Британское правительство внесло в парламент долгожданный законопроект о кибербезопасности и защите критической инфраструктуры. Разработка документа заняла более четырех лет и сопровождалась многочисленными задержками. Закон предусматривает крупные штрафы для компаний, которые не смогут защитить свои системы от кибератак. Источник: The Record
Законопроект обязывает более широкий круг организаций в секторах критической инфраструктуры и основных услуг соблюдать повышенные стандарты кибербезопасности. Он распространяется на предприятия энергетики, транспорта, здравоохранения и водоснабжения, а также на поставщиков цифровой инфраструктуры, включая центры обработки данных и некоторые ИТ-компании.
Предыдущие правила, закрепленные в Правилах о сетях и информационных системах 2018 года, считались недостаточными для защиты от угроз, исходящих от финансово мотивированных хакеров и враждебных иностранных государств. Новый законопроект во многом повторяет инициативу 2022 года, подготовленную правительством премьер-министра Риши Сунака, которая тогда не была представлена парламенту.
Документ был принят в первом чтении и направлен на сочетание двух приоритетов: содействие экономическому росту через снижение нормативной нагрузки на бизнес и защита экономики от последствий кибератак. По оценкам, инциденты, затрагивающие отдельные компании, обходятся британской экономике в 14,7 млрд фунтов стерлингов в год, кража интеллектуальной собственности может стоить до 0,3% ВВП. Общие затраты бизнеса на соблюдение новых требований составят до 590 млн фунтов стерлингов.
Закон закроет «слепые зоны» для критически важных участников цепочек поставок, таких как диагностические компании NHS и поставщики химикатов для водоснабжения. Он даст регулирующим органам право относить их к критически важным поставщикам с обязательным соблюдением требований безопасности. В документе также предусмотрена система «загрязнитель платит», чтобы расходы на соблюдение норм не перекладывались на налогоплательщиков. Министр технологий сможет давать указания регулирующим органам и компаниям, требуя усиления мониторинга или изоляции систем высокого риска.
Закон расширяет пороговые значения для обязательного сообщения о киберинцидентах. Сообщать нужно будет о событиях, которые могут оказать существенное влияние на предоставление услуг, даже если последствия проявятся позже. Любые инциденты, влияющие на конфиденциальность, доступность и целостность систем, будут подлежать обязательной отчетности. Министр технологий Лиз Кендалл подчеркнула, что кибербезопасность — это национальная безопасность, и закон позволит противостоять попыткам нарушить образ жизни в стране.
Закон распространяет требования на поставщиков управляемых услуг, которые предоставляют ИТ-поддержку и кибербезопасность другим организациям, учитывая растущие риски уязвимостей цепочек поставок. В качестве примера приводится атака на SolarWinds, затронувшая 18 000 клиентов, хотя вредоносное ПО активировалось менее чем в 100 сетях. Организации должны оперативно информировать правительство и клиентов о серьёзных инцидентах и иметь надёжные планы реагирования.
Новые правила также регулируют крупные контроллеры нагрузки в электросетях, включая интеллектуальные сети и промышленные агрегаторы спроса, которые могут дестабилизировать работу сетей. Организации должны в течение 24 часов сообщать о наиболее опасных киберинцидентах регулирующим органам и NCSC, а полный отчёт предоставлять в течение 72 часов.
Генеральный директор NCSC Ричард Хорн отметил, что последствия кибератак стали особенно очевидны в последние месяцы, и законопроект о кибербезопасности и устойчивости является важным шагом для защиты ключевых служб страны. Критики считают, что акцент на устойчивость стимулирует лишь восстановление после атак, а не активное противодействие виновникам.
Законопроект должен быть принят обеими палатами парламента и получить королевское одобрение. Его положения вступят в силу постепенно, окончательно документ начнёт действовать только в 2027 году.
Напомним, ранее Британия обвинила российскую военную разведку в кибершпионаже.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet