纽约州近日宣布推出全美首部针对饮用水和污水处理系统的强制性网络安全法规,并配套设立专项资助计划,旨在应对日益严峻的数字基础设施风险。该举措由州长凯西·霍楚尔正式公布,标志着美国水务行业在网络安全治理上迈出了里程碑式的一步。
这一监管框架源于2025年中启动的公众咨询程序,由环境保护局(DEC)与卫生部门(DOH)联合起草。随着水务运营商对联网控制系统依赖度加深,针对关键基础设施的网络漏洞担忧日益加剧。新规确立了以威胁情报为驱动、风险为核心且兼顾成本效益的最低标准,涵盖强制网络安全培训、24小时内事件报告、分级风险管控以及大型水厂设立专职网络安全负责人等关键要求。
为缓解地方水务部门预算紧张的压力,州政府启动了SECURE专项资助计划,首期投入250万美元。符合条件的公用事业企业可申请最高5万美元用于网络安全评估,或最高10万美元用于后续系统升级。该计划由环境设施公司(EFC)管理,并设立网络安全中心提供免费技术支持,确保法规与联邦环保署及网络安全与基础设施安全局的指导方针保持一致。
新规根据设施规模与复杂度设定差异化义务,要求饮用水和污水处理系统在2027年前完成全面合规,部分报告与培训要求即刻生效。对于服务人口超3300人的社区供水系统,必须执行年度漏洞评估、24小时事件报告及基础培训;服务超5万人的大型系统还需指定专职负责人并实施持续网络监控。污水处理厂则需落实多因素认证、默认凭证禁用及操作技术隔离等核心技术控制措施。
这一系列举措并非孤立存在,而是纽约州更广泛的水务基础设施投资战略的一部分。2025财年该州已拨款38亿美元支持地方水务项目,州长霍楚尔在2026年州情咨文中更提出了37.5亿美元的基础设施转型计划,显示出政府通过“法规+资金”双轮驱动提升关键基础设施韧性的决心。
对中国水务行业而言,纽约此举释放了明确信号:随着智慧水务建设加速,网络安全已从“可选项”变为“必选项”,未来需提前布局分级防护体系并关注专项政策红利,以应对日益复杂的数字安全挑战。