英国政府は今朝、長らく待たれていたサイバーセキュリティおよびレジリエンス法案を議会に提出し、これが国家安全保障を強化し、経済を守る助けになると約束しました。
提案された法案は、EUのNIS指令を基にした英国のネットワークおよび情報システム(NIS)規則2018をアップグレードすることを目的としています。EUのNIS指令はその後NIS2に更新され、重要サービス運営者(OES)に対して厳格な新たなセキュリティ基準を導入しています。
英国版の主な提案内容は以下の通りです:
- マネージドサービスプロバイダー(MSP)が初めて規制対象となり、追加で900~1100社が法律の適用範囲に入る
- 規制当局が、最低限のセキュリティ基準を満たすべき重要サプライヤーを指定する権限を持つ
- 新たな義務(詳細は二次立法で確定予定)により、OESはサプライチェーンリスクを管理する必要がある
- OESはNCSCサイバーアセスメントフレームワーク(CAF)に基づく「適切かつ最新のセキュリティ要件」を満たす必要がある
- インシデント報告基準が拡大され、インシデント発生から24時間以内に初期報告、72時間以内に詳細報告が必要となる。デジタルおよびデータセンタープロバイダーは顧客への通知が義務付けられる
- 情報コミッショナーオフィス(ICO)の権限が強化され、最も重要なデジタルサービスプロバイダーの特定やサイバーリスク評価への積極的なアプローチが可能となる
- 規制当局は新たな料金制度を通じてコスト回収が可能となる
- データセンタープロバイダーや「スマート家電への電力供給の流れを管理する」事業者も適用範囲に含まれる
- 重大な違反に対しては、売上高に基づくより厳しい罰則が導入される
サイバーセキュリティおよびレジリエンス法案についてさらに読む:英国政府、新たなサイバーセキュリティおよびレジリエンス法案を導入へ。
シスコの欧州政府渉外担当副社長、マット・フーリハン氏は、英国の組織は高度なサイバー攻撃やAI脅威から守るために新たな規制を早急に必要としていると述べました。
「この法案の成功は、組織が必要な対策を効果的に実施できるよう、明確さと実践的なスケジュールにかかっています。また、サポートが終了した機器や寿命を迎えた機器から生じるリスクへの対応という重要な機会を政府が逃さないよう強く求めます。これらは英国のインフラにおける持続的な弱点であり、組織をしばしば危険にさらしています」と彼は付け加えました。
「業界と連携・協力することで、政府はこの法案を通じて、英国組織の複雑なサイバーセキュリティニーズに対応し、実践的な現実に基づいた明確かつ適切なガイダンスを提供する機会を得ることができます。」
長い道のり
この法案はまだ議会で審議される必要がありますが、NIS2指令が施行されてからすでにほぼ2年が経過しており、いくつかのEU加盟国はいまだに批准していません。
それ以来、英国では重要インフラやサービスに影響を与える深刻な侵害が複数発生しており、NHSのサプライヤーSynnovisに対するランサムウェア攻撃や、国防省職員全員の情報が漏洩した国家主導のサイバースパイ活動などが含まれます。
政府の統計によると、「重大なサイバー攻撃」の平均被害額は現在19万ポンドを超えており、政府はこれが経済全体で年間147億ポンド、または国内総生産(GDP)の0.5%に相当すると主張しています。
「国家として、私たちはデジタル防御とレジリエンスを迅速に強化しなければならず、サイバーセキュリティおよびレジリエンス法案は、最も重要なサービスをより良く守るための重要な一歩です」とNCSCのリチャード・ホーン長官は述べました。
「サイバーセキュリティは共有された責任であり、繁栄の基盤です。すべての組織――規模の大小を問わず――に、ncsc.gov.ukで入手できる助言やガイダンスに従い、リスクが求める緊急性を持って行動するよう強く呼びかけます。」
翻訳元: https://www.infosecurity-magazine.com/news/government-cyber-security/
