英国政府修订网络安全法，首次将数据中心纳入关基安全监管

图片来源：JAMIE STREET VIA UNSPLASH

前情回顾·英国网络防御动态

• 想推动网络欺骗防御技术普及，英国政府开展蜜罐试点专项

• 强化OT安全！英国发布工控网络事件响应实践指南

• 英国拟禁止关基设施支付勒索软件赎金，其它组织需强制申报

• 已对国家造成高风险！英国议会指责政府“鸵鸟策略”应对勒索软件

安全内参4月2日消息，英国政府日前发布政策声明，详细介绍了《网络安全与弹性法案》所涵盖的内容，该文件将在今年晚些时候提交议会。

此前，英国政府曾在2022年宣称准备更新《网络安全与弹性法案》，但实际上并未真正推进相关立法。此次是对先前网络安全法规（英国网络与信息安全条例，英国版NIS指令）迟来的修订。

英国科学、创新和技术大臣彼得·凯尔在政策文件的前言中表示：“长期以来，历届政府未能妥善应对网络犯罪分子和敌对国家带来的日益增长的风险，我们的人民因此付出了代价。”

加强关键基础设施安全

英国《网络安全与弹性法案》最初于2018年制定，立法基础是欧盟《网络与信息系统指令》（NIS）。然而，自英国于2020年脱离欧盟以来，该法律并未进行相应调整，而欧盟却已经在2022年通过了更新后的NIS2指令。

初版法律要求，关键行业的组织必须向其监管机构报告网络安全事件，但判断是否需要报告的标准是“对基本或数字服务的连续性造成的中断”。这意味着，如果攻击者仅进行预先部署或侦察，而未实际破坏目标系统，企业便无须报告相关安全事件。

英国政府在4月1日表示：“老的标准过于狭窄，导致许多值得关注的事件未被报告。新法案将扩大报告范围，涵盖可能对基本或数字服务提供产生重大影响的事件。”

改进报告标准也是NIS2的一部分。英国政府在声明中表示，希望在可能的情况下与NIS2保持一致。然而，这一领域的立法工作充满挑战。截至目前，欧盟27个成员国中，仅有7个国家在去年10月的最后期限前，成功将NIS2指令转化为国内法律。

英国的新规与NIS2指令类似，任何“严重影响系统机密性、可用性和完整性的事件”均需进行报告。政府声明写道：“包括数据机密性遭到破坏、通过数字服务提供商（包括托管服务提供商）实施的间谍软件攻击，以及其他严重影响系统完整性的事件。”

受监管实体必须在发现事件后的24小时内通知所属行业监管机构，并向国家网络安全中心（NCSC）报告。此外，还需在72小时内提交完整的事件报告。

新立法还将与英国内政部正在进行的一项意见征询相辅相成。这项意见征询提议对英国应对勒索软件攻击的方式进行重大改革，包括禁止公共部门机构支付赎金，并要求所有受害者向政府报告相关事件。

除了改进事件报告制度，政府还计划扩大受监管实体的范围。新规不仅涵盖托管服务提供商（MSP），还包括其他云计算及数字服务提供商，这些企业在众多行业的供应链中扮演着关键角色。

此外，数据中心的“关键国家基础设施”地位也将被正式确立为法律规定。这意味着，数据中心未来可能获得更多政府支持，以帮助其应对和预防重大安全事件。

保障供应链安全

新法律还将赋予政府权力，通过二级立法为基本服务运营商（OES）和相关数字服务提供商（RDSP），设定更严格的供应链安全义务，并进行必要的咨询。

英国政府已在金融行业试点实施类似措施。去年，英国几家最大的银行承诺将政府认证体系“网络基本要求”（Cyber Essentials），纳入其供应商合同要求。

政府的目标是，通过要求直接受监管的实体确保其依赖的供应商遵守网络安全标准，从而整体提升关键行业的安全水平。

英国政府承认，此举可能会增加多达1100家供应商的合规成本，但表示：“这些投资将使MSP成为网络安全领域值得信赖的可靠合作伙伴。”

此外，新法案将赋予监管机构识别并指定“特定高影响力供应商”的权力。这类供应商预计仅占供应商总数的一小部分，但对国家安全至关重要。被指定的供应商将需遵守与关键国家基础设施实体相同的标准。

为了确保法律得以有效执行，英国监管机构将获得更强的执法权力，并可通过成本回收机制支持相关监管工作。

政策文件指出：“鉴于网络威胁与技术环境的快速变化，政府必须具备更新法规的能力，以有效应对新出现的风险，并利用技术进步带来的机遇。”

因此，政府希望赋予科学、创新和技术大臣权限，使其在无需议会立法的情况下更新相关法规，例如“将新的行业和子行业纳入监管范围，并调整NIS监管机构的职责和职能。”

新立法还将授权科学、创新和技术大臣在国家安全需要时“指示受监管实体采取行动”。

目前，英国政府尚无正式机制向受监管实体发布应对网络威胁的指令，“即便此类指令对国家安全至关重要。”政府表示，由于高能力攻击者和敌对国家带来的威胁不断上升，这一监管缺口可能会被日益频繁地利用，进而危及英国关键基础设施的运营安全。

新措施将赋予政府权力，在特定网络事件或威胁发生时向受监管实体发出指令。政府强调，这些指令将在议会提交，以接受公众监督，除非公开该指令会带来国家安全风险。

英国政府表示，该法案将在今年提交议会，并接受辩论和修订。

参考资料：https://therecord.media/uk-sets-out-cyber-reporting-requirements-critical-infrastructure

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。