英国政府は現地時間2025年11月12日、「Cyber Security and Resilience(Network and Information Systems)Bill(サイバーセキュリティとレジリエンス法案)」を議会に提出しました。2018年施行のNIS規則を抜本的に改定・拡張し、病院、エネルギー、水道、交通、データセンター、スマートエネルギー基盤など、生活を支えるサービスのサイバー防御を強化するのが狙いです。
重大なインシデントは24時間以内へ当局へ通報
今回の法案は、従来の「事業者そのもの」に加えて、IT運用管理やヘルプデスク、サイバーセキュリティといったマネージドサービス事業者にも法定のセキュリティ基準を初めて義務づけます。
重大インシデントの報告は、NCSC(国家サイバーセキュリティセンター)と所管規制当局に24時間以内に速報、72時間以内に詳細というタイムラインが定められます。さらに、規制当局は医療の検査会社や水道向け薬品供給のような「重要供給者」を指定でき、供給網に潜む弱点を最小化するための最低基準を課すことが可能になります。保護対象はデータセンターやEV充電網などのスマートエネルギーにも広がり、実態に合わせたカバレッジが図られます。
規制当局と政府の権限強化
監督面では、規制当局に積極的な脆弱性調査を可能にする権限と、監督にかかる費用を回収できる仕組みが与えられます。国家安全保障への影響が懸念される場合には、技術相(Technology Secretary)がNHSトラストや水道事業者などに対し、監視の強化やシステム隔離といった具体的な措置を指示できるようになります。これにより、平時のベースライン強化と、危機時の素早い介入の両輪でレジリエンスを高める構えです。
罰則と経済的背景
罰則は売上高に連動する形で強化され、遵守コストよりも違反の方が高くつく設計になります。政府が示した独立調査では、英国における「重大なサイバー攻撃」の平均被害額は19万ポンド超、年間合計は約147億ポンドにのぼると試算されています。
個別事例でも、今年秋の大手自動車メーカーへの攻撃が約19億ポンド規模の損失と報じられるなど、企業・公共部門の双方で打撃が顕在化。予算責任局(OBR)は、重要インフラへの大規模攻撃が発生した場合、政府の一時的な借入が300億ポンド超増える可能性にも言及しており、マクロ経済面のリスクも無視できません。
これまでの経緯と政策整合
法案は2024年の国王演説で予告され、2025年4月には制度案の詳細が公表されました。NIS規則のポストレビュー(2020年・2022年)は一定の効果を認めつつ、脅威の進化に制度改定が追いついていない点を指摘。今回の法案は、その勧告を踏まえて報告要件や監督権限、対象範囲を現実に合わせてアップデートするものです。直近では、通信各社と連携した番号なりすまし対策や、公共部門・重要インフラに対する身代金支払い禁止の方針など、関連施策も合わせて進んでいます。
実務への影響と次のアクション
MSPやSOC、ヘルプデスクなどのマネージド系事業者は、技術・組織両面の基準適合と、24/72時間報告体制の整備が急務になります。医療・水道・エネルギーのクリティカルサプライヤーに該当し得る企業は、指定に備えて最低要件や第三者評価の準備を進める必要があります。
重要インフラ運営者は、監督強化と対象拡大を前提に、監査・演習計画の更新、サプライチェーンの可視化、契約条項の見直しを並行して進めることが求められます。
最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。








