英国关基保护法案启动立法程序：亮点初解析

前情回顾·英国关基威胁态势

• 关基威胁真实案例！英国供水行业近两年至少遭受了5起网攻事件

• 捷豹路虎被黑后停产超37天，逾3万辆汽车生产延误，影响国家经济安全

• 英国主要火车站紧急关停公共WiFi：被黑后传播恐怖主义信息

• 英国政府拟修订网络安全法，首次将数据中心列为关键基础设施

安全内参11月13日消息，英国政府日前公布了一项新立法，旨在强化全国关键基础设施的网络防御。该法案将根据企业营业额设定罚款，并赋予政府部长在重大网络事件期间采取紧急干预措施的权力。

这项法案名为《网络安全与弹性法案》，要求医疗、能源、水务、交通和数字服务等领域的机构必须遵守强制性安全标准，并在发生重大网络事件后24小时内上报。不遵守规定的企业可能每天面临最高13.2万美元（10万英镑）的罚款，或按年营业额比例处以罚金。

英国科学、创新与技术部（DSIT）在声明中指出，政府已向议会提交法案进行一读，该法案预计在2026年获得王室批准，将更新英国《2018年网络和信息系统条例》（NIS），并首次将托管服务提供商（MSP）、数据中心及关键供应商纳入监管范围。声明表示，该法案支持政府的“变革计划”（Plan for Change），旨在强化国家弹性，同时推动经济增长。

营业额挂钩罚款与行为转变

该法案标志着英国在网络安全合规执行方式上的一次重大转折。Greyhound Research首席分析师兼首席执行官Sanchit Vir Gogia表示：“以营业额为基础的罚款能带来固定罚金无法实现的行为转变。对于大型运营商而言，每一次漏洞事件的成本都与其市场覆盖范围挂钩。这种将影响与责任相联系的机制，促使企业在事件发生前进行投资，而不是事后补救。”

Forrester高级分析师Madelein van der Hout指出，该法案赋予的执法权力度明显超过欧盟《NIS2指令》或《通用数据保护条例》（GDPR）。“该法案通过将营业额挂钩罚金与政府紧急干预权相结合，为更严格的网络安全执法树立了先例。”

该提案是在一系列暴露英国基础设施漏洞的严重网络事件后提出的。2024年，黑客通过一家承包商入侵国防部工资系统，导致27万名军人数据泄露。针对英国国家医疗服务体系（NHS）病理服务提供商Synnovis的勒索软件攻击造成超过1.1万次医疗预约中断，损失约4300万美元（3270万英镑）。2023年底对大英图书馆的攻击造成高达900万美元（700万英镑）的损失，而最近针对马莎百货和捷豹路虎的攻击进一步加大了政策制定者的压力。

DSIT引用的一项独立研究估计，网络攻击每年给英国经济造成约194亿美元（147亿英镑）的损失，相当于国内生产总值的0.5%。

托管服务商与数据中心成为监管重点

此次，英国将首次把中大型托管服务提供商（MSP）纳入网络安全监管范围。根据声明，这些机构必须及时向政府及客户报告重大事件，保持详细的响应计划，并展示应对连锁影响的能力。

Hout表示，这一新框架将“重塑MSP行业”，推动形成更强的检测能力和更快速的响应机制。“对企业客户而言，这意味着能更早收到告警，并更有信心确认其服务提供商符合最低安全标准。”

该法案规定的“24小时上报”要求将迫使MSP和数字服务提供商升级其运营流程。Gogia警告说：“许多机构会发现自身流程过于缓慢和分散，无法在规定时间内完成上报。”Everest Group高级分析师Shivraj Borade补充道，该规定将促使MSP“投资于安全运营中心（SOC）成熟度建设、快速分级处置和法律合规”，从根本上改变其定价模式和客户关系。

该立法还重新分配了企业与服务合作伙伴之间的责任。Hout指出：“这是首次将更多责任放在托管安全服务提供商（MSSP）身上，而不再仅由企业单方面承担。这一转变提高了双方的期望值。MSSP将承担更大的法律责任，而企业也必须进行更严格的尽职调查。”

根据法案规定，数据中心也将首次被纳入直接监管范围，与一系列负责管理智能设备及电动汽车充电设备供电流的运营方一同接受监管。纳入监管的机构必须在发生重大网络事件后24小时内通知监管机构和国家网络安全中心（NCSC），并在72小时内提交完整报告。

紧急干预权与监管范围扩大

根据该法案，科技大臣将获得指挥权，能够要求包括NHS信托和公用事业公司在内的监管机构及组织采取“具体且适度的措施”，以在国家安全受到威胁时防止或缓解网络攻击。这些干预措施可能包括加强监测或临时网络隔离。

Gogia表示：“紧急干预权体现出网络事件的变化速度远超委员会的响应节奏。允许政府在实时威胁中直接指挥关键行业，使系统能够在几分钟内而非数周内采取行动。”

监管机构还将获得新权力，可指定关键供应商，如诊断服务商或化学品制造商，确保他们符合基础的网络安全标准。

参考资料：https://www.csoonline.com/article/4088549/uk-cybersecurity-bill-brings-tougher-rules-for-critical-infrastructure.html

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。