Parlamentets statsåbning er en begivenhed fyldt med den slags pomp og pragt, som Storbritannien stadig er bedre til end noget andet land. Hvad landet ikke er lige så godt til, er at give konkrete detaljer om kommende lovgivning. Kongens tale holdes bevidst vagt af den daværende regering for at sikre en vis fleksibilitet i deres planer. Når det er sagt, er der nogle klare signaler om, hvad vi kan forvente i de kommende måneder. Og usædvanligt nok i denne folketingssamling er cyber i centrum for flere lovforslag.

Fra digitale ID-kort og nye cybermodstandskrav til tættere bånd til europæisk regulering er der masser at holde sikkerheds- og compliance-teams beskæftiget i år. Her er vores oversigt over de mest bemærkelsesværdige forslag:

Lovforslaget om cybersikkerhed og resiliens

Den længe ventede opdatering af NIS-forordningerne fra 2018 fortsætter med at blive behandlet i parlamentet, med forventning om, at den bliver lov inden årets udgang. Lovforslaget om cybersikkerhed og resiliens (CSRB) vil øge antallet af organisationer inden for rammerne – inklusive managed service providers (MSP'er) og datacenteroperatører. Det vil kræve nye "passende og forholdsmæssige" sikkerhedsforanstaltninger, herunder forbedret hændelsesrapportering og risikostyring i forsyningskæden. Og det vil øge de maksimale bøder for manglende overholdelse.

Antallet af sektorer, der falder ind under den nye reguleringsordning, er dog fortsat lille sammenlignet med Europas NIS2. Spencer Starkey, EVP for SonicWall EMEA, fortæller IO (tidligere ISMS.online), at størstedelen af ​​den britiske økonomi forbliver uændret.

"EU's NIS2-direktiv kaster allerede et bredere net og dækker fremstilling, fødevareproduktion og kemikalier, som CSRB ikke gør, hvilket betyder, at multinationale selskaber muligvis allerede udfører det hårde arbejde, som CSRB ikke er designet til at udføre," foreslår han. "Regeringens virkelige satsning er pres på forsyningskæden – regulerede organisationer, der reviderer og administrerer deres leverandørers cyberstandarder og presser minimumskravene nedad uden at lovgive direkte om alle."

Regeringen har også annonceret en Initiativet om et løfte om cybermodstandsdygtighed, hvor store virksomheder blandt andet bliver bedt om at forpligte sig til at kræve Cyber ​​Essentials på tværs af deres leverandørbase. Dette kan også bidrage til at forbedre den grundlæggende sikkerhed blandt britiske virksomheder, selvom "frivillige løfter kun fungerer, når de håndhæves kommercielt", argumenterer Starkey.

Lovforslag om digital adgang til tjenester

Dette vil for første gang introducere en kontroversiel frivillig digital ID-ordning i Storbritannien. Regeringen forsøger at vinde en skeptisk offentlighed over ved at positionere den som en tidsbesparende teknologi, der vil reducere bureaukrati og forbedre offentlige tjenester. For virksomheder kan det også være gavnligt, hvis det reducerer mængden af ​​​​registre, de skal opbevare og behandle for at verificere kundernes identiteter. Det kan teoretisk set reducere identitetssvindel og endda strømline processen med at godkende tredjepartsidentitetsudbydere.

Men djævlen ligger i detaljen, ifølge Phil Cotter, administrerende direktør for SmartSearch. "Hvis det integrerer stærk biometri og liveness-detektion på kritiske betalingspunkter, kan det reducere identitetsbaseret svindel væsentligt," siger han. "Dårligt designet risikerer det at blive blot endnu en legitimationsoplysninger, der kan stjæles eller socialt manipuleres, hvilket skaber illusionen af ​​sikkerhed uden at levere den."

Der skal også besvares spørgsmål om, hvordan ordningen skal implementeres i praksis.

"Hvis et enkelt system bliver standarden for nationale identiteter på tværs af både offentlige tjenester og finansielle tjenester, vil det blive et mål med høj værdi," advarer Cotter. "En fiasko eller et kompromis ville ikke være isoleret – det kunne have en dominoeffekt for hele økonomien."

Lov om national sikkerhed

Udover at regulere voldeligt indhold online, er den mest betydningsfulde del af lovforslaget fra et cyberperspektiv de foreslåede reformer af Computer Misuse Act 1990. Loven, der blev skabt før internettet overhovedet eksisterede i sin nuværende form, er blevet bredt kritiseret for ikke at beskytte cybersikkerhedsforskere mod at blive beskyldt for ulovligheder. De nye forslag vil afhjælpe disse mangler og give juridisk dækning til sårbarhedsforskning, pentestning og mere.

"Håbet er, at vi falder over i en åben forskningsmodel, hvor alt er fair spil, så længe det rapporteres korrekt," siger William Wright, administrerende direktør for Closed Door Security, til IO. "Det vil give alle en chance for selv at måle risici og forskere/trusselsjægere en mere åben verden at operere i, hvilket fører til et bedre miljø for alle."

