更严格的网络安全法规
英国政府推出新立法以加强国家关键基础设施的网络防御,实施基于营业额的处罚,并授予部长们在重大网络事件期间进行干预的紧急权力。
周二公布的《网络安全与韧性法案》将要求医疗、能源、水务、交通和数字服务领域的组织达到强制性安全标准,并在24小时内报告重大网络事件。
科学、创新和技术部(DSIT)在声明中表示,未能遵守规定的公司可能面临每天高达132,000美元(100,000英镑)的罚款,或与年营业额挂钩的处罚。
法案适用范围扩大
该法案预计将于2026年获得御准,更新了英国2018年《网络与信息系统法规》(NIS),首次将托管服务提供商(MSP)、数据中心和关键供应商纳入监管范围。声明补充说,该法案支持政府旨在加强国家韧性同时推动经济增长的"变革计划"战略。
与营业额挂钩的处罚和行为转变
该法案标志着英国执行网络安全合规方式的一个转折点。Greyhound Research首席分析师兼首席执行官Sanchit Vir Gogia表示:"与营业额挂钩的处罚以固定罚款永远无法实现的方式改变行为。对大型运营商而言,每次违规现在都带来与其市场覆盖范围相称的成本。影响与责任之间的这种联系迫使企业在事件发生前进行投资,而不是事后投资。"
Forrester高级分析师Madelein van der Hout表示,该立法引入的执法权力比欧盟NIS2指令或GDPR中的规定更为严格。"该法案通过将基于营业额的处罚与紧急政府权力相结合,为更严格的网络安全执法开创了先例。"
立法背景和影响
该提案是在一系列破坏性网络事件暴露英国基础设施漏洞之后提出的。2024年,黑客通过承包商入侵国防部薪酬系统,暴露了27万名武装部队成员的数据。对NHS病理服务提供商Synnovis的勒索软件攻击扰乱了超过11,000次医疗预约,造成约4300万美元(3270万英镑)的损失。2023年底的大英图书馆泄露事件导致高达900万美元(700万英镑)的损失,最近对玛莎百货和捷豹路虎的攻击 renewed 政策制定者采取行动的压力。
DSIT引用的一项独立研究估计,网络攻击每年给英国经济造成约194亿美元(147亿英镑)的损失,约占GDP的0.5%。
托管服务提供商和数据中心受审查
声明补充说,中型和大型托管服务提供商(MSP)将首次落入网络安全监管范围。它们必须及时向政府和客户报告重大事件,维护详细的响应计划,并展示处理级联影响的准备情况。
Hout表示,新框架将"重塑MSP行业",创建更强的检测和更快的响应周期。"对企业客户而言,它承诺提供更早的警报,并更大程度地保证其提供商遵守最低安全标准。"
该法案的24小时报告授权将迫使MSP和数字服务提供商升级运营。Gogia警告说:"许多组织将发现其流程过于缓慢和分散,无法满足这一时限要求。"Everest Group高级分析师Shivraj Borade补充说,该规则将促使MSP"投资于SOC成熟度、快速分类和法律协调",这将从根本上改变定价和客户关系。
责任转移和监管扩展
该立法还改变了企业与其服务合作伙伴之间的责任。Hout说:"我们首次将更多责任放在MSSP上,而这些责任通常由企业承担。它提高了对双方的期望:MSSP将承担更大的法律责任,企业必须进行更严格的尽职调查。"
根据该法案,数据中心也将首次受到直接监管,加入负责管理智能设备和电动汽车充电器电力流动的更广泛运营商群体。范围内的组织必须在重大网络事件发生后24小时内通知监管机构和国家网络安全中心(NCSC),并在72小时内提交完整报告。
紧急权力和扩大监督
根据该法案,技术大臣将获得指导监管机构和组织(包括NHS信托机构和公用事业公司)采取"具体、相称的措施"以防止或减轻国家安全受到威胁的网络攻击的权力。这些干预措施可能包括加强监控或临时网络隔离。
Gogia说:"紧急权力认识到网络事件的发展速度比委员会能够响应的速度更快。允许政府在实时威胁期间指导关键部门,使系统能够在几分钟而不是几周内采取行动。"
监管机构还将被授权指定关键供应商,如诊断提供商或化学品制造商,以确保它们达到基线网络安全标准。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
