英国のサイバーセキュリティおよびレジリエンス法案(CSR法案)が英国議会で審議される中、国家安全保障を強化するために導入される法律の主な変更点が明らかになりました。
この法案は、英国にとって重要な時期に登場しました。国家サイバーセキュリティセンター(NCSC)は、2025年には2024年のデータと比較して「国家的に重要な」サイバーインシデントが130%増加したと報告しています。
英国科学・産業・貿易省(DSIT)のCSR法案チーム責任者であるショナ・レスター氏は、11月24日にロンドンのウェストミンスターで開催されたサイバーセキュリティ・ビジネス・ネットワークの第1回議会&サイバー会議で、提案されている法律について詳細に語りました。
彼女は、この法案が「英国唯一のセクター横断型サイバーセキュリティ規制」であるNIS指令のいくつかの不十分な点に対処すると述べました。
英国は毎年150億ポンドをサイバー攻撃で失う
この法案は、2024年7月の国王の演説で初めて言及され、11月12日に英国政府によって下院に提出されました。
この法案は、EUのNIS2指令への英国の対応と見なされていますが、両者はともに2018年のNIS指令を基盤としています。レスター氏は、CSR法案の主な目的は「英国をより安全で、ビジネス投資にとって魅力的な場所にすること」だと強調しました。
彼女は、成人の96%がスマートフォンを所有し、10人以上の従業員を持つ企業の99%がデジタル化されたデータを扱う国において、政府は脅威の状況が急速に悪化しているのを目の当たりにしていると指摘しました。
「私たちの公共サービス、インフラ、そして経済全体が、病院、大学、地方自治体から小売業者、民主的機関、政府部門に至るまで、何度も攻撃の標的になっています」と彼女は付け加えました。
KPMGによる2025年の調査では、英国経済から毎年約150億ポンドがサイバー攻撃によって失われていることが明らかになりました。
サイバーセキュリティおよびレジリエンス法案の解説
レスター氏は、CSR法案が国民保健サービス(NHS)、交通、エネルギーネットワークなどの重要なサービスの保護に重点を置くと述べました。
議会&サイバー会議で、彼女は議会審議過程で大きな変更がない限り、法律に含まれるべきいくつかの条項を説明しました。
規制対象の拡大
法案に含まれる要件は、重要サービス運用者(OES)と見なされる4種類の組織に適用されます:
- 2024年9月から重要な国家インフラ(CNI)として認定されたデータセンター
- 政府がスマート家電の管理を指すために用いる用語である「大型負荷コントローラー」。例えば、ピーク時の電気自動車充電のサポートなど
- ITヘルプデスクやサイバーセキュリティサービスプロバイダーなどのマネージドサービスプロバイダー(MSP)。これらは初めて規制対象となり、900~1100社が新たに法の範囲に含まれます
- 英国の規制当局によって「重要サプライヤー」と指定されるその他の組織
指定されたOESは、NCSCのサイバーアセスメントフレームワーク(CAF)に基づく「適切かつ最新のセキュリティ要件」を満たす必要があるとレスター氏は述べました。
インシデント報告の強化
CSR法案は、現在のインシデント報告制度を更新し、重大な混乱を引き起こす可能性のある幅広いインシデント(事前配置型攻撃など)を対象とします。
「現状では、規制当局やNCSCは、サイバーインシデントが重大な混乱を引き起こした場合にのみ通知を受けますが、多くの場合、これは攻撃を緩和するには遅すぎます」とレスター氏は付け加えました。
CSR法案の下では、OESは以下を義務付けられます:
- インシデントを認知してから24時間以内に規制当局へ通知すること。報道によれば、OESが72時間以内に関係当局へ詳細な報告書を提出することも求められる可能性があります
- サイバーインシデントによる影響が見込まれる場合、顧客に通知すること
- 既に被害が発生したものだけでなく、重大な混乱を引き起こす可能性のあるインシデントも報告すること
「法案はまた、情報共有に関する明確性を高め、適切な場合に大規模な情報共有が可能となる条項も設けます」とレスター氏は約束しました。
規制当局の権限強化
法案は、既存の規制当局の権限および執行メカニズムを改正します。
まず、国務大臣が12の異なる規制当局に共通の目標を設定できるようになり、それぞれが重大な国家安全保障上の脅威に対して直接的かつ標的を絞った対応を取ることが認められると彼女は説明しました。
さらに、情報コミッショナー事務局(ICO)の権限も強化され、最も重要なデジタルサービスプロバイダーの特定や、サイバーリスク評価への積極的なアプローチが可能になります。
レスター氏は、執行メカニズムや制裁制度の強化について、以下の点を挙げました:
- 罰則区分の簡素化
- 最大罰金額の改正により、コンプライアンス違反に対してより高額な罰則が可能に-以前の報道では売上高に基づく罰則の可能性も示唆
最後にレスター氏は、CSR法案が採択された後、第二次立法によって迅速に更新される可能性があり、対象セクターの拡大、セキュリティ要件の更新、サードパーティリスク要件の追加などが検討されていると示唆しました。
CSR法案に対する専門家の反応
議会&サイバー会議で発言した多くの関係者は、CSR法案の適用範囲が「非常に狭い」ままであると指摘し、より広範な適用範囲や、対象組織に対するより厳格なセキュリティ要件を求める意見を表明しました。
ウェストヨークシャーNHSの最高デジタル情報責任者であるシャウカット・アリ=カーン氏は、法案がセキュリティ要件の実施メカニズムの明確化を進めることを期待すると述べ、OES、公的部門、一般市民全体にわたる教育のための別の仕組みを要望しました。
NCSCのCyber EssentialsパートナーであるIASMEコンソーシアムのCEO、エマ・フィルポット氏は、企業が基本的なサイバーセキュリティ対策を講じる仕組みを確保する方法を求め、法案で現在カバーされている組織以外にもセキュリティを拡大するメカニズムの導入を促しました。
また彼女は、サプライチェーン要件を通じて企業にセキュリティ対策の実施を促す規制の強化に賛成だと述べました。
SAPの政府関係ディレクターであるクリス・フランシス氏は、「徹底した規制影響評価」を期待しているとし、「二次立法に関する企業との義務的な協議」を求めたいと述べました。
最後に、アリ=カーン氏、フランシス氏、そして王立統合軍研究所(RUSI)のフェローであるジェン・エリス氏は、CSR法案をEU(サイバーレジリエンス法を含む)、米国、経済協力開発機構(OECD)加盟国の他の法令やベストプラクティスと整合させる必要性を強調しました。
レスター氏が会議で講演している最中、下院ビジネス・貿易委員会は、英国政府に対し経済安全保障への新たなアプローチを法律で制定するよう求める新たな報告書を発表し、サイバーやその他の脅威による国への脅威の増大を指摘しました。
翻訳元: https://www.infosecurity-magazine.com/news/key-provisions-uk-cyber-resilience/
