Wielka Brytania prowadzi konsultacje w sprawie nowych środków mających na celu zwiększenie odporności cyberbezpieczeństwa brytyjskich przedsiębiorstw. Posunięcie to jest częścią wartej 2,6 miliarda funtów Narodowej Strategii Cybernetycznej i następuje po głośnych atakach cybernetycznych.
Według rządu brytyjskiego, nowe przepisy są potrzebne do podniesienia standardów bezpieczeństwa w outsourcowanych usługach IT, z których korzystają prawie wszystkie brytyjskie firmy. Dodatkowo, opublikowane propozycje obejmują usprawnienie sposobu, w jaki organizacje zgłaszają incydenty związane z cyberbezpieczeństwem.
Rząd zaproponował reformę prawa, aby zwiększyć jego elastyczność i reagować w tym samym tempie, co zmiany technologiczne. Zaproponowano również, aby Brytyjska Rada ds. Cyberbezpieczeństwa miała uprawnienia do tworzenia zestawu kwalifikacji i certyfikatów, dzięki którym osoby pracujące w dziedzinie cyberbezpieczeństwa będą mogły udowodnić, że są odpowiednio przygotowane do ochrony firm online.
Plany te są następstwem cyberataków na serwery SolarWinds i Microsoft Exchange, w których wykorzystano luki w produktach i usługach innych firm. Dodatkowo, badania przeprowadzone przez Departament Cyfryzacji, Kultury, Mediów i Sportu pokazują, że tylko 12% organizacji analizuje zagrożenia cyberbezpieczeństwa pochodzące od ich bezpośrednich dostawców, a 5% firm zajmuje się podatnościami w szerszym łańcuchu dostaw.
Julia Lopez, minister stanu ds. mediów, danych i infrastruktury cyfrowej, powiedziała:
Plany, które dziś ogłaszamy, pomogą chronić podstawowe usługi i naszą szerszą gospodarkę przed zagrożeniami cybernetycznymi. Każda brytyjska organizacja musi poważnie traktować swoją odporność cybernetyczną, ponieważ staramy się rozwijać, wprowadzać innowacje i chronić ludzi online. To nie jest opcjonalny dodatek.
Zmiany rozporządzeń NIS
Ponadto, rząd rozpoczął konsultacje w sprawie zmiany rozporządzeń dotyczących sieci i systemów informatycznych (NIS), obejmują one propozycje:
- Rozszerzenie zakresu rozporządzeń NIS w celu włączenia usług zarządzanych. Usługi te są zazwyczaj świadczone przez firmy, które zarządzają usługami IT w imieniu innych organizacji.
- Wymóg od dużych firm, aby zapewnić lepszą sprawozdawczość incydentów cybernetycznych do organów regulacyjnych, takich jak Ofcom, Ofgem i ICO, w tym wymóg powiadamiania organów regulacyjnych o wszystkich atakach cyberbezpieczeństwa, których doświadczają, a nie tylko tych, które mają wpływ na ich usługi.
- Zapewnienie rządowi możliwości dostosowania przepisów dotyczących bezpieczeństwa sieci i informacji do przyszłych potrzeb poprzez ich aktualizację, a w razie konieczności objęcie nimi w przyszłości większej liczby organizacji, które zapewniają kluczowe wsparcie dla podstawowych usług.
- Przeniesienie wszystkich istotnych kosztów ponoszonych przez organy regulacyjne w związku z egzekwowaniem rozporządzeń dotyczących bezpieczeństwa sieci i informacji z podatnika na organizacje objęte tymi przepisami, aby stworzyć bardziej elastyczny system finansowy i zmniejszyć obciążenie podatników.
- Zaktualizowanie systemu regulacyjnego w taki sposób, aby najbardziej kluczowi dostawcy usług cyfrowych w gospodarce musieli proaktywnie wykazywać ICO, że postępują zgodnie z regulacjami NIS, oraz przyjęcie bardziej łagodnego podejścia do pozostałych dostawców usług cyfrowych.
Dyrektor techniczny NCSC, Dr Ian Levy, powiedział:
Z zadowoleniem przyjmuję te proponowane aktualizacje przepisów NIS, które pomogą zwiększyć ogólną odporność Wielkiej Brytanii na cyberbezpieczeństwo. Środki te zapewnią właściwe zarządzanie ryzykiem związanym z bezpieczeństwem cybernetycznym przez organizacje i tych, na których polegają.