英国《网络安全与弹性法案》应只是更广泛努力的一部分

英国政府的《网络安全与弹性法案》(CSRB) 最终于2025年11月公布，其发布时的措辞表明，政府将这项法案视为强化英国国家安全和经济韧性的一部分。

自2024年国王演讲中首次提出该法案以来，我们面临的威胁格局发生了重大且根本性的变化。针对一些最知名公司的高调攻击，暴露了我们关键国家基础设施和经济生活核心的脆弱性。人工智能应用的迅速普及也改变了对抗规则。

该法案试图创建一个全新且更新的监管框架。它还赋予政府（通过国务大臣）重要的新总体权力，以确定监管机构的优先事项、为保护国家安全进行干预，并在情况变化时扩大法规范围。该法案的相当一部分内容专门用于确立这些“亨利八世”条款。在快速变化的环境中，政府有必要能够迅速采取行动以保护国家安全。然而，法案中其他的指令权力在其议会审议过程中需要接受审查。这种自上而下权力的危险在于，行业可能会感觉监管是在对他们“强制执行”，而不是由他们共同“塑造”。

该法案还设想赋予信息专员办公室(ICO)重要的新监管权力，例如包括对托管服务提供商的监管。ICO的新角色将需要新的技能和资源，以便其能够履行监管职能。该法案创建的监管结构是一幅复杂的图景。部门监管机构与国务大臣、ICO、Ofcom和国家网络安全中心(NCSC)等机构共同作用，将决定这个更新的监管环境的成败。随着监管机构在新的格局中争夺地位，可能会出现所谓的“监管竞争”风险。

另一个令人担忧的领域是法案中完全没有提及金融服务。目前的假设是，根据之前的监管制度，金融服务将被排除在外，并将继续在其自身的框架下接受监管。随着该法案在公共法案委员会接受进一步审查，理解政府如何设想该法案与影响银行及其他金融服务基础设施的法规相互作用将非常重要。

尽管存在种种担忧，法案中的许多措施还是值得欢迎的。然而，为了使新立法实现其目标，我们需要确保大小企业都参与到加强我们安全与韧性的这项至关重要的工作中来。这意味着政府和行业需要合作以提高标准。行业需要作为新监管格局的参与者，而不是被动的接受者。

我们还需要全社会共同努力来提高我们的网络安全和韧性。公民也需要理解他们在这场斗争中的角色，因为我们面临着对生活方式日益复杂的威胁。立法只是这项努力的一部分。

詹姆斯·莫里斯是英国网络安全与商业韧性政策中心(CSBR)的首席执行官。