SecurityWeek 的報導指出,紐約州近日開放公共諮詢,針對水與廢水系統的資安法規(Cybersecurity Regulations)進行檢視,邀請公眾於 2025 年 9 月 3 日前提出意見。此政策由紐約州衛生署(DOH)、環境保護署(DEC)暨公共服務委員會(PSC)聯合提出,並由環境設施公司(EFC)推動配套資安補助與技術協助計畫。
政策背景與目的
隨著全球基礎設施資安事件頻傳,水務系統被視為關鍵領域之一。紐約州長 Kathy Hochul 強調,水是公共健康及環境安全的根基,水系統若遭攻擊,其衝擊可能影響數百萬州民的飲用水供應。參考聯邦政府如 CISA、EPA 對 IT 和 OT(操作技術)的指引,州政府希望建立全新最低資安標準,並促使容量不同的水系統加強防護,包括網路監控、事件通報與回應計畫等系統性措施。
法規主要內容
根據 DOH、DEC 和 PSC 提案,未來法規將納入以下重點:
資安事件通報:鼓勵各級水務機構於發現資安事件後,須依規定時間通報;
資安風險評估與控管:建立正式的資安計畫,針對系統漏洞定期評估;
網路監控與日誌記錄:大型系統需有網路流量監測及日誌維護能力;
緊急事件回應與復原計畫:建立 Incident Response Plan(IRP)與 Emergency Response Plan(ERP);
操作人員資安訓練與認證:廢水系統操作人員需接受資安訓練並取得證照;
資訊/操作技術分階段達標時限:
- IT 領域:需於 2026 年 1 月 1 日前符合 PSC 規範;
- OT 領域:則要求於 2027 年 1 月 1 日前達標。
配套措施
為支持業者推動轉型,EFC 推出名為 “Strengthening Essential Cybersecurity for Utilities and Resiliency Enhancements(SECURE)” 的資安補助計畫,預算為 250 萬美元,補貼資安風險評估、強化網路防護、資安軟硬體更新等項目。同時,提供技術協助與專家諮詢,「Community Assistance Teams」可為符合條件的水務系統提供免費資安輔導與工具支援。
公眾參與與政府協作
此次法規徵詢自 2025 年 7 月起至 9 月上旬,DOH 和 PSC 開放至 9 月 14 日提交意見。目的是透過民間、公部門與資安社群多方共同介入,確保制度落地具可行性及合理性。政府官員如州首席資安官 Colin Ahern 提出,這些措施將為全州水務系統建立統一資安防護,並提高基礎設施的韌性與應變能力。
未來展望與挑戰
跨州示範效應:此舉被視為美國州級資安設計首例,或將成為其他州推動關鍵基礎設施資安的初步模板;
規模差異議題:不同規模業者/系統的負擔能力與資源落差,可能成為落實的挑戰;
公部門融合問題:需避免重複規範,並與現行聯邦政策如 EPA、CISA 對接,減少業者不必要負擔;
執行與管理制度:後續如何監管、提供補助,以及評估資安成效,都是落地後需跨界協作與動態優化的重要課題。
資料來源:https://www.securityweek.com/new-york-seeking-public-opinion-on-water-systems-cyber-regulations/