Законопроект о кибербезопасности и устойчивости
Предложение о принятии закона о кибербезопасности в Великобритании в 2024 году

17 июля 2024 года на церемонии открытия парламента было объявлено , что лейбористское правительство представит законопроект о кибербезопасности и устойчивости (CS&R). [1] Предлагаемый законопроект призван обновить существующие Правила сетевой и информационной безопасности 2018 года, известные как UK NIS. [2] CS&R укрепит киберзащиту Великобритании и ее устойчивость к враждебным атакам, тем самым гарантируя, что инфраструктура и критически важные услуги, на которые полагаются британские компании, защищены путем устранения уязвимостей , одновременно гарантируя, что цифровая экономика может обеспечить рост . [3]

Законопроект расширит сферу действия существующих правил и укрепит позиции регулирующих органов, а также повысит требования к отчетности, предъявляемые к предприятиям, чтобы помочь составить более полную картину киберугроз. [4] Его цель — укрепить киберзащиту Великобритании, гарантируя, что критически важная инфраструктура и цифровые услуги, на которые полагаются компании, защищены. [5] Законопроект будет распространяться и применяться на всей территории Великобритании. [3]

Новые законы являются частью обязательства правительства по усилению и укреплению мер кибербезопасности Великобритании и защите цифровой экономики. [6] CS&R представит всеобъемлющую нормативную базу, предназначенную для обеспечения соблюдения строгих мер кибербезопасности в различных секторах. Эта база будет включать обязательное соблюдение установленных стандартов и практик кибербезопасности для обеспечения внедрения основных мер кибербезопасности. В конечном итоге предприятиям необходимо будет продемонстрировать свою приверженность этим стандартам посредством регулярных аудитов и отчетности. [7] В законодательство также включены потенциальные механизмы возмещения затрат для предоставления ресурсов регулирующим органам и предоставления полномочий для упреждающего расследования потенциальных уязвимостей. [8]

Ключевые факты

Ключевые факты из Речи короля: [3]

i ) Действующие правила кибербезопасности NIS Великобритании играют важную роль в защите критически важной национальной инфраструктуры Великобритании, возлагая обязанности по обеспечению безопасности на промышленность, участвующую в предоставлении основных услуг. [9] Эти правила охватывают пять секторов: транспорт, энергетика, питьевая вода , здравоохранение и цифровая инфраструктура, а также некоторые цифровые услуги, включая онлайн-рынки , онлайн-поисковые системы и службы облачных вычислений. За реализацию настоящих правил отвечают 12 регулирующих органов.

ii) Враждебные кибератаки все чаще нацеливаются на критически важные секторы и цепочки поставок Великобритании. Недавние серьезные громкие атаки, затронувшие лондонские больницы и Министерство обороны , а также атаки с использованием программ-вымогателей на Британскую библиотеку и Королевскую почту , подчеркнули, что британские службы и учреждения уязвимы для атак.

iii) Последствия кибератаки на эти секторы представляют серьезные риски для граждан Великобритании, основных служб и экономики в целом. Например, в результате атаки с использованием вируса-вымогателя, затронувшей NHS в Англии в июне [2024 г.], 3396 амбулаторных приемов и 1255 плановых процедур были отложены в King's College Hospital , Guy's Hospital и St Thomas' Hospital , все в Южном Лондоне. Было подсчитано, что стоимость киберпреступности в Великобритании в 2023 г. составила 320 млрд долларов, около 225 млрд фунтов стерлингов. [10]

iv) Национальный центр кибербезопасности (NCSC) оценивает, что возросшая угроза со стороны враждебных государств и спонсируемых государством субъектов продолжает расти. В недавнем выступлении на CyberUK генеральный директор NCSC Фелисити Освальд предупредила, что поставщики основных услуг в Великобритании не могут позволить себе игнорировать эти угрозы. [11]

v) 2 обзора UK NIS после внедрения показали, что первоначальные правила оказывают положительное влияние, но прогресс недостаточно быстрый. [12] [13] В 2022 году обзор показал, что они «являются жизненно важной основой для повышения более широкой устойчивости Великобритании к угрозам безопасности сетей и информационных систем», но обновления необходимы, чтобы идти в ногу с растущими угрозами. Чуть более половины операторов основных услуг обновили или усилили существующие политики и процессы с момента принятия UK NIS Regulations в 2018 году, которые были введены после Директивы ЕС NIS 2016/1148. [2] [14]

