029-87607528
2026年1月1日,新版《网络安全法》正式施行。一个重要的变化,到现在还有很多企业没有充分理解:等保和密评不再是两条平行线——《网络安全法》+《密码法》+《关基商用密码使用管理规定》已形成"等保+密评"协同监管体系。处罚力度也有明显调整——从原来的1-10万,提升至最高1000万元。
一、到底改了什么?——和你有关系的四条
新修订的《网络安全法》于2025年10月28日通过,2026年1月1日起施行。这是该法自2017年实施以来的首次重大修改,涉及14项条款调整。对企业合规影响最大的,集中在这四条:
| 条款 | 旧版 | 新版变化 |
|---|---|---|
| 等保+密评协同 | 各自独立,无强制衔接 | 《网络安全法》+《密码法》+《关基商用密码使用管理规定》形成协同监管。等保涉及密码应用时需同步满足密评要求,任一不通过=整体不合规 |
| 处罚力度 | 罚款 1万—10万元 | 最高可处1000万元罚款(造成特别严重后果),可叠加停业整顿、关闭网站、吊销许可证 |
| 适用范围 | 网络运营者 | 新增电子信息发送服务提供者、应用软件下载服务提供者等特定主体,境外主体也明确纳入管辖范围 |
| 监管方式 | 被动备案为主 | 监管手段持续完善,监管部门利用技术手段对网络资产进行识别和监测的能力不断增强 |
一句话总结:合规不再是"拿到证书就完事",而是需要持续关注和投入。监管部门对网络资产的识别和监测能力也在不断增强。
二、"等保+密评"协同监管,到底强制了什么?
所谓"等保+密评协同监管",不是一部法律的规定,而是《网络安全法》+《密码法》+《关基商用密码使用管理规定》三部法规叠加后的实际效果。对企业来说,意味着四个非常具体的结果:
1.三级及以上等保系统:密码合规不再是可选项。《关基商用密码使用管理规定》明确要求,商用密码保障系统必须与关键信息基础设施同步规划、同步建设、同步运行。等保涉及密码应用时,密评不通过=整体不合规。
2.密码产品必须经检测认证。《密码法》+《商用密码管理条例》明确:不是"推荐使用国密产品"——是必须使用经国家密码管理局检测认证合格的商用密码产品和服务。
3.更多主体被纳入监管。修订新增"电子信息发送服务提供者""应用软件下载服务提供者"等主体类型;境外机构从事危害我国网络安全的活动,同样依法追责。
4.供应链连带责任。使用第三方云服务或软件供应商的系统,如果供应商不合规,采购方也要承担连带责任。这在修订中新增了对网络关键设备"销售或提供"环节的监管。
第4条值得关注。以前企业可能觉得"我用的是大厂的云服务,安全应该没问题"——现在需要确认你的供应商也合规。
三、处罚力度有什么变化?
旧版罚款是1万到10万。新版建立了阶梯式处罚体系,罚款上限大幅提高:
⚠ 关键罚则对比(依据新修订《网络安全法》第六章)
| 违规情形 | 旧版罚款 | 新版罚款 | 附加处罚 |
|---|---|---|---|
| 未履行等保义务(一般情形) | 1万—10万元 | 5万—50万元 | 警告 |
| 造成严重危害后果(大量数据泄露等) | 无专项规定 | 50万—200万元 | 对直接责任人5万—20万元 |
| 造成特别严重危害后果(CII丧失主要功能等) | 无专项规定 | 200万—1000万元 | 停业整顿/关闭网站/吊销许可证 |
简单对比一下:旧版一般情形最多罚10万 → 新版最高可达1000万。处罚上限显著提升,体现了对网络安全保护义务的更高要求。此外,系统被限制接入、网站被关闭、招投标资格被取消等附加处罚,对企业正常经营的影响也需要重视。
四、密码产品厂商可以关注的趋势
等保+密评协同监管 → 更多系统被要求使用经认证的商用密码产品 → 密码产品需求端扩大(不仅是CII单位,中小企业和SaaS平台也被纳入) → 产品认证需求增长(未取得认证证书的产品无法进入采购目录)
但有一个细节值得留意:产品认证是有周期的。随着协同监管的推进,送检量可能持续上升。检测机构的受理窗口和排期周期都在动态变化。提前完成产品认证的厂商,可能在采购目录中更早占据位置。
五、哪些企业需要关注?——自查参考
如果你的企业属于以下类型,建议了解当前的合规要求:
| 企业类型 | 紧迫程度 | 自查要点 |
|---|---|---|
| 关键信息基础设施(CII)运营者 | 重点关注 | 等保是否覆盖密码模块?密评是否已开展?使用产品是否有认证证书? |
| 政务信息系统运营者 | 重点关注 | 新建系统是否"三同步"规划密码保障?存量系统改造是否已纳入预算? |
| 密码产品厂商 | 建议关注 | 产品是否取得认证证书?是否覆盖客户需要的全部型号?认证周期是否在可控范围内? |
| SaaS平台/中小企业 | 建议关注 | 是否通过网络提供服务?是否存储用户数据?使用的云服务商密码方案是否合规? |
六、值得关注的时间节点
政策落地是逐步推进的过程。几个值得关注的时间节点:
✅ 2026年1月1日 — 新《网络安全法》正式施行
📌 2026年下半年 — 各地监管部门的执法实践逐步展开,行业关注度持续上升
📌 2027年初 — 首个完整执法年度结束,企业合规建设进入常态化阶段
📌 持续关注 — 各行业主管部门的配套细则和标准仍在制定中,新的合规要求可能陆续发布
如果你们单位还没有把密评纳入今年的计划,建议尽早启动评估。提前准备总是比临时应对从容得多。
等保+密评协同监管已经落地5个月。与其被动应对,不如主动了解——越早理清合规要求,越有助于后续的工作安排。
来源: 密安护航
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