Michael Jepson, penetrationstestchef hos CybaVerse, tilføjer, at det kunne tilskynde SOC'er til at handle på efterretninger i stedet for at sidde på dem, og gøre det lettere og mere grundigt at godkende leverandører. "Forsyningskædens sikkerhed kunne styrkes oven i standardspørgeskemaerne og SOC2-rapporterne, hvilket ville betyde, at organisationer rent faktisk kunne verificere påstande fremsat på papir fra leverandører," fortæller han IO.

Lovforslag om modernisering af NHS

Omfattende reformer, der har til formål at forbedre patientplejen, omfatter forslag om en enkelt patientjournal (SPR). Det er en potentielt enorm sikkerhedsrisiko i betragtning af de personlige og medicinske oplysninger, den kan indeholde, argumenterer Huntress vCISO, Muhammad Yahya Patel.

"I det øjeblik data er samlet og tilgængeligt via en enkelt adgangsvej, bliver det et af de mest attraktive mål i hele Storbritanniens digitale infrastruktur," fortæller han IO. "Cyberkriminelle har fortsat med at angribe NHS og nøgleleverandører gennem årene. SPR ændrer fundamentalt eksplosionsradiusen for enhver vellykket kompromittering."

Der skal udføres risikovurderinger for at lukke huller i sikkerhed, procedurer og processer, og der skal anvendes nultrust-tilgange til identitet og adgang for at styrke offentlighedens tillid, siger Patel. Det kan bidrage til at styrke sikkerheden for en NHS-forsyningskæde, der allerede kræver Cyber ​​Essentials Plus, tilføjer han.

"Enhver organisation, der berører SPR, uanset om det drejer sig om at levere infrastruktur, software eller dataintegrationstjenester, bliver per definition en del af sikkerhedsperimeteren," siger Patel. "Det skaber et praktisk krav for NHS om at forstå og styre sikkerhedsforholdene i hele kæden."

Reformerne omfatter også afskaffelsen af ​​NHS England og overførsel af funktioner til Department of Health and Social Care (DHSC). Dette kan bidrage til at "skærpe ansvarligheden" fra et regulatorisk og forvaltningsmæssigt perspektiv, selvom det også kan medføre bureaukratiske gnidninger, advarer Patel. "Kombineret med CSRB's obligatoriske tidsfrister for indberetning af hændelser og sanktionsramme er der i det mindste en klarere håndhævelsesarkitektur end tidligere," siger han.

Lovforslag om europæisk partnerskab

Ti år efter Brexit ser det ud til, at regeringen har indset, at Storbritannien ikke kan finde sin egen vej inden for regulering uden i det mindste at tilpasse sig sine kontinentale naboer. Lovforslaget om det europæiske partnerskab har til formål at styrke båndene til EU for at fremme handel og reducere bureaukratiet.

"Regeringen vil have beføjelse til at fremskynde udviklingen af ​​reglerne for det indre marked i britisk lov uden at udløse en fuld, traditionel parlamentarisk afstemning om hver opdatering," forklarer James Clark, partner hos Spencer West LLP. Selvom de prioriterede områder for tilpasning er fødevarer og drikkevarer, energi og emissionshandel samt unges mobilitet, kan digital og cyber potentielt følge, fortæller han IO.

"Man kan argumentere for, at EU's indførelse af yderligere bureaukrati har skabt en konkurrencefordel for det mere let regulerede Storbritannien. Men i virkeligheden opererer mange virksomheder på tværs af begge markeder, hvilket betyder, at skyggen af ​​EU-regulering stadig har en væsentlig indvirkning på den britiske økonomi," fortsætter Clark. "Det er en simpel sandhed, at de fleste virksomheder, der opererer internationalt, foretrækker så meget ensartethed som muligt med hensyn til standarder."

Det er dog uklart, hvordan en tættere tilpasning på cyberområdet ville fungere, givet divergens mellem NIS2 og CSRB"I mellemtiden er der i øjeblikket ingen direkte ækvivalent til EU's lov om cybermodstandsdygtighed, som kræver, at hardware- og softwareprodukter har indbyggede sikre standarder, obligatoriske opdateringer og sårbarhedsstyring i hele deres livscyklus," påpeger Clark.

Meget mere på vej

Som det er regeringens sædvane, vil nogle af disse forslag uden tvivl blive lagt på hylden i stilhed, mens andre, der ikke er nævnt i kongens tale, dukker op. Det er også stadig for tidligt at sige, om cybersikkerhedsprofessionelle vil blive påvirket af andre lovforslag i talen, herunder lovforslaget om bekæmpelse af statslige trusler og lovforslaget om energiuafhængighed. IO vil holde nøje øje med processen, mens denne parlamentariske samling skrider frem.

Udvid din viden

Blog: Hvorfor Storbritanniens NIS-opdatering kan betyde ekstra arbejde for organisationer inden for rammerne af ordningen

Blog: Overholdelse af dataanvendelses- og adgangsloven med tillid: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer resultater

Blog: Lukning af modstandsdygtighedskløften: Hvor regeringen siger, at UK PLC stadig fejler