英国政府は本日、サイバーセキュリティおよびレジリエンス(CSR)法案を議会に提出し、最も重要な分野のセキュリティ態勢を強化するために、国内のサイバーセキュリティ法制を大幅に刷新することとなりました。
2024年の国王演説で初めて示唆されたサイバーセキュリティおよびレジリエンス(CSR)法案は、NIS 2018規則を基盤としています。2024年4月に元テクノロジー担当大臣ピーター・カイルによって公開された草案から大きな変更はありませんが、今回、データセンターが新たな規制の対象となることが正式に確認されました。これは、2024年9月にデータセンターが重要な国家インフラに指定されたことを受けた、予想通りの動きです。
本日の法案提出に先立ち、科学・技術・イノベーション省(DSIT)は次のように述べました。「データセンターは、患者記録や決済、メールサービス、AI開発に至るまで、英国の社会を支えています。本法案により、データセンターが規制の対象となり、強固なサイバーセキュリティ基準を満たすことが求められます。」
マネージドサービスプロバイダー(MSP)も、法案成立後には法律の適用対象となります。これは、もともとNIS 2022年改正で予定されていた変更ですが、当時は施行されませんでした。
CSR法案の適用対象となる組織や分野の全リストはまだ明文化されていませんが、現行の規則では主に2つのタイプの事業体が対象となっています:
- 重要サービス運営者(OES):デジタルインフラ、医療、エネルギー、交通、水道などの重要インフラ提供者
- 関連デジタルサービス提供者(RDSP):クラウドコンピューティング、オンラインマーケットプレイス、検索エンジンなど、その他のデジタルサービス提供者
DSITは、新たな規則が、電気自動車の充電ポイントや家庭用スマート暖房機器など、スマート家電への電力供給を管理する組織にも適用されると述べています。
政府はこの法案を「国家安全保障の大きな転換点」と位置付けており、サイバー攻撃による経済的損失を147億ポンド(193億ドル、英国GDPの約0.5%)と見積もっています。
英国国立サイバーセキュリティセンター(NCSC)のCEO、リチャード・ホーン氏は次のように述べています。「サイバー攻撃の現実世界への影響は、ここ数カ月でこれまでになく明白になっています。重要な国家インフラ全体の防御力とレジリエンスを高めるため、法制および規制権限の強化を歓迎します。」
さらなる権限強化
本日の法案では、政府が対象組織に対して特定のセキュリティ要件を発出できる新たな権限を持つ計画も確認されました。これは、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、連邦機関に対して厳しい期限で脆弱性の修正を命じる仕組みに似ています。
これらの緊急指示は、テクノロジー担当大臣リズ・ケンダルから規制当局に伝達され、国家安全保障上の脅威時には、監視の強化やシステムの隔離などが要求される場合があります。
ケンダル氏は次のように述べています。「サイバーセキュリティは国家安全保障です。この法案により、私たちの生活様式を脅かす者たちに立ち向かうことができます。私は彼らに明確なメッセージを送ります。英国は簡単な標的ではありません。」
「私たちは皆、日々のサイバー攻撃がもたらす混乱を知っています。新しい法律により、英国はこれらの脅威に対してより安全になります。NHSの予約キャンセルが減り、地域サービスやビジネスの混乱も減少し、脅威発生時の国家的な対応も迅速になります。」
新規則下での重大な違反に対する罰則は、1日あたり最大10万ポンド(13万1,000ドル)、または組織の日次売上高の10%のいずれか高い方となります。
「より深刻な」サイバー攻撃を受けた組織は、CSR法案の現行文言に基づき、24時間以内に関係当局およびNCSCに自己申告し、72時間以内に詳細な報告書を提出する義務があります。
この規則は、英国の最重要分野に対するサイバー攻撃の状況をより明確に把握し、防御側に迅速かつ実践的な助言を提供できるようにするという政府の目標の一環です。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/12/uk_cyber_security_and_resilience/
