2025年10月28日，第十四届全国人民代表大会常务委员会第十八次会议表决通过了关于修改《中华人民共和国网络安全法》（以下简称《网络安全法》）的决定。新规将于2026年1月1日起正式施行，这是自2017年《网络安全法》实施以来的首次重大修订，标志着我国网络安全监管进入新阶段。

监管力度空前，责任划分更精细

01

    本次修法最显著的变化是大幅提升了法律责任和处罚力度，旨在形成有效震慑。

      罚款额度飙升：对于关键信息基础设施（CII）的运营者，若因未履行安全保护义务造成关键信息基础设施“丧失主要功能”等特别严重后果，罚款上限已提高至一千万元，并对直接负责的主管人员最高处以一百万元罚款。

     建立三级处罚阶梯：新法细化了“一般违法-严重后果-特别严重后果”三级处罚体系，体现了“过罚相当”的原则，使执法更加精准。

焦关键信息基础设施，工控安全被提到新高度

0

     新法新增第三条，明确要求“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观”。总体国家安全观要求必须统筹发展与安全，加快提升关键信息基础设施保护能力水平。这意味着，作为能源、电力、交通、制造、水利等关键信息基础设施“大脑”和“神经中枢”的工业控制系统(ICS)，其工控安全已被提升至国家战略安全的高度。

     任何针对工控系统的网络攻击或破坏行为，都可能被视为对国家安全的威胁，相关监管的严肃性与执法的严厉性将远超以往。

强化供应链安全，从源头筑牢防线

     修订后的法案从产品提供和使用两个源头，全面强化了供应链安全要求。

    供应商责任：销售或提供未经安全认证、检测或不合格的网络关键设备和网络安全专用产品，将面临没收违法所得、最高处违法所得一倍以上五倍以下罚款，甚至被吊销执照的严厉处罚。

    运营单位责任：关键信息基础设施运营者违规使用未经安全审查或审查未通过的网络产品或服务，处罚措施升级为“责令限期改正、消除对国家安全的影响”。这从源头促使工业企业在采购环节将安全审查置于成本与性能考量之上。

回应技术发展，AI安全治理入法

04

     新法新增第二十条，明确国家支持人工智能发展，同时也要求“完善人工智能伦理规范，加强风险监测评估和安全监管”。

     随着AI技术在工控系统（如生产优化、预测性维护）中加速融合，新法为企业划定了“安全栅栏”。企业在享受效率提升的同时，必须同步建立针对AI应用的安全评估与监管机制，以应对AI模型自身可能带来的新型风险。

工业企业应对指南：从被动合规到主动防护

05

     面对新规，工业企业，特别是关键信息基础设施运营者，应尽快主动应对。

     立即开展合规差距分析：对标新法要求，全面梳理企业在网络安全制度、数据保护、供应链管理等方面的薄弱环节。

      构建纵深防御体系：摒弃单点防护思维，结合工控系统特点，建立覆盖边界、本体、管理的综合防护体系。

      严格供应链安全管理：建立严格的供应商安全审查流程，在采购合同中明确安全责任，确保核心工控组件安全可信。

      建立常态化安全运营机制：工控安全是持续过程，需建立专业团队，定期进行安全监测、漏洞管理、应急演练等。

结语

     《网络安全法》的修订标志着中国网络安全监管进入“严监管、高罚则、强衔接”的新阶段。对工业企业而言，被动应付监管的时代已经结束。主动将合规要求内化为企业核心能力，方能行稳致远。

     国利网安致力于携手广大工业企业，共同将严格的合规要求转化为提升安全实力的契机，通过专业的咨询、可靠的技术与持续的服务，助力客户构建主动、纵深、智能的防护体系，实现安全与发展的协同并进。