医療、エネルギー、交通、デジタルサービスがより厳しいコンプライアンス規則の対象となり、大規模なサイバーインシデント時に大臣が介入する権限を獲得。
英国政府は、重要インフラ全体の国家サイバー防御を強化する新たな法案を導入し、売上高に基づく罰則を課すとともに、大規模なサイバーインシデント時に大臣が緊急介入できる権限を付与しました。
火曜日に発表された「サイバーセキュリティおよびレジリエンス法案」は、医療、エネルギー、水道、交通、デジタルサービス分野の組織に対し、必須のセキュリティ基準の遵守と、重大なサイバーインシデント発生時の24時間以内の報告を義務付けます。
違反した企業には、1日あたり最大13万2,000ドル(10万ポンド)の罰金や、年間売上高に連動した罰則が科される可能性があると、科学・イノベーション・技術省(DSIT)は声明で述べています。
この法案は2026年に王室裁可を受ける見込みで、英国の「ネットワークおよび情報システム規則(NIS)2018」を改正し、初めてマネージドサービスプロバイダー(MSP)、データセンター、主要サプライヤーを対象に含めます。また、政府の変革計画戦略を支援し、国家のレジリエンス強化と経済成長の促進を目指すと声明は付け加えています。
売上高連動型の罰則と行動変容
この法案は、英国におけるサイバーセキュリティコンプライアンスの施行方法において転換点となります。「罰則は、定額罰金では決してできなかった形で行動を変えます」と、Greyhound Researchのチーフアナリスト兼CEOであるサンチット・ヴィル・ゴギア氏は述べています。「大手事業者にとって、あらゆる違反が市場規模に比例したコストを伴うようになりました。この影響と責任の結びつきが、インシデント発生前の投資を促します。」
フォレスターのシニアアナリスト、マデリーン・ファン・デル・ハウト氏は、「この法案は、EUのNIS2指令やGDPRよりもはるかに厳しい執行権限を導入しています」と述べています。「売上高連動型の罰則と緊急時の政府権限を組み合わせることで、より厳格なサイバーセキュリティ執行の前例を作ります。」
この提案は、英国インフラの脆弱性を露呈した一連の深刻なサイバーインシデントを受けて行われました。2024年には、ハッカーが防衛省の給与システムを契約業者経由で侵害し、27万人の軍関係者のデータが流出しました。NHSの病理サービス提供者に対するSynnovisランサムウェア攻撃では、1万1,000件以上の医療予約が混乱し、約4,300万ドル(3,270万ポンド)の損害が発生しました。2023年末の大英図書館の侵害では最大900万ドル(700万ポンド)の損失が生じ、最近のマークス&スペンサーやジャガー・ランドローバーへの攻撃も政策立案者への対応圧力を高めています。
DSITが引用した独立した調査によると、サイバー攻撃による英国経済の損失は年間約194億ドル(147億ポンド)、GDPの約0.5%に上ると推定されています。
MSPとデータセンターへの監視強化
初めて、中規模および大規模のマネージドサービスプロバイダー(MSP)がサイバーセキュリティ規制の対象となります。MSPは重大なインシデントを政府と顧客の両方に迅速に報告し、詳細な対応計画を維持し、連鎖的影響に対応する準備ができていることを示さなければならないと声明は付け加えています。
ハウト氏は、新たな枠組みが「MSP業界を再構築し、より強力な検知と迅速な対応サイクルを生み出す」と述べています。「エンタープライズ顧客にとっては、より早期の警告と、プロバイダーが最低限のセキュリティ基準を遵守しているという安心感が得られるでしょう。」
法案の24時間以内の報告義務は、MSPやデジタルサービスプロバイダーに業務の高度化を迫ることになります。「多くの組織は、その時間内に対応できるほどのプロセスを持っていないでしょう」とゴギア氏は警告します。エベレスト・グループのシニアアナリスト、シヴラジ・ボラデ氏は、この規則によりMSPは「SOCの成熟度向上、迅速なトリアージ、法的整合性への投資を促され、価格設定や顧客関係が根本的に変わる」と付け加えました。
また、この法案は企業とサービスパートナー間の責任の所在も変化させました。「初めて、通常は企業側にあった責任をMSSP側により多く課すことになります」とハウト氏は述べています。「両者への期待値が高まり、MSSPはより大きな法的責任を負い、企業側もより厳格なデューデリジェンスが求められます。」
法案によれば、データセンターも初めて直接的な規制監督の対象となり、スマートデバイスや電気自動車充電器への電力供給を管理する幅広い事業者グループに加わります。対象組織は、重大なサイバーインシデント発生時に、24時間以内に規制当局および国家サイバーセキュリティセンター(NCSC)へ通知し、72時間以内に詳細な報告書を提出しなければなりません。
緊急権限と監督範囲の拡大
法案の下では、テクノロジー担当大臣が規制当局や組織(NHSトラストや公益事業体を含む)に対し、「特定かつ適切な措置」を講じて、国家安全保障が脅かされる場合にサイバー攻撃を防止または緩和するよう指示する権限を持つことになります。これには、監視の強化や一時的なネットワーク隔離などが含まれる可能性があります。
「緊急権限は、サイバーインシデントが委員会の対応よりも速く進展することを認識しています」とゴギア氏は述べています。「政府がライブの脅威時に重要分野へ指示できることで、システムは数週間ではなく数分で対応できるようになります。」
規制当局は、診断サービス提供者や化学メーカーなどの重要サプライヤーを指定し、彼らが最低限のサイバーセキュリティ基準を満たしていることを確保する権限も与えられます。
