英国政府が新たなサイバーセキュリティ法案を提出、重要インフラの防御強化へ

佐々山 Tacos

2025.11.13

英国政府が新たなサイバーセキュリティ法案を提出、重要インフラの防御強化へ

The Register – November 13, 2025

英国政府は11月12日、病院やエネルギーシステム、水道供給、交通ネットワークにおけるサイバーセキュリティ防御を強化することなどを目指す新たな法案を議会に提出。サイバー脅威が増大する中、政府はこの法案により重要サービスの停止や中断を未然に防止できるようになることを期待している。

「Cyber Security and Resilience Bill（サイバーセキュリティ・レジリエンス法案）」と名付けられたこの法案は、既存のNIS規則2018（2018年ネットワークおよび情報システム規制）を基盤とし、英国の重要サービス保護への取り組みを根本的に見直すもの。背景には、ここ数年で金銭的動機を持つハッカーや敵対する外国政府などがもたらすサイバー脅威がますます深刻化しているが、これに対抗する上でNIS規則2018では不十分であるとの認識があった。

例えば、NIS規則では、NHS（国民保健サービス）所属の病院が業務を委託している診断会社や水道事業者へ化学物質を供給する企業などの重要なサプライチェーン組織が、重要インフラ組織に課されるようなセキュリティ要件の対象となっていなかった。またNIS規則は重要セクターの組織に対するサイバーインシデントの報告要件を設けていたものの、報告が義務となるのは「重要サービスまたはデジタルサービスの継続性が中断」された場合のみ。つまり、ハッカーによる偵察活用や事前のアクセス確保（pre-positioning）など、システムを停止あるいは中断させることのないサイバーインシデントについては報告義務がない。

新たに提出されたサイバーセキュリティ・レジリエンス法案では、上記のような課題を解消し、サイバーレジリエンスを強化すべく主に以下のような変更や新ルールが提案されている。

サイバーセキュリティ基準の適用をサプライチェーン全体に拡張：これまで適用対象になっていなかったサプライチェーン上の組織を、規制当局が「重要サプライヤー」に指定できるようになる。指定された組織は、最低限のセキュリティ要件を満たす義務を負うことになる。
インシデント報告義務の強化：「重要サービスまたはデジタルサービスの提供に重大な影響を及ぼし得る事象」が発見されれば、たとえ実際にその影響が生じなくとも報告義務が生じることになる。また、「システムの機密性、可用性、完全性に重大な影響をもたらすインシデント」は報告義務の対象になる。
適用対象をMSPやデータセンターにも拡大：中〜大規模なITマネージメントサービス、ヘルプデスクサポートサービス、サイバーセキュリティサービスのプロバイダーが今回初めて義務的なセキュリティ基準の遵守を求められることになる。なお、こうした企業への規制は、ITサプライチェーン上の脆弱性によるリスクが急激に増大する中で求められるようになった。
24時間以内のインシデント報告義務：同法の適用対象となる組織には、重大インシデントの発生時に国家サイバーセキュリティセンター（NCSC）および管轄当局へ24時間以内に報告を行うこと、また72時間以内に詳細な報告書を提出することが求められることになる。
技術大臣の新たな権限：国家安全保障上の脅威が存在する場合、技術大臣には、規制当局および規制対象機関に対して例えば「監視体制の強化」や「高リスクシステムの隔離」など、具体的な措置の実施を指示する権限を与えられる。

本法案を成立させるには、両院の可決を経て国王の裁可を得る必要がある。また施行までに複数段階の猶予期間が設けられており、規定の適用は2027年まで開始されないとのこと。