更严格的网络安全法规

英国政府推出新立法以加强国家关键基础设施的网络防御，实施基于营业额的处罚，并授予部长在重大网络事件期间进行干预的紧急权力。

周二公布的《网络安全与韧性法案》将要求医疗、能源、水务、交通和数字服务领域的组织达到强制性安全标准，并在24小时内报告重大网络事件。

科学、创新和技术部（DSIT）在声明中表示，未能遵守规定的公司可能面临每天高达132,000美元（10万英镑）的罚款，或与年营业额挂钩的处罚。

法案实施时间表

该法案预计将于2026年获得御准，更新了英国2018年《网络与信息系统法规》（NIS），首次将托管服务提供商（MSP）、数据中心和关键供应商纳入监管范围。声明补充说，该法案支持政府旨在加强国家韧性同时推动经济增长的"变革计划"战略。

基于营业额的处罚与行为改变

该法案标志着英国执行网络安全合规的方式发生了转折。“处罚以扁平罚款永远无法实现的方式改变行为，“Greyhound Research首席分析师兼首席执行官Sanchit Vir Gogia表示。“对于大型运营商来说，现在每次违规都会产生与其市场覆盖范围相称的成本。影响与责任之间的联系迫使在事件发生前进行投资，而不是事后。”

Forrester高级分析师Madelein van der Hout表示，该立法引入的执法权力比欧盟NIS2指令或GDPR中的权力要严格得多。“该法案通过将基于营业额的处罚与紧急政府权力相结合，为更严格的网络安全执法开创了先例。”

立法背景：近年重大网络事件

该提案是在一系列暴露英国基础设施漏洞的重大网络事件之后提出的。2024年，黑客通过承包商入侵了国防部薪酬系统，暴露了27万名武装部队成员的数据。对NHS病理服务提供商Synnovis的勒索软件攻击扰乱了超过11,000次医疗预约，造成约4300万美元（3270万英镑）损失。2023年底的大英图书馆泄露事件造成高达900万美元（700万英镑）损失，最近对玛莎百货和捷豹路虎的攻击再次给政策制定者带来了采取行动的压力。

DSIT引用的一项独立研究估计，网络攻击每年给英国经济造成约194亿美元（147亿英镑）损失，约占GDP的0.5%。

托管服务提供商和数据中心面临审查

声明补充说，中型和大型托管服务提供商（MSP）将首次落入网络安全监管范围。他们必须及时向政府和客户报告重大事件，维护详细的响应计划，并证明已准备好处理连锁影响。

Hout表示，新框架将"重塑MSP行业”，创建更强的检测和更快的响应周期。“对于企业客户来说，它承诺更早的警报和更大的保证，确保其提供商遵守最低安全标准。”

法案的24小时报告要求将迫使MSP和数字服务提供商升级运营。“许多组织会发现其流程过于缓慢和分散，无法满足这一时钟要求，“Gogia警告说。Everest Group高级分析师Shivraj Borade补充说，该规则将促使MSP"投资于SOC成熟度、快速分类和法律协调”，这将从根本上改变定价和客户关系。

该立法还改变了企业与其服务合作伙伴之间的责任。“我们首次将更多责任放在MSSP上，而这些责任通常由企业承担，“Hout说。“它提高了对双方的期望：MSSP将承担更大的法律责任，企业必须进行更严格的尽职调查。”

数据中心监管新规

根据该法案，数据中心也将首次受到直接监管，加入负责管理智能设备和电动汽车充电器电力流的更广泛运营商群体。范围内的组织必须在重大网络事件发生后24小时内通知监管机构和国家网络安全中心（NCSC），并在72小时内提交完整报告。

紧急权力与扩大监督

根据该法案，技术部长将获得授权，指示监管机构和组织（包括NHS信托机构和公用事业公司）采取"具体、相称的措施"来预防或减轻国家安全受到威胁的网络攻击。这些干预措施可能包括加强监控或临时网络隔离。

“紧急权力认识到网络事件的发展速度比委员会响应更快，“Gogia说。“允许政府在实时威胁期间指示关键部门，使系统能够在几分钟而不是几周内采取行动。”

监管机构还将被授权指定关键供应商，如诊断提供商或化学品制造商，以确保他们达到基线网络安全标准。