英国では、ここ10年近くで最大規模となるサイバーセキュリティ規制の抜本的な見直しが進められており、オペレーショナル・テクノロジー(OT)資産の所有者たちはその動向を注視している。 2025年11月に導入される「サイバーセキュリティ・レジリエンス法案(CSRB)」は、2018年に「ネットワーク・情報システム(NIS)規則」が施行されて以来、英国のサイバーセキュリティ規制における最大の変更となる。これは単なる枠組みの更新にとどまらず、規制当局の期待を根本的に転換し、重要インフラ事業者がサイバーリスクを管理、報告、軽減する方法を再構築するものである。
主な変更点としては、CSRBの下では、ほぼすべてのOT 「国家レジリエンス」資産として明確にその対象範囲に含まれるようになったことが挙げられる。
法案が議会を通過する過程にある今こそ、どのような要件が求められるかを見極め、準備を始めるべき時です。例えば、インシデント報告の義務化が迫っていることは既知の事実です。具体的な規定が明らかになる前に、誰がどのような決定を下すべきか、また情報がどのように共有されるべきかを検討しておくことができます。
この記事では、CSRB(サイバーセキュリティ規制法)の概要、立法プロセスにおける現在の進捗状況、および同法の主要な規定が新たに適用対象となる資産所有者にどのような意味を持つのかを解説します。また、英国国家サイバーセキュリティセンター(NCSC)のサイバー評価フレームワーク(CAF)がどのように関連しているかについても考察し、Nozomi Networks どのように準備をNetworks をご紹介します。
CSRBの理解:その概要と現状
CSRBは、2018年に英国で初めてOT 所有者に対する明確な法的責任を定めたNISを基盤としています。同法は、重要インフラの運営者が満たすべきサイバーセキュリティ対策の基準を定めました。それから8年が経過し、技術、地政学的状況、脅威の様相はいずれも変化しており、政府はその取り組みを刷新しています。
法案の細部については今後変更される可能性もあるが、その全体的な方向性は明確である。すなわち、説明責任の強化、より具体的な義務の課し、そして規制の適用範囲の拡大である。
インシデント報告、執行および監督
CSRBは、国家のレジリエンスを強化し、規制の対象範囲を拡大し、より強固かつ実効性のある一連の要件を確立することを目的とした新たな法的要件を導入しています。すでにNISの適用対象となっている組織にとって、最大の違いは、インシデント報告の義務化と、より厳格で実効性の高い罰則の導入にあります。要するに、この法案は、規制当局OT 積極的に監視・監督するために必要な権限と仕組みを付与するものです。
現在の立法状況
同法案は議会で審議が進められており、3月18日現在、下院において報告段階に入っている。立法過程において最も活発かつ影響力のある段階と広く見なされている委員会段階が終了したことで、同法案に対する最も厳しい精査と修正の時期はひとまず終わった。
CSRBの主な規定
法案の細部については今後変更される可能性もあるが、その全体的な方向性は明確である。すなわち、説明責任の強化、より具体的な義務の規定、そして規制範囲の拡大である。すでにいくつかの核心的な要素が明らかになっている:
- 適用範囲の拡大: 大規模な電力負荷を管理する事業者、データセンター、デジタルサービスプロバイダー、マネージドサービスプロバイダーなど、さらに OT 規制の対象となる見込みです。
- インシデント報告: EUのNIS2( )と同様に 、CSRBでは規制対象事業者に対するサイバーインシデントの報告義務が導入されています。具体的な閾値や報告期限についてはまだ未定ですが、資産保有者に対し、規制当局へのインシデント報告が義務付けられる見込みです。
- 罰則の強化と執行の徹底:罰則は 重く設定され、場合によってはNIS2の下でのものよりも厳格なものとなる。特に重要な点として、本法案には、規制当局が監督活動の費用を規制対象事業者から直接回収できるようにする条項が盛り込まれている。
- 国家のレジリエンスへの焦点: 物理的な混乱や安全への影響を引き起こす可能性のあるサイバー インシデントが、これまで以上に注目されている。現在では、ほぼすべてのOT 国家のレジリエンスを構成する資産と見なされている。
NCSCとCAFの整合
NCSCのCAFは、運用上の準備態勢に関する最も重要な指針であり続けています。特に、新たに適用対象となった資産所有者にとっては、かけがえのない参考資料となります。CAFの原則のうち、いくつかはCSRBへの準拠に特に関連しています。
CAF 目標 A:セキュリティリスクの管理
A3.a アセット管理
アセット管理の責任者を指名するとともに、組織 OT ライフサイクル全体にわたって完全な可視性を確保しなければなりません。機器の寿命が長く、レガシー技術が使用され、相互依存関係がOT 、そのマッピングが極めて困難であることが知られています。しかし、CSRBの要件では、リスク評価、脆弱性管理、インシデント対応を支援する、正当性が説明可能で継続的に更新される資産インベントリが必要となります。
CAF目標B:サイバー攻撃からの防御
B4.d 脆弱性管理
自社の環境にどのような脆弱性が存在し、それらが各資産にどのような影響を与えるかを把握することは不可欠です。OT 、ベンダーの多様性、OT 、および運用上の制約により、しばしば特有の性質を持ちます。脆弱性を特定、追跡、および是正するための明確に定義されたプロセスは、CSRB要件を満たすための中核的な要素です。
CAF Objective C:サイバーセキュリティ事象の検知
C1 セキュリティ監視
監視は中核となる要素です。組織は、IT環境だけでなく産業環境向けに設計されたログ記録、アラート、監視機能を維持しなければなりません。これには、SOCスタッフやサービスパートナーがOTスキルを有していることを確保することも含まれます。
C2.a 脅威ハンティング
CAFの比較的新しい要件である脅威ハンティングは、組織のリスクに見合った日常的な活動となります。OT 、これは統合されたOT において、悪意のある活動を、インテリジェンスに基づいて能動的に探索することを意味します。
Nozomi Networks どのようにNetworks
規制の変更、特にCSRBのように広範囲にわたる変更に対応することは、非常に困難に思えるかもしれません。Nozomi Networks 、CSRBおよびCAFの要件に直接沿った方法で、組織OT IoT 強化をNetworks 。
エネルギー、製造、運輸、ビル管理、そして国家の重要インフラなど幅広い分野で導入実績を持つ当社は、すでに英国OT 所有者の皆様がレジリエンスを強化し、新たな規制要件に先んじて対応できるよう支援しています。CSRBの要件が貴社にどのような影響を与えるかについて、さらに詳しく知りたい場合は、今すぐお問い合わせください。
.webp)