Последствия

Он введет обязательную отчетность о программах-вымогателях, чтобы власти могли лучше понять угрозу и «предупреждать нас о потенциальных атаках, расширяя тип и характер инцидентов, о которых должны сообщать регулируемые организации». [6] [15] Хотя этот сбор информации, вероятно, повысит устойчивость к атакам, административная нагрузка для предприятий, связанная с этой отчетностью, может повлечь за собой дополнительные расходы, а также расходы на первоначальный киберинцидент. [6]

Поскольку современные методы ведения бизнеса взаимосвязаны, организации должны гарантировать, что их партнеры и поставщики также придерживаются стандартов, установленных CS&R. [6]

В ЕС первоначальная Директива о сетевой и информационной безопасности (Директива NIS 2016/1148) обновляется до Директивы 2022/2555, известной как EU NIS 2. [16] [17] EU NIS 2 вносит широкомасштабные изменения в существующие законы ЕС о кибербезопасности для сетевых и информационных систем. [16] CS&R должна привести существующие правила NIS Великобритании 2018 года в соответствие с положениями ЕС. [16] [18]

В законопроекте пока нет информации о каких-либо наказаниях за несоблюдение или о том, какими будут требования регуляторов данных к организации, столкнувшейся с инцидентом кибербезопасности. [19]

Реакция

Джон Эллисон, директор NCSC по национальной устойчивости, сказал, что предложенный законопроект является «знаменательным моментом в борьбе с растущей угрозой критически важным системам Великобритании». [20] Он продолжил, что это будет «важным шагом на пути к более всеобъемлющему режиму регулирования, подходящему для нашего нестабильного мира». [20]

Бывший глава NCSC Сиаран Мартин вместе с другими экспертами приветствовали законодательное предложение. В социальных сетях он написал, что предлагаемое законодательство кажется разумным, а обязательные требования к отчетности являются значительными и позитивными шагами. [21]

Представитель кампании CyberUp Мэтт Халл заявил, что организация с нетерпением ждет обновления правительством киберустойчивости Великобритании и, в частности, Закона о неправомерном использовании компьютеров 1990 года . Любые обновления этого Закона помогут киберспециалистам защитить Великобританию, обезопасить цифровую экономику и раскрыть потенциальный рост в индустрии кибербезопасности. [21]

Расписание

Законопроект пройдет семь стадий законодательного процесса, который проходит в обеих палатах парламента Великобритании: первое чтение, второе чтение, этап комитета, этап доклада, третье чтение, противоположная палата и королевское одобрение.

  1. 17 июля объявлен законопроект. [1]
  2. Стадия: Предварительное законодательное рассмотрение (текущее).
  3. Стадия: Первое чтение. Законопроект будет внесен в парламент в 2025 году. [22]

