2026年4月27日起,持有英国政府旗舰网络安全认证的企业若未全员启用登录验证,将直接失去认证资格——没有整改期,没有补救机会。这条新规对约5万家年认证企业意味着什么?谁会被卡住?

新规核心:从"建议整改"到"一票否决"

打开网易新闻 查看精彩图片

英国网络安全中心支持的"网络基础认证"(Cyber Essentials)由IASME机构管理,是处理敏感数据的中央政府供应商强制要求。3.3版本被评估师称为"2017年以来最重大更新"。

关键变化在于多因素认证(MFA,一种需两种以上验证方式的登录保护)。此前,未启用该功能属于可整改项;现在,若云服务提供MFA而企业未为全员开启,评估立即失败。

这包括付费升级才能获得的MFA功能。过去企业可以慢慢处理,现在这条路彻底堵死。

正方:技术升级本身并不复杂

对大多数组织而言,这是一项直接的技术项目。启用MFA、全员部署、完成认证——流程清晰,工具成熟。

从安全逻辑看,这一收紧有其合理性。云服务账户是攻击者的主要入口,强制MFA能显著降低凭证泄露风险。英国政府将认证作为供应链安全门槛,提高标准符合整体防御思路。

认证评估师、Forensic Control创始人指出,这是他从业八年来最大幅度的规则调整,暗示官方对现状的不满已积累到一定程度。

反方:特定企业面临结构性困境

问题出在"付费升级"这一条件。评估师在2025年的实际工作中发现一类特殊组织:它们使用的云服务将MFA锁定在高阶付费计划中,而迁移或升级的成本与复杂度远超"技术项目"范畴。

这些企业并非拒绝安全投入,而是被困在版本差异与合同周期里。新规没有为这类情况设置过渡机制或成本考量,一刀切的"立即失败"让它们陷入两难——要么承担意外支出,要么失去政府合同资格。

更隐蔽的压力在于认证周期。一旦本次失败,企业需等待完整周期才能重新申请,对于依赖公共部门采购的公司,这直接意味着业务中断。

判断:规则升级暴露了认证体系的张力

这次调整揭示了一个长期存在的矛盾:安全认证作为"最低门槛",其成本由谁承担?

当云厂商将基础安全功能分层售卖,政府强制要求实际上变相推高了供应商的合规成本。认证方案设计时显然优先考虑了"可验证性"而非"可达成性"——规则明确易于执行,但可能误伤被锁在旧版本中的企业。

对科技从业者而言,这一案例的价值在于观察监管如何重塑商业逻辑。五万家企业的认证状态将在明年四月集体刷新,而云服务厂商的定价策略是否会因此调整,值得持续追踪。

当安全合规从"尽力而为"变成"硬性门槛",你的供应链准备好了吗?