国家网络安全中心以重罚促进企业为网络安全做好准备

为确保欧盟成员做好面对最新网络攻击(cyber attack)的准备，欧盟于2016年8月通过关于网络与信息系统安全的NIS官方指示(NIS DirecTIve)。英国政府除了立法建立裁罚机制，希望藉由高额罚款，促使企业实行保障网络安全的最佳措施，确保关键产业能因应下一波网络攻击，让未来类似WannaCry事件的影响降至最低。

据报导，英国国家网络安全中心(NCSC)已发布NIS官方指示的指引，相关规定将于2018年5月10日生效。政府曾于2017年8~9月份先就适用于各个产业关键服务的罚款措施进行征询。

而在2018年1月的一份官方征询文件中，服务供应商再次获得保证，包括政府与主管单位(Competent Authority；CA)，将以合理的方式实施NIS官方指示，并给予各个相关组织足够时间以达到NIS官方指示的要求。

为了保护数码基础建设、能源、健康与运输等关键产业，罚款将是最终手段。企业若未建置适当的网络安全防御措施，实际罚款金额会考量企业与对应主管机关的配合程度、企业所采取的补救措施及是否同时违反其它法律，最高将可被处以1,700万英镑的罚款。

关键服务营运者(OES)将必须向各产业对应所属的政府指定CA报告网络安全事件，而呈报的依据则是政府即将订定的临界值。例如水的供应与配送，将由英国环境、食物暨农村事务部(DEFRA)处理，并由饮用水稽查处支持。

而数码基础建设将由英国通讯传播管理局(Ofcom)负责；至于云端运算服务、在线市集与查找引擎等数码服务供应商，则由英国信息管理部(ICO)主管，不过目前尚未确定是否会采用与OES相同的裁罚系统。

各个产业依照特性认定其关键服务供应者，例如在数码产业，将涵盖网域名称服务(DNS)供应商、互联网交换中心(IXP)营运商、顶级网域(TLD)名称注册机构等。 而在运输业，则将包括每年有超过1,000万旅客的机场营运组织与港务机构、大型旅客与货物船运公司、国际铁道服务商、干线铁道营运者等。