Смотрите также

Ссылки

  1. ^ ab Seddon, P. (15 июля 2024 г.). «Ключевые моменты в речи короля с первого взгляда». BBC News . Получено 30 июля 2024 г. .
  2. ^ ab "Речь короля: в Великобритании планируются новые законы о киберустойчивости". Pinsent Masons. 17 июля 2024 г. Получено 5 августа 2024 г.
  3. ^ abc "The King's Speech 2024" (PDF) . UK GOV. стр. 94 . Получено 30 июля 2024 г. .
  4. ^ Гриффин, А. (17 июля 2024 г.). «Лейбористы объявляют о множестве новых технологических правил, но не раскрывают широко разрекламированный «законопроект об ИИ»». Independent . Получено 30 июля 2024 г.
  5. ^ Пейтфилд, Д.; Брум, Дж.; Коллингс, А.; Цолова, Р.; Модха, Т. (19 июля 2024 г.). «Правительство объявляет о новом законопроекте по укреплению кибербезопасности и устойчивости Великобритании». techUK . Получено 30 июля 2024 г.
  6. ^ abcd «Законопроект о кибербезопасности и устойчивости: что нужно знать предприятиям и страховщикам». CMS Legal. 18 июля 2024 г. Получено 30 июля 2024 г.
  7. ^ «Что предприятиям нужно знать о законопроекте о кибербезопасности и устойчивости». ITN . 22 июля 2024 г. Получено 30 июля 2024 г.
  8. ^ "Великобритания готовится представить законопроект о кибербезопасности и устойчивости, чтобы усилить национальную кибероборону и защитить критически важную инфраструктуру". Industrial Cyber. 19 июля 2024 г. Получено 30 июля 2024 г.
  9. ^ "Правила сетей и информационных систем 2018". Crown . 10 мая 2024 . Получено 4 августа 2024 .
  10. ^ "Ежегодная стоимость киберпреступности в Великобритании в 2017-2028 годах". Ани Петросян. 1 декабря 2023 г. Получено 7 августа 2024 г.
  11. ^ "CYBERUK 2024: основная речь Фелисити Освальд". Национальный центр кибербезопасности . Май 2024 г. Получено 15 августа 2024 г.
  12. ^ «Обзор правил сетей и информационных систем». Crown . 29 мая 2020 г. Получено 2 ноября 2024 г.
  13. ^ "Второй обзор после внедрения Правил сетей и информационных систем 2018 года". Crown . 27 июля 2022 г. . Получено 15 августа 2024 г. .
  14. ^ "Директива (ЕС) 2016/1148 Европейского парламента и Совета". Crown . 6 июля 2016 г. Получено 22 августа 2024 г.
  15. ^ Muncaster, P. (18 июля 2024 г.). «Правительство Великобритании намерено представить новый законопроект о кибербезопасности и устойчивости». Reed Exhibitions . Получено 5 августа 2024 г.
  16. ^ abc Belcheva, R. (23 июля 2024 г.). «Новый законопроект о кибербезопасности и устойчивости был объявлен в речи короля». The Lens . Получено 13 августа 2024 г.
  17. ^ "Директива NIS 2". Киберриск. 2022. Получено 13 августа 2024 .
  18. ^ Пуаро, К. (12 августа 2024 г.). «Преодоление расхождений в регулировании: законопроект ЕС NIS 2 против законопроекта Великобритании о кибербезопасности и устойчивости». RELX . Получено 26 сентября 2024 г.
  19. ^ Джонс, К. (30 июля 2024 г.). «Измененный законопроект о кибербезопасности в Великобритании не мог появиться достаточно скоро, но детали отрывочны». The Register . Получено 4 августа 2024 г.
  20. ^ ab Say, M. (25 июля 2024 г.). «NCSC подчеркивает важность законопроекта о кибербезопасности». Informed Communications Ltd. Получено 29 августа 2024 г.
  21. ^ ab Akshaya, A. (17 июля 2024 г.). «UK Labour Introduces Cyber ​​Security and Resilience Bill» (Британская лейбористская партия представляет законопроект о кибербезопасности и устойчивости). Information Security Media Group . Получено 16 августа 2024 г.
  22. ^ "Законопроект о кибербезопасности и устойчивости". Crown . 30 сентября 2024 г. Получено 11 октября 2024 г. Законопроект будет представлен в парламент в 2025 г.
  • Кибербезопасность в Великобритании. Исследовательский брифинг - Библиотека Палаты общин
Retrieved from "https://en.wikipedia.org/w/index.php?title=Cyber_Security_and_Resilience_Bill&oldid=1269173763"