新规叠加落地，2026年等保测评进入“实质合规”严管期

2026年开年以来，网络安全等级保护测评领域迎来政策密集迭代期，修订后《网络安全法》与六项等保新标准同步实施，标志着我国等保监管正式从“形式合规”迈入“实质防护”的新阶段，成为当前行业最核心的热点议题。此前，等保测评多以条款达标为核心，部分企业存在“凑材料、临时整改”的应付式合规现象，但随着新规落地，这种模式已彻底难以为继。

修订后的《网络安全法》于2026年1月1日正式实施，最显著的变化是强化了处罚力度与责任界定。根据新法，网络运营者未履行等保义务，拒不改正或造成危害后果的，罚款金额从过去的五万元以下提升至五万元以上五十万元以下，首次明确“大量数据泄露”为“严重危害网络安全后果”的判定标准，为企业合规划出刚性红线。

与此同时，公安部批准发布的六项等保新标准于2026年2月1日生效，覆盖边缘计算、大数据、区块链、5G接入等新兴技术场景，填补了过往通用标准在细分领域的空白。例如，边缘计算场景要求覆盖物理环境、通信网络等多层面防护，大数据系统则聚焦分布式安全与数据汇聚管控，体现了监管从“一刀切”向“分类施策”的转变。

此外，测评机制的调整进一步倒逼实质合规。2025版《网络安全等级保护测评高风险判定指引》废除百分制评分，采用“符合、基本符合、不符合”三级结论体系，即便合规率超90%，若存在数据备份缺失、供应链攻击防御失效等重大隐患，仍会被判定为“基本符合”。系统备案有效期统一调整为三年，完成测评可自动延长一年，鼓励企业将安全防护融入日常运营。对于企业而言，唯有摒弃临时合规思维，构建全生命周期安全体系，才能适应新规下的严管要求。