Lovforslaget om cybersikkerhed og modstandsdygtighed: Hvad du behøver at vide

Vejen til cyberrobusthed for britisk kritisk infrastruktur (CNI) har været lang og snoet. Regeringens NIS-regler fra 2018 er sørgeligt forældede og har begrænset omfang – baseret på et EU-direktiv fra to år tidligere. Men efter nogle positive signaler var den tidligere regerings indsats forgæves. Så det er opmuntrende, at Labour-regeringen endelig giver emnet den opmærksomhed, det fortjener.

Efter måneders venten på flere detaljer efter kongens tale, vi har nu en regeringspolitisk erklæring at dissekere. Så hvad vil lovforslaget om cybersikkerhed og modstandsdygtighed sigte mod at opnå? Og hvor udfordrende vil det være for virksomheder at overholde reglerne?

Hvorfor har vi brug for det

Storbritannien er et meget anderledes sted end det, hvor NIS-regulativerne fra 2018 blev lov. CNI, samfundet og UK PLC er mere afhængige end nogensinde af IT og digitale systemer. I de fleste organisationer har det betydet investeringer, der har øget størrelsen af ​​cyberangrebsfladen, hvilket har givet trusselsaktører en fordel. Den geopolitiske baggrund har gjort statsallierede, men plausibelt benægtelige angreb fra tredjeparter mere sandsynlige. Og det har opmuntret nationalstaterne til at udføre deres egne.

Som om nogen havde brug for at blive mindet om den potentielle indvirkning af alvorlige brud på CNI-sektorer, så husk bare det kaos, der Synnovis ransomware-angreb forårsaget sidste år – hvilket førte til tusindvis af aflyste aftaler og en kritisk blodmangel i det sydøstlige England. Det er også en påmindelse om, at forsyningskæder er et stadig mere sårbart mål for sådanne angreb. Alt for ofte rammes disse mindre organisationer hårdt af færdigheds- og ressourceudfordringer. Og mens de kæmper, er trusselsaktører Brug af AI til at gøre mere med mindre, accelererer angreb og forbedrer resultaterne.

Det faktum, at halvdelen af ​​britiske virksomheder har lagt planer for digital transformation på hylden På grund af frygten for angreb fra nationalstater er det også nødvendigt for virksomheder at forbedre cyberrobustheden. Så hvad vil der være på deres to-do-liste, når lovforslaget endelig bliver til lov?

Hvad står der i regningen?

Selvom der muligvis vil blive indført ændringer, efterhånden som lovgivningen behandles i parlamentet, har den i sin nuværende form til formål at:

Opret flere enheder inden for omfanget

Regeringen vil:

• Medtag managed service providers (MSP'er) i de nye bestemmelsers anvendelsesområde, og det anslås, at der er tale om cirka 900-1100 af disse virksomheder.
• Omfatter datacenteroperatører: omkring 182 colocation-sites og 64 operatører, plus et lille antal virksomhedsdatacentre (med kapacitet over 10 MW)
• Give regeringer og regulatorer mulighed for at fastsætte strengere krav til visse kritisk vigtige/stort påvirkende operatører af essentielle tjenester (OES), selvom de er mikrovirksomheder (medmindre de er underlagt eksisterende love om cybermodstandsdygtighed)

Styrk tilsynsmyndighederne og styrk tilsynet

Regeringen vil:

• Præciserer de "tekniske og metodologiske sikkerhedskrav", der kræves af organisationer i feltet – i tættere overensstemmelse med NIS 2 og NCSC's cybervurderingsramme (CAF)
• Udvid rapportering af hændelsesrespons til at omfatte alle hændelser, der "væsentligt påvirker et systems fortrolighed, tilgængelighed og integritet" – herunder datakompromittering, spywareangreb og ransomware. Virksomheder skal rapportere til deres tilsynsmyndighed og NCSC. Underretningskravene vil "ikke være mere byrdefulde end NIS 2": 24 timer i første omgang efterfulgt af en hændelsesrapport inden for 72 timer.
• Giv teknologiministeren bemyndigelse til at pålægge en reguleret enhed at træffe specifikke handlinger, når det anses for nødvendigt af hensyn til den nationale sikkerhed.
• Styrk ICO's informationsindsamlingsbeføjelser, så de kan identificere de mest kritiske digitale tjenesteudbydere og proaktivt vurdere deres cybersikkerhedssituation.
• Tillad tilsynsmyndigheder at fastsætte en gebyrordning, dække omkostninger eller kombinere de to for at dække håndhævelsesudgifter og andre reguleringsomkostninger.

