纽约州发布“全美领先”的水务行业网络安全新规
继多个关键基础设施遭遇网络攻击后,纽约州宣布启动美国首个面向水务与污水处理系统的“强制性网络安全最低标准”,意在填补该行业长期存在的防护短板。
州长凯茜·霍楚尔(Kathy Hochul)近日对外公布了这项“全美领先”的网络安全提案,目前已开启公众意见征集阶段。新规重点针对服务人口超过3,300人的社区水系统,部分条款适用于服务5万人以上的大型系统。提案要求包括:网络事件24小时强制上报、周期性员工安全培训、定期漏洞评估、访问控制与多因素认证实施、事件响应预案制定等。
设立250万美元网络安全基金
为加速政策落地,纽约州同步推出SECURE专项资助计划(Strengthening Essential Cybersecurity for Utilities and Resiliency Enhancements),首期拨款250万美元,面向水务和污水行业开放竞争性资金支持,用于风险评估和系统加固等项目。
霍楚尔州长表示,该举措旨在帮助“资源不足的实体为数字时代做好准备”,并强调:“清洁供水不仅是民生工程,更是数字安全的生命线。”
此次新规由多部门协同起草,包括卫生厅、环保厅、公共服务委员会等单位,涵盖水务、污水、公用事业及有线电视领域网络安全监管框架的统一升级。
数字化趋势下的系统性风险
近年来,水务系统数字化进程不断加快,远程访问、物联网设备与云平台的引入已成为行业新常态。2024年,美国最大的一家跨州水务公用事业机构曾遭遇严重网络攻击,影响超过1,400万用户,覆盖18个军事基地,虽未对水质构成直接威胁,但也凸显了“看似物理、实则高度依赖信息系统”的基础设施新风险图谱”。
纽约州新规也首次将NIST网络安全框架2.0六大核心功能写入水务行业法规,包括:治理、识别、防护、检测、响应、恢复。这也意味着,今后水务系统需建立起完整的网络安全闭环管理能力。
联邦监管受阻,州级先行试点
此前,拜登政府一度试图将网络安全要求纳入全国水务安全评估体系,但在多州检察长提起诉讼并获得联邦法院支持后,该项措施被迫中止,EPA最终改为“鼓励各州自愿评估”。此次纽约州的主动立法,正是地方政府在联邦监管真空背景下主动补位的重要案例。
根据规定,水务与污水系统需在2027年前完成各项网络安全合规要求,公用事业公司则须在2026年前达标。纽约州将设立专属网络安全服务中心,为地方系统提供一站式技术支持、培训与合规指引,同时扩展“社区援助团队”确保政策执行。
水务行业专家指出,行业数字化已无法回头,而网络安全防线的滞后已成为隐患之源。此次纽约州新规,不仅提供了技术标准与资金支持,更释放出一个清晰信号:网络安全正从“附加项”转变为水务行业的基础能力之一。
