英国网络安全法案将规则扩展至关键供应商

英国网络安全法案扩展关键供应商受到 BTW Media 关注，因为公开证据将其与互联网基础设施、治理、运营依赖性及市场可见性联系起来。

• 该法案提议将 MSP 和数据中心运营商纳入网络安全管理范畴，并规定了严格的报告义务及违规可能面临的罚款。
• 它扩大了强制性事件报告的范围，以涵盖对机密性、完整性或可用性的威胁——而不仅仅是服务中断——通知必须在 24 小时内完成。

事件经过：英国政府扩大供应链中的网络义务

英国政府已提出《网络安全与弹性法案》，更新了 2018 年网络和信息系统框架。新立法显著扩大了其适用范围：托管服务提供商 (MSP)、数据中心运营商以及其他 ICT 供应商，如果为交通、医疗、能源或公共事业等关键基础设施提供支持，现在可能面临监管。

根据该法案，被指定为“关键供应商”的企业需要满足特定的网络安全标准，进行定期风险评估，并履行强制性的事件报告义务。其中一个重大变化是更严格的报告时限：公司必须在检测到重大网络威胁后 24 小时内首先通知监管机构和英国国家网络机构——即使尚未发生明显的服务中断。当局还将获得发出指令的权力，要求针对已识别的漏洞或供应链风险迅速采取行动。

该法案于 2025 年 11 月正式提交给议会。根据政府文件，这些改革反映了从近期影响医疗服务、供水系统及其他基本服务的高调网络事件中吸取的教训。

另请阅读：英国电信：政府密切关注合约期内涨价
另请阅读：Nokia 与 Telefónica Germany 延长 5G 网络协议

为什么重要

这项立法推动标志着英国对待网络风险的方式发生了重大转变——将责任从关键基础设施的运营者扩大到整个支持它们的供应链。对于 MSP、云服务提供商、数据中心运营商和其他 ICT 供应商来说，合规将很快成为强制性要求，而非自愿选择。

这一变化可能会推动对稳健网络安全实践的需求激增：更强的访问控制、供应链审计、强制性漏洞管理以及更严格的供应商监督。目前为公共服务提供商服务的公司可能会面临巨大的合规负担——但同时也有机会在韧性和信任度方面脱颖而出。

从国家安全的角度来看，该法案旨在加强支持医疗、交通和公用事业等基本服务的数字骨干。通过将更多供应商纳入监管范围，政府旨在减少对勒索软件攻击、供应链恶意软件和其他利用薄弱环节的威胁的脆弱性。

对于整个数字经济中的企业来说，这意味着网络安全不再可有可无——它将成为一项固有的合规要求。对此准备最充分的公司很可能成为英国数字未来的可信基础。