IT服务公司和数据中心面临监管：网络安全法案提交议会审议

根据今日提交议会审议的法律，提供IT服务的大型组织（包括数据中心）将面临监管，以确保其拥有足够的网络安全和韧性计划。

《网络安全与韧性法案》（CSRB）旨在确保关键服务（包括医疗、水利、交通和能源）免受网络攻击保护。这些攻击每年给英国经济造成近150亿英镑损失。

根据提案，为关键服务提供IT管理、帮助台支持和网络安全服务的中大型IT服务公司将首次面临监管。它们需要在24小时内向监管机构和国家网络安全中心报告可能重大的网络安全漏洞，72小时内提交完整报告，并通知使用其服务的企业和个人。

新政府权力

政府将获得新权力，可指示监管机构及其监管的组织在存在国家安全风险时采取“具体、相称的措施”预防网络攻击。这可能包括要求加强系统安全监控或隔离高风险系统以保护关键服务。

拟议法律涵盖关键服务的私人和公共部门提供商，这些服务若遭受攻击可能对经济产生“巨大负面影响”。监管机构将根据该法案获得新权力，“指定”提供基本服务的组织（如向NHS提供健康诊断或向水务公司提供化学品），要求它们满足最低安全要求。

该立法预计还将禁止公共部门组织（如地方议会、学校、医疗服务和关键国家基础设施运营商）向勒索软件犯罪团伙支付赎金。政府认为，最近对托管服务提供商（MSP）的网络攻击表明需要此类法律。

预算责任办公室估计，对关键国家基础设施的网络攻击可能暂时增加超过300亿英镑的借款——相当于GDP的1.1%。今日发布的研究显示，英国重大网络攻击的平均成本超过19万英镑，全年经济影响达150亿英镑——约占英国GDP的0.5%。

2024年，黑客通过MSP访问了国防部的工资系统。对病理服务提供商Synnovis的攻击导致超过11,000次医疗预约和程序中断，估计成本为3000万英镑。

政府表示，该法案“代表了一个阶段性变化”，将“帮助实现更大的经济稳定性”，并支持英国网络安全领域的投资，该领域在最新财年为经济贡献了132亿英镑。

《网络安全与韧性法案》最初于2024年工党大选胜利后提出，旨在改善英国的在线防御、保护公众并保障经济增长。10月，政府部长致信富时350指数公司CEO，敦促他们将网络风险纳入董事会责任，注册国家网络安全中心（NCSC）的网络攻击预警服务，并要求其供应链中的公司满足NCSC的网络基本安全要求。

NCSC CEO理查德·霍恩表示，《网络安全与韧性法案》是“确保国家最关键服务得到更好保护和准备”的“重要一步”。他补充说：“网络攻击的现实影响在最近几个月变得尤为明显，因此我们欢迎加强立法和监管权力的举措，以帮助提高关键国家基础设施的防御和韧性水平。”

NHS英格兰健康与护理国家首席信息安全官菲尔·哈金斯表示，这些提案将使医疗服务能够应对最大风险和危害，包括指定关键供应商的新权力。他补充说：“与医疗部门合作，我们可以在网络成熟度方面推动阶段性变化，帮助在不断演变的威胁环境中保持服务可用、保护数据并维护系统信任。”

科学、创新和技术大臣利兹·肯德尔表示，新法律将意味着“更少的NHS预约取消、减少对当地服务和企业的干扰，以及在威胁出现时更快的国家响应”。