На днях правительство Великобритании внесло в парламент законопроект о кибербезопасности и устойчивости, пообещав, что он будет способствовать укреплению национальной безопасности и защите экономики.
Инициатива направлена на обновление Регламента Великобритании о сетях и информационных системах (NIS) 2018 года, основанного на Директиве ЕС по NIS. Последняя с тех пор была обновлена до версии NIS2, которая вводит строгие базовые требования к безопасности для операторов жизненно важных услуг (OES).
Аналогичный закон в Великобритании предлагает регулировать поставщиков управляемых услуг, наделить регуляторов полномочиями определять критически важных поставщиков, закрепить за OES управление рисками в цепочке поставок, расширить критерии информирования об инцидентах (первоначальное сообщение в течение 24 часов, а полный отчет — в течение 72 часов), обязать поставщиков цифровых услуг и центры обработки данных уведомлять клиентов, усилить полномочия Управления комиссара по информации в вопросе применения проактивного подхода к оценке киберрисков, ввести оборотные штрафы за серьёзные нарушения и так далее.
Вице-президент Cisco по взаимодействию с государственными органами в Европе Мэтт Хулихан заявил, что британским организациям срочно необходимы новые правила для защиты от сложных кибератак и угроз искусственного интеллекта: «Успех этого законопроекта будет зависеть от ясности и конкретных сроков, которые помогут организациям эффективно внедрять необходимые меры. Мы также настоятельно призываем правительство не упускать важную возможность справиться с растущими рисками, связанными с неподдерживаемым оборудованием с истекшим сроком эксплуатации — устойчиво слабым звеном британской инфраструктуры, которое слишком часто делает организации уязвимыми».
Документ ещё предстоит обсудить в парламенте, в то время как с момента вступления в силу Директивы NIS2 прошло уже почти два года. Правда, некоторые государства-члены ЕС до сих пор её не ратифицировали. В этом промежутке Великобритания столкнулась с многочисленными инцидентами, затронувшими критически важную инфраструктуру и службы, включая атаку вируса-вымогателя на поставщика NHS Synnovis и спонсируемую государством кампанию кибершпионажа, в результате которой была скомпрометирована информация всех сотрудников Министерства обороны.
По данным британского правительства, средняя стоимость «серьёзной кибератаки» в настоящее время превышает 190 тыс. фунтов стерлингов, что составляет 14,7 млрд фунтов стерлингов в год для всей экономики, или 0,5% от национального ВВП.
Руководитель NCSC Ричард Хорн обратился с призывом: «Мы должны действовать оперативно для улучшения нашей цифровой защиты и устойчивости, и новый законопроект представляет собой важнейший шаг в этом направлении. Кибербезопасность — это общая ответственность и основа процветания, поэтому все организации, независимо от их размера, должны действовать с той безотлагательностью, которую требует уровень риска».
Усам Оздемиров
