英國政府：未部署有效資安機制的關鍵產業最高可被罰7億元新台幣

英國政府周日（1/28）指出，諸如能源、交通、水力、數位基礎設施與健康照護等關鍵產業應部署有效的網路安全措施，若違反規定，最高可處以1700萬英鎊（約7.1億元新台幣）的罰款，預計於今年的5月10日實施。

英國國家網路安全中心（National Cyber Security Centre，NCSC）也在同一天出版了安全措施準則，以協助各個產業部署必要的資安機制。

該決定是基於歐盟於2016年8月通過的「網路及資訊系統指令」（Network and Information Systems Directive，NIS Directive），它也將在今年5月成為英國的正式法令。

NIS指令含有14項安全準則，涵蓋安全系統的管理、風險管理、資產管理、供應鏈的安全管理、服務保護政策、身分與存取控制、資料安全管理、系統安全、彈性的網路與系統、員工的安全意識與訓練、安全監控、異常檢測、回應及回復計畫，以及意外的改善等。

英國政府將設立不同領域的監管機構，以評估關鍵產業的安全機制，確定這些產業能夠防禦或處理日益增加的網路威脅，宣稱若按步就班地依循上述安全準則，即可成功預防諸如WannaCry或系統故障等威脅；亦將設置一個回報系統，以供業者提報各種安全事件，監管機構得以下達具法律約束力的安全改善指令，也有權施以罰款。

對於發生資安意外的企業，英國政府並不手軟，在2015年遭到駭客入侵的英國電信業者TalkTalk與英國電子零售業者Carphone Warehouse皆因外洩數百萬筆的用戶資料而被判罰了40萬英鎊（約1670萬元新台幣）。