网络安全与韧性政策声明：加强关键行业监管

英国国家网络安全中心（NCSC）对科学、创新与技术部（DSIT）发布的《网络安全与韧性政策声明》表示欢迎。该声明阐述了一系列立法提案，旨在帮助应对针对英国日益猖獗和多样化的网络威胁。

应对“不断扩大的差距”

正如NCSC首席执行官理查德·霍恩在2024年NCSC年度回顾发布会上所指出的：威胁与我们面临的暴露风险，与保护我们的现有防御措施之间，存在一个不断扩大的差距。我们确实在英国网络空间中看到更频繁、更复杂和更激烈的恶意活动，并且有全球证据表明，关键系统对敌对国家和恶意网络行为者具有吸引力。

与所有现代数字经济体一样，英国的关键系统依赖于我们的在线基础设施。敌对行为者正越来越多地利用这种依赖性，发动旨在造成最大破坏和毁灭的网络攻击。例如，2024年6月对Synnovis的网络攻击（影响了英国的关键医疗服务）就证明了我们的医疗服务对在线技术的根本依赖性。

2018年《网络与信息系统法规》（NIS法规）作为英国唯一的跨行业网络立法，在某种程度上增强了英国关键网络和信息系统的安全性。但我们对手的能力正在增长，这意味着我们现在需要利用立法和监管工具来进一步提高我们的网络安全性和韧性。2021年的《电信安全法》已经展示了针对该领域不断变化的威胁引入监管的好处。

拟议立法将如何应对日益增长的网络威胁？

DSIT今日宣布的立法提案将在缩小我们面临的网络威胁与防御能力之间不断扩大的差距方面发挥关键作用。

如果这些提案获得通过：

• 扩大NIS法规范围：更多组织和供应商将被纳入NIS法规的范围，包括数据中心、托管服务提供商（MSP）和关键供应商，确保更多组织受到这一强化框架的约束。
• 为监管机构提供更多工具：监管机构将拥有更多工具来提升其监管行业的网络安全性和韧性。更广泛的重大网络事件将需要向监管机构报告。
• 灵活更新框架：政府将拥有更大的灵活性，可在需要时更新框架，以敏捷的方式应对不断变化的威胁，例如将框架扩展到新行业。
• 新的行政权力：政府将拥有新的行政权力，以便在必要时为国家安全应对网络威胁。

总而言之，DSIT的立法提案代表了关键国家基础设施网络安全监管框架的重大提升。NCSC支持正在考虑中的额外措施，这些措施将使英国在防御针对我们关键国家基础设施的先进攻击者方面，拥有世界上最强有力的保护措施之一。在我们未来几年可能面临动荡的地缘政治环境之际，这些措施将在保护我们的基础服务方面发挥重要作用。

NCSC将如何提供帮助？

NCSC的职责之一是提高对英国面临的网络威胁的认识，并指导公民和组织获取可信的网络安全建议、工具和服务——推广最佳实践、准备工作和缓解措施。NCSC还在加强国家的网络生态系统、支持其发展和培养人才方面发挥着重要作用。

今日宣布的提案将加强监管框架，确保其在不同受NIS法规监管的部门中得到更有效和一致的应用。NCSC的资源将通过以下方式提供支持：

• NCSC的网络评估框架（CAF）将帮助那些属于NIS法规范围内的基本服务运营商、数字服务提供商和关键供应商管理和评估其网络风险。
• 网络韧性审计计划和网络要素评估服务（CAF的补充产品）使行业专业人员能够提供符合CAF结果的独立证据。它们提供了监管机构可用于提升其所在行业韧性和网络安全的资源。

下一步是什么？

这些立法提案为应对针对英国关键行业的网络威胁日益加速和多样化提供了真正的机遇。随着提案的进一步制定和实施，我们将与DSIT、政府各部门的同事以及工业界和更广泛网络生态系统中的合作伙伴密切合作。我们鼓励可能受这些提案影响的组织熟悉DSIT《网络安全与韧性政策声明》中的细节。