Veien til cyberrobusthet for britisk kritisk infrastruktur (CNI) har vært lang og kronglete. Regjeringens NIS-forskrift fra 2018 er sørgelig utdatert og har begrenset omfang – basert på et EU-direktiv fra to år tidligere. Men etter noen positive uttalelser var den forrige administrasjonens innsats forgjeves. Så det er oppmuntrende at Labour-regjeringen endelig gir emnet den oppmerksomheten det fortjener.

Etter måneder med venting på flere detaljer etter kongens tale, vi har nå en politisk uttalelse fra regjeringen å analysere. Så hva vil lovforslaget om cybersikkerhet og robusthet se ut til å oppnå? Og hvor utfordrende vil det være for bedrifter å overholde det?

Hvorfor vi trenger det

Storbritannia er et helt annet sted enn det der NIS-forskriftene fra 2018 ble lov. CNI, samfunnet og UK PLC er mer avhengige enn noensinne av IT og digitale systemer. I de fleste organisasjoner har det betydd investeringer som har økt størrelsen på cyberangrepsflaten, noe som gir trusselaktører en fordel. Det geopolitiske bakteppet har gjort statsallierte, men plausibelt benektelige angrep fra tredjeparter mer sannsynlige. Og det har gitt nasjonalstatene mod til å gjennomføre sine egne.

Som om noen trengte å bli minnet på den potensielle virkningen av alvorlige brudd på CNI-sektorer, husk bare kaoset Synnovis ransomware-angrep forårsaket i fjor – noe som førte til tusenvis av avlyste avtaler og en kritisk blodmangel i sørøst-England. Det er også en påminnelse om at forsyningskjeder er et stadig mer sårbart mål for slike angrep. Altfor ofte rammes ferdighets- og ressursutfordringer hardt i disse mindre organisasjonene. Og mens de sliter, er trusselaktørene bruker AI for å gjøre mer med mindre, akselererer angrep og forbedrer resultatene.

Det faktum at halvparten av britiske bedrifter har lagt planene for digital transformasjon på is På grunn av frykten for angrep fra nasjonalstater er det også viktig for næringslivet å forbedre cyberrobustheten. Så hva vil stå på oppgavelisten deres når lovforslaget endelig blir lov?

Hva står i regningen?

Selv om endringer kan bli innført etter hvert som den går gjennom Stortinget, har lovgivningen, slik den er nå, som mål å:

Opprett flere enheter innenfor omfanget

Regjeringen vil:

  • Inkluder administrerte tjenesteleverandører (MSP-er) i virkeområdet for de nye bestemmelsene, anslår at det er omtrent 900–1100 av disse firmaene.
  • Inkluderer datasenteroperatører: rundt 182 samlokaliseringssteder og 64 operatører, pluss et lite antall bedriftsdatasentre (med kapasitet over 10 MW)
  • Gjør det mulig for myndigheter og regulatorer å sette strengere krav til visse kritisk viktige/stort innflytelsesrike operatører av essensielle tjenester (OES), selv om de er mikrobedrifter (med mindre de er underlagt eksisterende lover om cyberrobusthet)

Styrk regulatorer og forbedre tilsynet

Regjeringen vil:

  • Avklare de «tekniske og metodologiske sikkerhetskravene» som kreves av organisasjoner innenfor rammen – i større grad samsvar med NIS 2 og NCSCs Cyber ​​Assessment Framework (CAF)
  • Utvid rapportering av hendelsesrespons til å omfatte alle hendelser som «vesentlig påvirker konfidensialiteten, tilgjengeligheten og integriteten til et system» – inkludert datakompromittering, spionprogramangrep og løsepengevirus. Bedrifter må rapportere til sin regulator og NCSC. Varslingskravene vil være «ikke mer byrdefulle enn NIS 2»: 24 timer i utgangspunktet etterfulgt av en hendelsesrapport innen 72 timer.
  • Gi teknologiministeren myndighet til å gi en regulert enhet mandat til å iverksette spesifikke tiltak når det anses nødvendig for nasjonal sikkerhet.
  • Forbedre ICO-enes informasjonsinnsamlingskrefter slik at de kan identifisere de viktigste leverandørene av digitale tjenester og proaktivt vurdere deres cybersikkerhetssituasjon.
  • La regulatorer fastsette et gebyrregime, dekke kostnader eller kombinere de to for å dekke håndhevingsutgifter og andre regulatoriske kostnader.

