今年後半に施行される予定の大規模な新サイバーセキュリティ法により、英国の1000の組織に新たなコンプライアンス要件が求められることになると、政府は本日発表した。
サイバーセキュリティおよびレジリエンス法案は、EUのNIS2に対する政府の待望の回答であり、2016年の欧州NIS指令を基盤として拡張した新たな法制度である。
同指令に対する英国の解釈である「NIS規則2018」は、数年前から更新が必要とされてきた。
執筆時点では、提案されている法案に関する完全な政策声明は 公表されていない。しかし政府は、提案のすべてが採用された場合、次のことが実現すると述べた。
- データセンター運営事業者やマネージドサービスプロバイダー(MSP)を含む、より多くの組織およびサプライヤーを対象に加え、リスク評価、データ保護、ネットワークセキュリティの改善が求められる
- 規制当局に対し、セキュリティ基準の引き上げを支援するための「より多くの手段」を付与する
- より詳細なインシデント報告を義務付け、ランサムウェア侵害を含むことが見込まれる
- 脅威や技術環境の進化、新たな規制対象セクターの出現に合わせて、必要に応じて規制枠組みを更新し、目的に適合したルールとするため、政府により多くの権限を付与する
NCSCのCEOであるリチャード・ホーン氏は、この法案を「画期的な瞬間」 と表現し、水道、電力、医療など、数多くの重要インフラ分野のサイバー・レジリエンス強化に寄与すると述べた。
「これは、より強力で、より動的な規制に向けた重要な一歩です。新たに出現する脅威に追随するだけでなく、敵対者にとって可能な限り困難な状況を作り出すものでもあります」と同氏は付け加えた。
「サイバー防御を強化し、サイバーアセスメント・フレームワーク、サイバー・エッセンシャルズ、アクティブ・サイバー・ディフェンスといったNCSCのガイダンスやツールに取り組むことで、あらゆる規模の組織が、ますます高度化する課題によりよく備えられるようになるでしょう。」
サイバー・レジリエンス関連法制について詳しく読む:英国政府、新たなサイバーセキュリティおよびレジリエンス法案の導入へ
政府は、サイバー脅威により2015年から2019年の間、英国経済が年間約220億ポンドの損失を被ったと主張し、また過去1年間で企業の半数が攻撃を受け、700万件超のインシデントに相当すると述べた。
SoSafeのCSOであるアンドリュー・ローズ氏は、慎重ながらもこの立法提案を歓迎した。
「セキュリティ対策、サプライチェーン、報告、規制の強化が進むのは前向きですが、政府が『部屋の中の象』、すなわち多くのサイバー攻撃が技術的脆弱性ではなく人的脆弱性を狙っているという点に対処することが不可欠です」と同氏は付け加えた。
「職員の訓練と教育は最優先事項でなければなりません。第一の防衛線である『人』に、犯罪者を抑止するために必要なツールと知識を提供する重要性は、政府と企業の双方にとって過小評価されるべきではありません。」
翻訳元: https://www.infosecurity-magazine.com/news/cyber-security-resilience-bill/