Opret delegerede beføjelser

Regeringen har også forpligtet sig til at sikre, at loven er tilpasningsdygtig: ved at give teknologiministeren nye beføjelser til at opdatere lovgivningen for at sikre, at den er "aktuel og effektiv".

Spørgsmål, der mangler at blive besvaret

Den nonprofitorganisation CSBR, der specialiserer sig i virksomhedsmodstandsdygtighed, hilser lovforslaget velkommen, men kræver klarhed på en række spørgsmål, lige fra NIS 2-tilpasning til ICO-beføjelser.

"Udfordringen er at sikre, at en stræben efter bedre regulering af cybersikkerhedsrobusthed ikke har den utilsigtede effekt at kvæle innovation og skabe besværlige eller bureaukratiske hindringer, især for små og mellemstore virksomheder," står der. "Der er også behov for, at regeringen anerkender, at det ofte er regeringen selv, der er den mest sårbare del af systemet, som den nylige NAO-rapport tydeligt gjorde."

Oscar Tang, senior associate i Clifford Chances Tech Group, er enig i, at mange spørgsmål stadig er ubesvarede på nuværende tidspunkt, herunder grundlaget for de "tekniske og metodologiske sikkerhedskrav", som den nye lov har til formål at præcisere for organisationer inden for loven.

"Vi kan muligvis se en flerlags tilgang, der refererer til CAF som et centralt britisk benchmark, sammen med ISO og andre retningslinjer, for at sikre konsistens i praksis," fortæller han til ISMS.online. "Regeringens politiske intention bemærker vigtigheden af ​​en forholdsmæssig og agil tilgang til sikkerhed, så det er usandsynligt, at organisationer vil blive forpligtet til at genopfinde hjulet. Udnyttelse af eksisterende rammer som ISO 27001 bør bidrage til at demonstrere robust risikostyring og sikkerhedskontroller."

Will Richmond-Coggan, partner hos Freeths LLP med speciale i retssager vedrørende data og cybersikkerhed, nævner også ISO-standarder som potentielt grundlaget for, hvad der forventes i den nye britiske lov.

"Selvom regeringen er sent ude med at udarbejde lovgivning, der afspejler udviklingen i Europa omkring cybersikkerhed, som er indlejret i NIS 2-direktivet, er der nogle fordele ved dette," fortæller han ISMS.online.

"En række eksisterende informationssikkerhedsstandarder afspejler allerede det ændrede fokus under NIS 2: for eksempel ISO 27001:2022 og ISO 27302, som giver specifikke anbefalinger til at styrke en organisations cybermodstandsdygtighed. Disse vil sandsynligvis også understøtte overholdelse af lovforslaget om cybersikkerhed og modstandsdygtighed, når det træder i kraft, og for de organisationer, der allerede opererer i Europa og overholder NIS 2, vil parallellerne mellem lovgivningen sandsynligvis være nyttige."

Men for at nå frem til sand cyberrobusthed skal organisationer integrere det, de lærer ved at arbejde sig igennem ISO 27001 og andre standarder, "i virksomhedernes operationelle kerne" – hvilket vil kræve en "compliance-kultur", tilføjer Richmond-Coggan.

"I virkeligheden vil lovgivningen allerede være forældet i forhold til nogle af de risici, den har til formål at imødegå, når den træder i kraft," konkluderer han.

"Virksomheder er nødt til at bruge dette som et vækkeur til at undersøge deres samlede sikkerhedssituation, robusthed og planlægning af forretningskontinuitet, hvis de virkelig skal være forberedte på de risici, som regeringen reagerer på med denne lovgivning og dens bredere cybersikkerhedsinitiativer."