5月6日，修订欧盟新版《网络安全法》的欧洲议会议员表示，该法案不止禁中国的，美国的也跑不了，他们到底在打什么算盘？
 
欧盟把能源、电信、金融等18个关键行业里的中国供应商全清出去，2026年到2030年这五年，27个成员国得掏3678亿欧元。
 
其中直接损失是拆设备、换硬件那部分，1462亿欧元，剩下的两千多亿是系统重建、合同违约、社会失业之类的间接成本。说白了就是花大价钱自己给自己找麻烦。
 
这笔钱在各国之间分得很不均衡。德国一家就要扛1708亿欧元，占了总数的46%以上。法国和意大利紧随其后，分别是463亿和365亿欧元。波兰、西班牙、荷兰这些国家也得掏出上百亿。
 
如果说花钱还能勉强理解为“买安全”，那接下来欧盟做的一件事，就让这个逻辑彻底站不住了。
 
同一天，“政客新闻网”欧洲版报道说，牵头修订新版《网络安全法》的欧洲议员格雷戈罗娃向美国科技巨头喊话：你们也得做好准备，法案不专门针对谁，谁不服规矩谁就得拆。这位捷克议员还补了一句，说美国企业以往在遵守欧盟法规这方面表现不好，没什么好说的。
 
这就是欧盟现在最尴尬的地方——它同时在两个方向出拳。一边要在产业链上对中国搞“切割式脱钩”，一边又要对美国科技公司展示“技术主权”，把自己架在中间，进退两难。
 
而且这个时机选得也很微妙。欧洲各国现在越来越担心一个问题：美国政府手里其实握着一条供应链上的“终止开关”——哪天不高兴了，可以直接命令谷歌、亚马逊、微软这些公司在欧洲停服。
 
在整个欧洲经济高度依赖美国云服务和数字基础设施的背景下，这等于说欧盟的命脉其实攥在人家手里。
 
所以从这个角度看，欧盟说要对美国公司也实施新规，与其说是真要动手，不如说是在做姿态。给外界看，给国内选民看：你看，我们对美国也不客气。
 
但事实是，欧盟在另一个立法里，却打算给美国科技巨头发“免死金牌”，只要求它们遵守自愿性框架，而不是强制规则。
 
那这份法案到底安不安全、科不科学？客观地说，它压根就不是一个以技术标准为基础的立法。
 
今年1月20日，欧盟委员会发布了《网络安全法》修订草案（CSA2），绕过技术中立的国际惯例，直接引入了一个“非技术风险”概念。
 
具体来说，就是把国家身份、企业背景、第三国治理体制和所有权结构纳入评估范畴。只要欧委会觉得哪个国家“有网络关切”，就可以把它的企业整体贴上高风险标签，然后18个行业全链条封杀。这不是针对企业本身的表现，而是针对国籍本身。
 
这种“基于国籍”的排除机制，在WTO框架下存在很大争议。中国商务部4月17日提交评论意见时已经明确指出来了——这涉嫌违反最惠国待遇和国民待遇等世贸组织基本原则。
 
报告中也提到，中资企业在欧洲长期合规经营，从来没有出现过重大安全事件或技术后门被证实的情况。
 
说到底，干这事的是欧盟委员会，但最后买单的是各个成员国的企业和老百姓。德国有高度自动化的制造业和复杂的工业数字化体系，拆一批设备牵连的是整个产业链的运转效率。法国、意大利的物流、金融和科研领域也会被波及。
 
更现实的问题是：你想换掉这些供应商，前提得有人能补上。欧洲本土有没有产业链来承接这些需求？欧洲市场虽然大，但经过这些年，本土替代方案在质量和成本上能不能对等？短期看恐怕够呛。
 
所以说欧盟这次操作的尴尬之处在于：想减少对一个方向的依赖，结果代价是自己的钱包；想摆平另一个方向的依赖，结果发现根本绕不开。
 
花钱没问题，但花完钱安全上没有任何增量收益，问题还越搞越多——这种亏本的买卖，怎么算都划不来。