Brytyjski parlament zajmie się ustawą o cyberbezpieczeństwie

Projekt ustawy zakłada objęcie rygorami prawnymi takich obszarów jak szpitale, dostawcy mediów, transport publiczny oraz sektor technologii informatycznych. 

Główne założenie to przeciwdziałanie zakłóceniom wywoływanym przez cyberprzestępców oraz aktorów wspieranych przez państwa trzecie.

Po raz pierwszy regulacjami zostaną objęci również zewnętrzni usługodawcy świadczący usługi dla instytucji publicznych i prywatnych, w tym dla NHS m.in. firmy IT, help deski oraz podmioty zajmujące się cyberzabezpieczeniami. 

Zostaną oni zobowiązani do zgłaszania poważnych cyberincydentów w ciągu 24 godzin oraz do wdrożenia gotowych planów reagowania.

Nowe obowiązki i rozszerzone kompetencje regulatorów

Ustawa rozszerza zakres odpowiedzialności również na operatorów centrów danych, które będą musiały spełniać określone wymogi w zakresie bezpieczeństwa, zarówno w kontekście przechowywania danych, jak i obsługi płatności czy utrzymania ciągłości działania kluczowej infrastruktury cyfrowej.

Nowe regulacje obejmą ponadto przedsiębiorstwa zarządzające przepływem energii do inteligentnych urządzeń domowych, takich jak ładowarki pojazdów elektrycznych czy zautomatyzowane systemy grzewcze. Zmniejszy to ryzyko zakłóceń w sieci energetycznej i wzmocni bezpieczeństwo krajowego systemu elektroenergetycznego.

Istotnym elementem projektu jest także rozszerzenie kompetencji organów nadzoru. Regulatorzy uzyskają uprawnienia do wyznaczania krytycznych dostawców usług, jeżeli spełnią oni określone kryteria istotności. Dotyczy to m.in. firm dostarczających odczynniki chemiczne dla zakładów wodociągowych czy świadczących usługi diagnostyczne na rzecz sektora zdrowia.

Wzmacnianie cyberbezpieczeństwa

W obliczu rosnących cyberzagrożeń ustawa ta ma zapobiegać zakłóceniom, utrzymując ciągłość dostaw wody, działanie sieci energetycznych i transportowych oraz zapewnić, że podmioty dostarczające kluczowe usługi będą posiadały silniejsze zabezpieczenia cyfrowe.

Wzmocnieniu ulegnie również system egzekwowania przepisów. Za poważne naruszenia firmy mogą zostać ukarane grzywnami uzależnionymi od ich obrotów, tak, by nie opłacało się ignorować przepisów.

„Cyberbezpieczeństwo to bezpieczeństwo narodowe. Niniejsza ustawa pozwoli nam stawić czoła tym, którzy chcą zakłócić nasz sposób życia. Wysyłam im jasny komunikat: Wielka Brytania nie jest łatwym celem. Wszyscy wiemy, jak duże zakłócenia powodują codzienne cyberataki. Nasze nowe prawo uczyni kraj bardziej odpornym na te zagrożenia - oznacza to mniej odwołanych wizyt w NHS, mniej zakłóceń w usługach lokalnych i biznesowych oraz szybszą reakcję narodową, gdy pojawiają się zagrożenia” - powiedziała Liz Kendall, sekretarz stanu ds. nauki, innowacji i technologii.

Cyberataki coraz większym problemem

Projekt ustawy Cyber Security and Resilience Bill jest odpowiedzią na eskalujące zagrożenia w cyberprzestrzeni, które w ostatnich miesiącach miały bezpośredni wpływ na funkcjonowanie brytyjskiej gospodarki i systemu ochrony zdrowia. 

Według rządowych danych średni koszt poważnego cyberataku w Wielkiej Brytanii przekracza 190 000 funtów, a łączna roczna strata sięga niemal 15 miliardów funtów. To 0,5% PKB kraju.

Jednym z bardziej znaczących zdarzeń był cyberatak na firmę Jaguar Land Rover, który doprowadził do zakłócenia produkcji na ponad sześć tygodni. Skutki odczuły nie tylko zakłady producenta, ale także liczne podmioty z jego łańcucha dostaw. Incydent ten pokazał, jak bardzo uzależnione od stabilności systemów cyfrowych są dziś całe sektory przemysłu. Szerzej opisywaliśmy tę sprawę na łamach CyberDefence24.

Równie poważne konsekwencje miał atak na firmę Synnovis, świadczącą usługi diagnostyczne dla NHS. W jego wyniku odwołano ponad 11 000 wizyt i zabiegów, a straty finansowe oszacowano na 32,7 miliona funtów. Jak poinformował King’s College Hospital NHS Foundation Trust, zakłócenia w wykonywaniu badań laboratoryjnych, będące bezpośrednim następstwem ataku, przyczyniły się do śmierci pacjenta. Więcej informacji na ten temat znajduje się w naszym wcześniejszym materiale.