互联网安全内参 04月02日 21:30
英国政府修订网络安全法,首次将数据中心列为关键基础设施
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

英国政府发布网络安全与弹性政策声明,计划修订《网络安全与弹性法案》,以应对日益增长的网络威胁。新法案将对标欧盟NIS2指令,扩大关键基础设施的覆盖范围,提高网络安全事件上报标准,并将数据中心纳入关键基础设施。此外,还将加强供应链安全,规范托管服务商,并赋予监管机构更强的执法权力。此举旨在提升英国关键行业的整体安全水平,应对来自网络犯罪分子和敌对国家的威胁。

🛡️ 英国政府将修订《网络安全与弹性法案》,以对接欧盟NIS2指令,加强关键基础设施的安全。这包括扩大关键基础设施的定义,并提高网络安全事件的上报标准,以涵盖更多潜在威胁。

🏢 数据中心将被正式确立为关键国家基础设施,未来可能获得更多政府支持。这意味着数据中心将需要遵守更严格的安全标准,以应对和预防重大安全事件。

⚙️ 新法案将加强供应链安全,将上千家托管服务商纳入管控范围。政府将设定更严格的供应链安全义务,并要求供应商遵守网络安全标准,以提升关键行业的整体安全水平。

🚨 英国政府计划禁止公共部门机构支付勒索软件赎金,并强制要求所有受害者向政府报告相关事件。此外,监管机构将获得更强的执法权力,并通过成本回收机制支持监管工作。

📜 新立法还将赋予科学、创新和技术大臣权限,使其在无需议会立法的情况下更新相关法规,从而能够快速响应不断变化的网络威胁和技术进步。

关注我们

带你读懂网络安全

图片来源:JAMIE STREET VIA UNSPLASH


英国政府日前发布网络安全与弹性政策声明,拟于今年修订《网络安全与弹性法案》,对接欧盟NIS2指令加强关键基础设施安全,扩大关基行业覆盖范围和提高关基网络安全事件上报标准,并首次将数据中心列为关键基础设施;


政策声明还拟加强供应链安全,将上千家托管服务商纳入管控范围,要求遵循网络安全标准,以提高IT基础设施的安全性。


前情回顾·英国网络防御动态

安全内参4月2日消息,英国政府日前发布政策声明,详细介绍了《网络安全与弹性法案》所涵盖的内容,该文件将在今年晚些时候提交议会。

此前,英国政府曾在2022年宣称准备更新《网络安全与弹性法案》,但实际上并未真正推进相关立法。此次是对先前网络安全法规迟来的修订。

英国科学、创新和技术大臣彼得·凯尔在政策文件的前言中表示:“长期以来,历届政府未能妥善应对网络犯罪分子和敌对国家带来的日益增长的风险,我们的人民因此付出了代价。”



加强关键基础设施安全


英国《网络安全与弹性法案》最初于2018年制定,立法基础是欧盟《网络与信息系统指令》(NIS)。然而,自英国于2020年脱离欧盟以来,该法律并未进行相应调整,而欧盟却已经在2022年通过了更新后的NIS2指令。

初版法律要求,关键行业的组织必须向其监管机构报告网络安全事件,但判断是否需要报告的标准是“对基本或数字服务的连续性造成的中断”。这意味着,如果攻击者仅进行预先部署或侦察,而未实际破坏目标系统,企业便无须报告相关安全事件。

英国政府在4月1日表示:“老的标准过于狭窄,导致许多值得关注的事件未被报告。新法案将扩大报告范围,涵盖可能对基本或数字服务提供产生重大影响的事件。”

改进报告标准也是NIS2的一部分。英国政府在声明中表示,希望在可能的情况下与NIS2保持一致。然而,这一领域的立法工作充满挑战。截至目前,欧盟27个成员国中,仅有7个国家在去年10月的最后期限前,成功将NIS2指令转化为国内法律。

英国的新规与NIS2指令类似,任何“严重影响系统机密性、可用性和完整性的事件”均需进行报告。政府声明写道:“包括数据机密性遭到破坏、通过数字服务提供商(包括托管服务提供商)实施的间谍软件攻击,以及其他严重影响系统完整性的事件。”

受监管实体必须在发现事件后的24小时内通知所属行业监管机构,并向国家网络安全中心(NCSC)报告。此外,还需在72小时内提交完整的事件报告。

新立法还将与英国内政部正在进行的一项意见征询相辅相成。这项意见征询提议对英国应对勒索软件攻击的方式进行重大改革,包括禁止公共部门机构支付赎金,并要求所有受害者向政府报告相关事件。

除了改进事件报告制度,政府还计划扩大受监管实体的范围。新规不仅涵盖托管服务提供商(MSP),还包括其他云计算及数字服务提供商,这些企业在众多行业的供应链中扮演着关键角色。

此外,数据中心的“关键国家基础设施”地位也将被正式确立为法律规定。这意味着,数据中心未来可能获得更多政府支持,以帮助其应对和预防重大安全事件。



保障供应链安全


新法律还将赋予政府权力,通过二级立法为基本服务运营商(OES)和相关数字服务提供商(RDSP),设定更严格的供应链安全义务,并进行必要的咨询。

英国政府已在金融行业试点实施类似措施。去年,英国几家最大的银行承诺将政府认证体系“网络基本要求”(Cyber Essentials),纳入其供应商合同要求。

政府的目标是,通过要求直接受监管的实体确保其依赖的供应商遵守网络安全标准,从而整体提升关键行业的安全水平。

英国政府承认,此举可能会增加多达1100家供应商的合规成本,但表示:“这些投资将使MSP成为网络安全领域值得信赖的可靠合作伙伴。”

此外,新法案将赋予监管机构识别并指定“特定高影响力供应商”的权力。这类供应商预计仅占供应商总数的一小部分,但对国家安全至关重要。被指定的供应商将需遵守与关键国家基础设施实体相同的标准。

为了确保法律得以有效执行,英国监管机构将获得更强的执法权力,并可通过成本回收机制支持相关监管工作。

政策文件指出:“鉴于网络威胁与技术环境的快速变化,政府必须具备更新法规的能力,以有效应对新出现的风险,并利用技术进步带来的机遇。”

因此,政府希望赋予科学、创新和技术大臣权限,使其在无需议会立法的情况下更新相关法规,例如“将新的行业和子行业纳入监管范围,并调整NIS监管机构的职责和职能。”

新立法还将授权科学、创新和技术大臣在国家安全需要时“指示受监管实体采取行动”。

目前,英国政府尚无正式机制向受监管实体发布应对网络威胁的指令,“即便此类指令对国家安全至关重要。”政府表示,由于高能力攻击者和敌对国家带来的威胁不断上升,这一监管缺口可能会被日益频繁地利用,进而危及英国关键基础设施的运营安全。

新措施将赋予政府权力,在特定网络事件或威胁发生时向受监管实体发出指令。政府强调,这些指令将在议会提交,以接受公众监督,除非公开该指令会带来国家安全风险。

英国政府表示,该法案将在今年提交议会,并接受辩论和修订。


参考资料:therecord.media


推荐阅读




点击下方卡片关注我们,

带你一起读懂网络安全 ↓



📍发表于:中国 北京

🔗️ 阅读原文

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

网络安全 关键基础设施 英国 NIS2指令 供应链安全
相关文章
MediExcel 泄露了 50 万份患者文件
美国希望提高关键基础设施的网络弹性
IMF:2024年4月全球金融稳定报告