Polityka i prawo
Wielka Brytania: Kary finansowe dla operatorów infrastruktury krytycznej
Rząd Wielkiej Brytanii rozważa wprowadzenie kar rzędu 22 milionów dolarów lub 4 proc. globalnego zysku dla operatorów infrastruktury krytycznej, którzy nie przywiązują odpowiedniej wagi do cyberbezpieczestwa. Propozycja ta pojawiła się podczas dyskusji o implementacji dyrektywy Network and Information (NIS), która wymaga od państw członkowskich podjęcia szeregu kroków ukierunkowanych na wzmocnienie cyberbezpieczeństwa.
Operatorzy usług krytycznych w Wielkiej Brytanii będą zobowiązani do stworzenia strategii zarządzania ryzykiem cyberbezpieczeństwa, wprowadzenia dodatkowych środków wykrywania i przeciwdziałania atakom, informowania o incydentach bezpieczeństwa, zwiększenia świadomości bezpieczeństwa pracowników oraz posiadania zdolności do jak najszybszego przywrócenia normalnego funkcjonowania sieci i systemów po zaistniałym incydencie.
Niezależnie od tego czy dyrektywa NIS zostanie zaimplementowana do brytyjskiego porządku prawnego – w obliczu Brexitu nie jest to przesądzone – operatorzy infrastruktury krytycznej muszą opracować strategie cyberbezpieczeństwa i plany przywracania sprawności funkcjonowania systemów i sieci po skutecznym ataku. Rząd podkreśla, że kary są ostatecznym narzędziem, które zamierzazastosować. Nie dotkną one przedsiębiorstw, które odpowiednio oceniły ryzyko, wprowadziły niezbędneśrodki bezpieczeństwa i zaangażowały się w dialog ze służbami bezpieczeństwa, a mimo to zostały zaatakowane.
Czytaj też: Infrastruktura krytyczna w USA i Europie zagrożona
Plany te są częścią brytyjskiej strategii zabezpieczenia najważniejszych sieci i systemów infrastruktury krytycznej przeciwko narastającej liczbie cyberataków. Rząd chce mieć pewność, że sektory: transportu, energetyczny, zdrowia oraz infrastruktura cyfrowa będą bezpieczne przed działaniem aktorów państwowych i niepaństwowych w cyberprzestrzeni.
Rząd planuje zorganizować warsztaty z podmiotami odpowiedzialnymi za cyberbezpieczeństwo, dzięki czemu będą się oni mogli odnieść do proponowanych zmian. Konsultacje mają się też odbyć w innych obszarach, które obejmie dyrektywa NIS, takich jak sposoby audytowania w poszczególnych sektorach czy harmonogram raportowania incydentów i jak może to wpłynąć na dostawców usług cyfrowych.