政策动态：OMB撤销软件安全认证要求与多国数据保护改革

本周政策领域传来多项重要更新。美国OMB撤销了争议较大的”通用表单”安全软件认证要求，CISA继续推进网络安全报告规则的制定，英国数据保护改革正式生效。这些发展反映了政府在网络安全监管方面的策略调整。

主要新闻

OMB撤销”通用表单”安全软件认证要求

2026年1月23日，美国管理与预算办公室（OMB）撤销了”通用表单”安全软件认证要求。该要求最初由前一届政府提出，要求软件供应商提供标准化的安全认证。OMB的这一决定标志着新政府对软件供应链安全监管策略的重大调整。

Source: OMB Rescinds the “Common Form” Secure Software Attestation Requirement

CISA就网络安全报告规则征询意见

美国网络安全与基础设施安全局（CISA）宣布将在2026年3月和4月举办一系列虚拟市政厅会议，征询行业对其即将出台的网络安全报告规则的更多反馈。这些规则将要求某些关键基础设施部门的实体向CISA报告网络安全事件。

Source: CISA Seeks Additional Feedback on Cybersecurity Reporting Rules

英国数据保护改革生效

2026年2月5日，英国《数据（使用和访问）法案》第五部分的主要数据保护改革条款正式生效。该法案于2025年6月19日获得王室批准，政府发布了分阶段实施计划。这是英国脱欧后数据保护框架的重要改革，旨在平衡数据保护与创新需求。

Source: UK: Commencement of the data protection provisions in the Data (Use and Access) Act

UK数据保护改革全面启动

英国数据保护改革于2026年2月12日全面启动，企业需要了解新的合规要求。这些改革是英国政府努力使数据保护法规更加灵活、更适应现代数字经济需求的一部分。改革涉及数据使用、访问权利和创新的多个方面。

Source: UK Data Protection And Privacy Reform Goes Live

分析

OMB撤销安全软件认证要求反映了美国政府在软件供应链安全监管方面的策略转变。这一决定的背后可能有多重考量：过于统一的认证标准可能无法适应不同类型软件的风险特征；强制认证可能增加中小软件供应商的合规负担；在供应链安全方面，业界更倾向于采用基于证据的方法而非标准化表格。无论如何，这一变化给企业带来了短期的不确定性，需要密切关注后续政策走向。

CISA的网络安全报告规则征询活动表明，关键基础设施网络安全监管仍在推进中。与OMB的决定不同，CISA专注于事件报告而非预先认证，这种基于响应的监管模式可能更容易被业界接受。关键问题包括报告门槛的设定、”涵盖实体”的定义以及与现有州级法规的协调。

英国数据保护改革代表了欧盟之外数据保护框架演进的重要案例。与欧盟GDPR相比，英国的改革试图在保护隐私和促进数据使用之间寻求更大平衡。这对于处理英国公民数据的全球企业具有重要意义，可能影响其数据保护策略和数据传输实践。

结论

全球网络安全和数据保护监管正在经历调整期。美国政府撤销了部分有争议的要求，同时推进其他领域的监管；英国则在脱欧后走出自己的数据保护道路。企业需要密切关注这些政策变化，评估对其业务的实际影响，并相应调整合规策略。在监管不确定性较高的时期，保持灵活性和持续监测政策动向比以往任何时候都更加重要。