Opprett delegerte fullmakter

Regjeringen har også forpliktet seg til å sikre at loven er tilpasningsdyktig: ved å gi teknologisekretæren nye fullmakter til å oppdatere lovgivningen for å sikre at den er «aktuell og effektiv».

Spørsmål som gjenstår å svare på

Den ideelle spesialisten i forretningsrobusthet, CSBR, ønsker lovforslaget velkommen, men krever klarhet på en rekke spørsmål, alt fra NIS 2-tilpasning til ICO-fullmakter.

«Utfordringen er å sørge for at det å søke bedre regulering av cybersikkerhetens robusthet ikke har den utilsiktede effekten at det kveler innovasjon og skaper byrdefulle eller byråkratiske hindringer, spesielt for små og mellomstore bedrifter», står det. «Det er også behov for at myndighetene erkjenner at det er myndighetene selv som ofte er den mest sårbare delen av systemet, slik den ferske NAO-rapporten gjorde det klart.»

Oscar Tang, senior medarbeider i Clifford Chances teknologigruppe, er enig i at mange spørsmål fortsatt er ubesvart på dette stadiet, inkludert grunnlaget for de «tekniske og metodologiske sikkerhetskravene» den nye loven tar sikte på å avklare for organisasjoner innenfor dette området.

«Vi kan komme til å se en flerlags tilnærming som refererer til CAF som en sentral britisk referansestandard, sammen med ISO og andre retningslinjer, for å sikre konsistens i praksis», sier han til ISMS.online. «Regjeringens politiske intensjon bemerker viktigheten av en proporsjonal og smidig tilnærming til sikkerhet, så det er usannsynlig at organisasjoner vil bli pålagt å finne opp hjulet på nytt. Å utnytte eksisterende rammeverk som ISO 27001 bør bidra til å demonstrere robust risikostyring og sikkerhetskontroller.»

Will Richmond-Coggan, partner i Freeths LLP som spesialiserer seg på data- og cybersikkerhetstvister, nevner også ISO-standarder som potensielt grunnlaget for hva som forventes i den nye britiske loven.

«Selv om regjeringen er sent ute med å utarbeide lovgivning som gjenspeiler utviklingen i Europa rundt cybersikkerhet som er innebygd i NIS 2-direktivet, er det noen fordeler med dette», sier han til ISMS.online.

«En rekke eksisterende informasjonssikkerhetsstandarder gjenspeiler allerede det endrede fokuset under NIS 2: for eksempel ISO 27001:2022 og ISO 27302, som gir spesifikke anbefalinger for å styrke en organisasjons cyberrobusthet. Disse vil sannsynligvis også støtte samsvar med lovforslaget om cybersikkerhet og robusthet når det trer i kraft, og for de organisasjonene som allerede opererer i Europa og følger NIS 2, vil parallellene mellom lovgivningen sannsynligvis være nyttige.»

For å oppnå ekte cyberrobusthet må imidlertid organisasjoner integrere det de lærer ved å jobbe gjennom ISO 27001 og andre standarder «i den operative kjernen av virksomhetene» – noe som vil kreve en «samsvarskultur», legger Richmond-Coggan til.

«I sannhet vil lovgivningen allerede være utdatert i forhold til noen av risikoene den er ment å håndtere, når den trer i kraft», konkluderer han.

«Bedrifter må bruke dette som en vekker for å undersøke sin helhetlige sikkerhetstilstand, robusthet og planlegging for forretningskontinuitet hvis de skal være virkelig forberedt på risikoene som myndighetene reagerer på med denne lovgivningen og dens bredere cybersikkerhetsinitiativer.»