份”欧洲蓝图”(European Blueprint),为出于网络安全目的安全访问先进人工智能系统设定条件,并搭建一个安全测试平台,让能源、交通、卫生、金融和公共管理等关键部门的机构能够安全地测试与部署人工智能。计划还依托现行法律(NIS2 指令与《网络韧性法案》),鼓励防御方使用人工智能(包括开源模型)以更快发现和修复漏洞,并启动一项面向网络安全的”欧盟大挑战”(EU Grand Challenge)。
为何重要
《人工智能法案》设定了义务;本计划则关乎在前沿层面核验这些义务的能力。若缺乏能够开展技术评估的独立机构,针对最强能力模型的规则将在很大程度上依赖厂商自行提供的证据。一个可信的上市前评估职能,改变了任何寻求进入欧盟市场的厂商的算盘:第三方评估将成为入市路径的一部分,而非可有可无的审计。
悬而未决的问题在于定义。何为”先进人工智能模型”,将决定哪些厂商须接受上市前评估、哪些可适用更宽松的合规安排。这一门槛——预计将在人工智能办公室后续指引中明确——对合规规划的影响,比计划的标题更为关键。关键部门测试平台与 ENISA 蓝图在操作层面同样重要:安全访问条件与评估方法将在 2026—2027 年间于此逐步成形。
现在该做什么
对有欧盟市场敞口的团队而言,该计划更多是规划信号,而非即时义务:
- 前沿模型与通用人工智能(GPAI)厂商: 着手准备第三方评估者会索取的证据——模型卡、网络风险评估、安全论证——并跟踪人工智能办公室如何界定触发上市前评估的”先进模型”门槛。
- 合规与治理团队: 关注人工智能办公室的指引,而不仅是计划本身,以确定哪些模型类别触发评估;这些指引将决定你们的时间表。请留意 2026 年 8 月 2 日——GPAI 处罚权与第 50 条透明度义务届时可执行。
- 关键部门运营方(能源、卫生、金融、交通、公共管理): 关注安全测试平台的资格与访问标准,该平台正是为你们设计的直接资源。
- 一般防御方: 将 ENISA 报告视为应对机器速度威胁的首份具体清单,并预期其将随委员会计划同步细化。
状态
| 项目 | 内容 |
|---|---|
| 性质 | 欧盟《网络安全与人工智能行动计划》(不具约束力,用以落实《人工智能法案》) |
| 发布 | 2026-07-07(欧盟委员会) |
| 配套报告 | ENISA《View on Cybersecurity in the Frontier AI Era》(2026-07-07) |
| 核心举措 | 上市前模型评估能力;ENISA”欧洲蓝图”安全访问;关键部门测试平台;欧盟大挑战 |
| 评估能力目标时间 | 约 2027 年(据媒体报道;待人工智能办公室确认) |
| 相关期限 | 2026-08-02 —— GPAI 处罚权与第 50 条透明度义务可执行 |
| 法律背景 | 《人工智能法案》、NIS2 指令、《网络韧性法案》、DORA、《网络团结法案》 |
关键日期:2026年7月7日——行动计划与 ENISA 报告发布。2026年8月2日——GPAI 与透明度义务开始可执行。约 2027 年——欧盟模型评估能力目标进入运行(待欧盟人工智能办公室后续指引确认)。
Sources
- → https://digital-strategy.ec.europa.eu/en/library/eu-action-plan-cybersecurity-and-artificial-intelligence
- → https://www.enisa.europa.eu/publications/enisas-view-on-cybersecurity-in-the-frontier-ai-era
- → https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- → https://techjacksolutions.com/ai-brief/eu-launches-cybersecurity-action-plan-mandate-test-frontier/