随着英国《网络安全与弹性法案》在英国议会进行讨论，这项旨在加强国家安全的法律将引入的关键变革已公之于众。该法案出台之际正值英国面临关键时刻，英国国家网络安全中心报告称，2025年“对国家具有重大意义”的网络事件数量较2024年数据激增了130%。

英国科学、创新与技术部《网络安全与弹性法案》团队负责人莎娜·莱斯特近日在伦敦威斯敏斯特举行的网络安全商业网络首届“议会与网络”大会上，详细阐述了这项拟议的法律。她表示，该法案将解决“英国唯一跨部门网络安全法规”（即《网络和信息系统安全指令》）中的一些不足。

英国每年因网络攻击损失150亿英镑

该法案于2024年7月首次在国王演讲中被提及，并于11月12日由英国政府提交至下议院。尽管该法案被视为英国对欧盟《网络和信息系统安全指令2》的回应，两者都建立在2018年《网络和信息系统安全指令》的基础上，但莱斯特强调，《网络安全与弹性法案》的主要目标是“使英国成为一个更安全、对企业投资更具吸引力的地方”。

她指出，在一个96%的成年人拥有智能手机、99%拥有10名或以上员工的企业处理数字化数据的国家，政府看到的威胁形势正在迅速恶化。“我们的公共服务、基础设施以及整个经济一次又一次成为攻击目标，从我们的医院、大学、地方当局到零售商、民主机构乃至政府部门本身，”她补充道。毕马威2025年的一项研究发现，英国经济每年因网络攻击损失近150亿英镑。

《网络安全与弹性法案》详解

莱斯特表示，《网络安全与弹性法案》将侧重于保护国家医疗服务体系、交通和能源网络等基本服务。在“议会与网络”大会上，她概述了若无重大改动，法律中应包含的一些条款。

扩大监管范围

法案中的要求将适用于四类被视为基本服务运营商的机构：

• 数据中心（自2024年9月起被认定为关键国家基础设施实体）
• 大型负荷控制器（政府术语，指管理智能家电的组织，例如在高峰时段支持电动汽车充电）
• 托管服务提供商（例如IT服务台和网络安全服务提供商）。这些机构将首次受到监管，使额外900-1100家公司纳入法律范围
• 将被英国监管机构指定为“关键供应商”的其他组织

莱斯特表示，指定的基本服务运营商需要满足源自NCSC《网络评估框架》的“相称且最新的安全要求”。

强化事件报告

《网络安全与弹性法案》将更新当前的事件报告制度，以涵盖更广泛的、可能造成重大破坏的事件，例如预置攻击。“目前，只有在网络事件造成重大破坏时，监管机构和NCSC才会得到通知——而在许多情况下，这已经太晚，无法缓解攻击，”莱斯特补充道。根据该法案，基本服务运营商将被要求：

• 在意识到事件后24小时内通知监管机构。有报告称，法案还可能要求基本服务运营商在72小时内向相关当局提交完整报告
• 如果客户可能受到网络事件影响，需通知客户
• 报告可能造成重大破坏的潜在事件，而不仅仅是已经造成损害的事件

莱斯特承诺：“该法案还将为信息共享提供更明确的条款，确保信息可以在适当的时候大规模共享。”

加强监管权力

该法案将修订现有的监管权力和执法机制。她解释说，首先，国务大臣将能够为12个不同的监管机构设定共同目标，每个监管机构将被允许针对重大国家安全威胁采取直接、有针对性的行动。此外，此前有报道称，信息专员办公室的权力也将得到加强，使其能够识别最关键的数字服务提供商，并采取主动方法评估网络风险。

莱斯特提到了执法机制和制裁制度方面的一些强化措施，包括：

• 简化的罚金分级
• 修订最高罚款额，以便对不合规行为处以更高的罚款——此前的报道暗示了基于营业额的潜在罚款

最后，莱斯特建议，一旦通过，《网络安全与弹性法案》可能会迅速通过第二项立法进行更新，可能的补充包括将更多部门纳入范围、更新安全要求、增加第三方风险要求等。

专家对《网络安全与弹性法案》的反应

许多在“议会与网络”大会上发言的专家指出，《网络安全与弹性法案》的范围仍然“非常狭窄”，并表示希望看到更广泛的范围或对被覆盖实体提出更严格的安全要求。

西约克郡国家医疗服务体系首席数字信息官肖卡特·阿里-汗表示，他希望该法案能提高安全要求实施机制的清晰度，并要求为基本服务运营商、公共部门和公众建立一个独立的教育机制。NCSC网络要素合作伙伴IASME联盟的首席执行官艾玛·菲尔波特表示，她希望能找到确保企业采取基本网络安全措施的方法，并敦促实施机制来保护那些目前未被法案覆盖的组织。她还表示支持通过供应链要求来强制执行推动公司实施安全的法规。

SAP政府关系总监克里斯·弗朗西斯表示，他期望进行“彻底的监管影响评估”，并希望看到“就二级立法与企业进行强制性磋商”。最后，阿里-汗、弗朗西斯以及皇家联合军种研究所研究员詹·埃利斯都强调，需要将《网络安全与弹性法案》与欧盟（包括《网络弹性法案》）、美国以及经济合作与发展组织其他成员的其他立法和最佳实践保持一致。