英國推新網路安全法案 ! 強制MSP通報，擴大監管供應鏈

面對每年147億英鎊攻擊損失，英國於11月12日向國會提出《網路安全與韌性法案(Cyber Security and Resilience Bill)》，以更新2018年的《網路與資訊系統法規 (Network and Information Systems Regulations , NIS)》。此項法案首次將託管服務供應商與資料中心納入強制監管，要求24小時內通報重大網路事件，並授予科技大臣(Technology Secretary)在國家安全受威脅時的緊急介入權力，全面強化關鍵基礎設施數位防禦能力。

英國科學創新暨科技部 (Department for Science, Innovation and Technology)於11月12日宣布，政府已向國會提出《網路安全與韌性法案》，這是繼2018年《網路與資訊系統法規》後，英國首次進行跨部門網路安全法規的重大更新。新法直接回應2024年發生的多起重大網路攻擊事件，包括駭客透過託管服務供應商入侵國防部薪資系統，以及國民保健署(NHS)事件導致超過1.1萬筆醫療預約與程序中斷，估計損失達3,270萬英鎊。

MSP與資料中心首次納入強制監管範圍

新法案最關鍵的變革在於大幅擴展監管對象範圍。除了既有的醫療、供水、運輸、能源供應商及數位服務供應商(雲端運算、線上市集等)外，本法案首次將託管服務供應商(MSP)、特定資料中心營運商，以及提供負載控制服務的組織納入強制合規對象。

英國科技部特別強調，提供IT管理、IT服務台支援及網路安全服務的公司，無論服務對象是公部門或私部門組織，都將首次受到監管。由於這些MSP握有跨政府、關鍵國家基礎設施及企業網路的信任存取權限，新法要求它們必須符合明確的安全義務，包括建立完善的事件應變計畫，並在遭遇重大或潛在重大網路事件時，立即向政府及客戶通報。

此外，監管機構將有權指定對關鍵服務營運商至關重要的供應商為「關鍵供應商」，例如醫療診斷服務供應商或自來水公司的化學品供應商，這些供應商也必須符合最低安全標準要求，藉此解決供應鏈安全的薄弱環節。

建立嚴格24小時通報機制

法案建立了嚴格的事件通報時限要求。受監管組織必須在24小時內向所屬監管機構及國家網路安全中心(NCSC)通報較嚴重的網路事件，並於72小時內提交完整報告，確保政府能更快速提供支援，並建立更完整的國家級威脅情資圖像。

新法特別針對資料中心、數位服務供應商及託管服務供應商，要求這些業者在面臨重大或潛在重大攻擊時，必須立即通知可能受影響的客戶，使客戶能快速採取行動保護其業務、人員與服務。

罰則機制與緊急介入權力

法案更新了網路安全規則的執法方式，針對嚴重違規行為引進更高額的罰款機制，確保合規成本低於違規風險。更重要的是，新法授予科技大臣新權力，當英國國家安全面臨嚴重網路威脅時，可直接命令監管機構及其監管的組織(如泰晤士水務公司或國民保健署信託機構)採取特定行動，以預防或遏制攻擊。

英國政府引述的獨立研究顯示，英國平均每次「重大網路攻擊」造成超過19萬英鎊損失，全國每年總損失約達147億英鎊，相當於該國GDP的0.5%。今年9月Jaguar Land Rover遭駭被迫關閉系統的事件，更被形容為「英國史上損失最慘重的網路攻擊」，估計損失至少達19億英鎊。英國預算責任辦公室(Office for Budget Responsibility)更估計，關鍵基礎設施遭攻擊可能導致政府借款暫時增加超過300億英鎊。

該法案目前已提交英國國會，但仍須在上下兩院經歷七個階段審查才能成為正式法律。立法過程將允許透過修正案進行調整與改進，因此最終法律形式可能在國會審議過程中持續演變。