重磅！新修订《网络安全法》2026年1月1日实施，等保与密码行业迎来哪些关键变化？

导语

2025年10月28日，国家互联网信息办公室正式发布修订后的《中华人民共和国网络安全法》（以下简称“新版《网络安全法》”），并明确将于2026年1月1日起施行。作为我国网络安全领域的“基本法”，此次修订紧扣当前数字化发展的新挑战（如数据泄露、供应链攻击、密码滥用等），对关键条款进行了针对性强化，尤其对网络安全等级保护（等保）和商用密码应用提出了更具体、更严格的要求。作为深耕等保测评与商用密码安全的从业者，中百信第一时间梳理了新版《网络安全法》的核心变化，并结合行业实践为您划重点——这些调整将直接影响企业合规路径，更蕴含着新的市场机遇！

一、修订背景：为何此时升级？数字风险倒逼法律“迭代”

原《网络安全法》自2017年施行以来，为我国构建网络安全“四梁八柱”奠定了基础。但随着技术演进（如云计算、AI、物联网的普及）和威胁升级（如勒索软件攻击瞄准关键信息基础设施、商用密码“重使用轻管理”现象突出），原有部分条款已难以覆盖新场景。官方明确修订目标：聚焦“维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益”，重点强化对关键信息基础设施（CII）、数据安全、个人信息保护、密码技术应用的全链条监管。其中，与等保测评和商用密码直接相关的调整占比超40%，是本次修订的“重头戏”。

二、核心变化解读：等保与密码行业的“必读清单”

（一）等保测评：责任更实、标准更严、联动更强

1.等保义务主体范围扩大，覆盖更多“网络运营者”原法仅明确“关键信息基础设施运营者（CIIO）”和“网络运营者”需落实等保；新版进一步细化——所有“通过网络提供服务、存储或处理数据的组织或个人”均需履行等保责任，包括中小微企业的自有业务系统、SaaS平台、工业互联网终端等。这意味着：

· 即使企业规模小，只要涉及“网络数据交互”（如客户管理系统、线上办公平台），也需按等保要求开展定级、备案、测评；

· “应保尽保”原则强化，监管部门后续可能通过“网络资产测绘+主动抽查”压实责任，逃避等保的企业将面临更高违法成本。

2.测评要求从“合规”转向“有效”，强调动态防护能力新版明确：“网络安全等级保护制度应当与网络的安全风险相适应，定期开展风险评估和漏洞修复”。具体变化包括：

· 测评周期更灵活但更严格：不再“一刀切”要求固定年限测评，而是根据系统风险等级动态调整（如高风险系统缩短测评间隔）；

· 结果导向：监管部门将重点检查“测评发现问题的整改闭环情况”，仅拿到“合格报告”但未实际修复漏洞的企业，可能被认定为“未履行等保义务”；

· 供应链等保延伸：若企业使用第三方云服务、软件供应商的系统，需确保其等保合规性（即“供应链安全连带责任”），倒逼企业加强对供应商的安全审核。

3.网安部门监管手段升级，执法更精准新版授权网信部门可通过“网络关键设备和网络安全专用产品目录联动”“等保测评机构信用管理”等方式加强监管：

· 未通过等保测评的系统，可能被限制接入公共网络或提供公共服务；

· 测评机构若存在“虚假报告、恶意压价竞争”等行为，将被纳入黑名单并公示，直接影响市场信誉。

（二）商用密码：从“可用”到“管用”，安全与应用并重

1.密码应用“强制化”范围扩大，重点领域无例外原法对商用密码的应用要求较为原则化；新版明确：“关键信息基础设施、政务信息系统、涉及国家安全/国计民生的重要网络和信息系统，应当依法使用商用密码进行保护”，并新增：

· 金融、能源、交通、医疗等关键行业的“核心业务系统”必须采用符合国家标准的密码技术（如SM系列算法），且需通过密码应用安全性评估（密评）；

· 跨境数据传输、远程运维等高风险场景，需通过密码技术实现身份认证、数据加密和完整性保护（例如跨境业务系统必须部署国密SSL证书）。

2.密评与等保“协同联动”，形成合规闭环新版首次提出：“网络安全等级保护中涉及密码应用的，应当与商用密码应用安全性评估要求相衔接”。这意味着：

· 企业做等保测评时，若涉及密码模块（如数据库加密、身份鉴别），需同步满足密评标准（如《信息安全技术信息系统密码应用基本要求》GB/T39786-2021）；

· “等保+密评”双轨并行成为常态，单一通过等保但密码使用不合规的企业，仍可能被认定为整体不达标。

3.密码服务市场规范化，自主可控成硬指标

· 国产密码优先：新版强调“鼓励使用自主可控的商用密码技术和产品”，明确优先采购通过国家密码管理局认证的SM2/SM3/SM4等算法产品；

· 密码服务资质强化：提供密码咨询、检测、运维的企业需具备《商用密码检测机构资质证书》，无资质机构的服务可能不被认可；

· 违规处罚加重：未按要求使用商用密码或密评不合格的，最高可处营业额5%以下罚款（原法为1万-10万元），违法成本大幅提高。

三、对企业的影响与应对建议：抓住合规红利，布局新增长点

（一）企业必做的三件事

1. 全面梳理网络资产，明确等保与密码适用范围：

·检查所有业务系统（含第三方服务）是否属于“应保对象”，尤其是新纳入的小微企业自有系统、SaaS应用；

·识别关键业务环节（如用户登录、支付交易、数据存储），确认是否需要商用密码保护（特别是涉及个人信息、敏感数据的场景）。

2. 提前规划等保2.0+密评“一体化”方案：

·等保测评中主动融入密码应用设计（例如将SM4加密模块作为“安全通信网络”的必选项）；

·针对关键信息基础设施，同步开展等保三级或四级测评和密评，避免重复整改。

3. 选择合规服务商，规避连带责任：

·优先与具备“网络安全等级测评与检测评估机构服务认证证书”“商用密码检测机构资质证书”的机构合作（如我司已同时具备双资质，可提供一站式服务）；

·审核供应商的等保合规证明和密码产品认证证书（如国密局颁发的《商用密码产品认证证书》）。

（二）我们的服务升级：助您高效合规

作为专注等保测评与商用密码安全的专业机构，我们已针对新版《网络安全法》完成服务能力迭代：等保服务：提供“定级备案-差距分析-整改加固-测评辅助-持续运维”全流程支持，特别针对中小企业推出“轻量化等保套餐”；密评服务：覆盖金融、医疗、政务等重要领域的密码保护需求，提供“密码应用方案合规性咨询—密码算法合规性/正确性/有效性评估—商用密码应用安全性评估”一站式解决方案；合规咨询：免费为企业解读新版法规要点，定制“等保+密码+数据安全”融合合规路径。

结语：合规不是负担，而是竞争力的基石

新版《网络安全法》的实施，不是简单的“要求更严”，而是为数字经济筑牢安全底座的必要保障。对于等保测评和商用密码行业而言，这既是挑战（企业合规需求更复杂），更是机遇（专业服务机构价值凸显）。2026年1月1日不是终点，而是安全能力升级的起点。我们期待与您携手，以专业能力护航企业合规，以技术创新应对数字风险——毕竟，安全才是最大的商业竞争力！

（本文政策解读基于官方发布文本，具体执行以主管部门细则为准。）