はじめに

英国当局は、国内の重要インフラにおけるサイバーセキュリティ水準を向上させるため、待望の「サイバーセキュリティ・レジリエンス法案」を提出しました。この法案は、重要産業に対する最低限のサイバーセキュリティ基準の設定、インシデント報告期限の義務化、そして最近のソーシャルエンジニアリング攻撃の温床となっている特定のITサービスの規制を目的としています。

法案の主な内容

この法案が成立すれば、医療、水道、交通、エネルギーといった重要セクターへのサプライヤーは「必須」と指定され、大規模なサプライチェーンの混乱を防ぐために最低限のサイバーセキュリティ基準を満たすことが義務付けられます。また、ITサービス、サイバーセキュリティ、ITヘルプデスクサポートを提供する企業に対しても、堅牢なセキュリティ計画の策定と、重大なセキュリティインシデントの政府への迅速な報告が求められます。

さらに、この法案はより厳しい罰則を導入します。主要なサイバー侵害の場合、最大2,240万ドル（1,700万ポンド）、または規制対象組織の全世界売上高の4%に相当する罰金が科される可能性があります。比較的軽微な攻撃に対しては、年間売上高の2%の罰金が適用されます。国家安全保障上の理由からサイバー対策の強化が必要な場合、英国技術担当大臣には、規制当局に特定の措置を講じるよう強制する新たな権限が与えられます。

背景と影響

この法案は、英国当局が発表した国内のサイバー状況に関する厳しい分析を受けて提出されました。英国では、記録的な204件の国家的に重要な攻撃と、18件の極めて重大なインシデントが発生しています。サイバー攻撃の波は、英国経済に壊滅的な影響を与えており、例えば、夏の終わりに行われたジャガー・ランドローバーへのサイバー攻撃は、英国経済に約25億ドルの損失をもたらしました。

Forresterのシニアアナリストであるマデレイン・ファン・デル・ハウト氏は、「新しい英国サイバーセキュリティ・レジリエンス法案は、既存のNIS2およびGDPRフレームワークと比較して、大幅に厳しく、売上高に基づく罰則と緊急政府権限を導入しており、より厳格なサイバーセキュリティ執行の先例となるでしょう」と述べています。また、国家サイバーセキュリティセンター（NCSC）のリチャード・ホーンCEOは、事業継続への焦点の移行を呼びかけています。百貨店チェーンのマークス＆スペンサーも、4月のソーシャルエンジニアリング攻撃により4億ドルの損害を被っており、同社の会長は、重大な攻撃に対する義務的な報告要件の開発を英国当局に求めていました。

元記事: https://www.cybersecuritydive.com/news/uk-authorities-law-cyber-standards-critical-sectors/805416/