この法案は、同国の小売業や自動車サプライチェーンを揺るがした一連のソーシャルエンジニアリング攻撃を受けて制定されました。
英国当局は水曜日、重要産業に最低限のサイバーセキュリティ基準を設け、インシデント報告の期限を定め、最近のソーシャルエンジニアリング攻撃の中心となった特定のITサービスを規制する、待望の法案を導入しました。
このサイバーセキュリティおよびレジリエンス法案は、医療、水道、交通、エネルギーなどの重要分野のサプライヤーを「不可欠」と指定できるようにし、それらの企業は大規模なサプライチェーンの混乱を防ぐために最低限のサイバーセキュリティ基準を満たす必要があります。
この計画では、ITサービス、サイバーセキュリティ、ITヘルプデスクサポートを提供する企業にも強固なセキュリティ計画を求め、重大なセキュリティインシデントを速やかに政府に報告することを義務付けます。
この法律が施行されれば、より厳しい罰則が設けられ、重大なサイバー違反の場合は売上高に基づく罰金も科されます。法案では最大2,240万ドル(1,700万ポンド)、または規制対象組織の全世界売上高の4%までの罰金が認められています。重要度の低い攻撃の場合は年間売上高の2%の罰金となります。
英国テクノロジー担当大臣には、国家安全保障上の必要がある場合、規制当局に対してサイバー備えを強化するための特定の措置を取るよう命じる新たな権限が与えられます。
この法案は、英国当局が同国のサイバー態勢について厳しい分析を発表してから1か月後に出されました。英国では、過去最多となる204件の国家的に重要な攻撃と、18件の非常に重大なインシデントが発生しました。
一連の攻撃は英国経済に壊滅的な影響をもたらしました。晩夏に発生したジャガー・ランドローバーへのサイバー攻撃は、英国経済に約25億ドルの損失をもたらし、政府は自動車メーカーの広範なサプライチェーン崩壊を防ぐため、大規模な融資パッケージを承認しました。
「新しい英国サイバーセキュリティおよびレジリエンス法案は、既存のNIS2やGDPRの枠組みと比べて、売上高に基づく大幅に厳しい罰則や緊急時の政府権限を導入しており、より厳格なサイバーセキュリティ執行の前例を作るものです」とフォレスターの上級アナリスト、マデリーン・ファン・デル・ハウト氏はCybersecurity Diveに語りました。
9月には、国家サイバーセキュリティセンターのCEOリチャード・ホーン氏が、事業継続性への注力への転換をワシントンD.C.でのビリントンサイバーセキュリティサミットで呼びかけました。
英国では、百貨店チェーンのマークス&スペンサーなど、大手企業がサイバー攻撃により数週間にわたる混乱を経験しており、同社は4月のソーシャルエンジニアリング攻撃で4億ドルの損失を被りました。
M&Sの会長は、重大な攻撃があった場合の報告義務を英国当局に求めました。
翻訳元: https://www.cybersecuritydive.com/news/uk-authorities-law-cyber-standards-critical-sectors/805416/
