Birleşik Krallık hükümeti, ülkenin siber tehditlere karşı korumasını artırmak için tasarlanmış önemli bir mevzuat olan Siber Güvenlik ve Dayanıklılık Yasa Tasarısını uygulamaya koydu.
Yeni yasa, temel kamu hizmetlerinin dijital savunmasını güçlendirmeyi ve Birleşik Krallık’ın tek sektörler arası siber güvenlik yasası olan eskimiş Ağ ve Bilgi Sistemleri (NIS) Düzenlemeleri 2018’i güncellemeyi amaçlıyor.
Kapsamdaki yeni organizasyon türleri
Birleşik Krallık Bakanlığı, “Yönetilen hizmet sağlayıcılara yönelik son siber saldırılar, güncellenen yasaları açıkça ortaya koyuyor. 2024 yılında, bilgisayar korsanları, yönetilen bir hizmet sağlayıcı aracılığıyla Savunma Bakanlığı’nın maaş bordrosu sistemine erişirken, NHS’deki Synnovis olayı gibi diğer yakın tarihli saldırılar, 11.000’den fazla tıbbi randevu ve prosedürün aksamasına ve bazı tahminlerin 32,7 milyon £ tutarında maliyete yol açtığına yol açtı. Bu, siber olayların halk ve temel kamu hizmetlerimiz üzerinde yaratabileceği etkiyi net bir şekilde ortaya koyuyor.” Bilim, Yenilik ve Teknoloji için bugün not edildi.
“Tasarı hedef alıyor [organizations] Bu, perakendecilerin, hastanelerin, belediyelerin ve diğerlerinin bağımlı olduğu hizmetleri kapsama dahil ederek siber dayanıklılığı artırmada maksimum etkiye sahip olacak; temel değerleri yükseltmek binlerce işletmeyi uzun vadede koruyacak.”
Yeni tasarı, sağlık, içme suyu, ulaşım ve enerji sağlayıcıları ile dijital hizmet sağlayıcıları (bulut bilişim, çevrimiçi pazar yerleri vb.) gibi kamu hizmetlerinin yanı sıra aşağıdakileri de kapsayacak:
- Yönetilen hizmet sağlayıcılar (MSP’ler), belirli veri merkezi hizmetleri operatörleri ve yük kontrolüyle ilgili hizmetler sağlayan kuruluşlar (örneğin, evlerdeki ısıtma cihazları gibi akıllı cihazlara elektrik akışını yöneten kuruluşlar)
- Düzenleyicilerin temel hizmetlerin operatörleri açısından “kritik” olarak sınıflandırdığı tedarikçiler
Hem kamu hem de özel sektör kuruluşlarına BT yönetimi, BT yardım masası desteği ve siber güvenlik hizmetleri sağlayan şirketler ilk kez düzenlenecek.
Bakanlık, “Hükümet, kritik ulusal altyapı ve iş ağları genelinde güvenilir erişime sahip oldukları için, açık güvenlik görevlerini yerine getirmeleri gerekecek. Bu, önemli veya potansiyel olarak önemli siber olaylarını derhal hükümete ve müşterilerine bildirmeyi ve bunun yanı sıra sonuçlarıyla başa çıkmak için sağlam planlara sahip olmayı da içeriyor” dedi.
Geçen yıl kritik ulusal altyapı olarak belirlenen veri merkezleri de düzenleyici denetime tabi olacak ve “sağlam” siber güvenlik standartlarını karşılamak zorunda kalacak.
Raporlama gereksinimleri, para cezaları ve yetkiler
Bakanlık, “Kapsamdaki kuruluşların, siber tehditlere ilişkin daha güçlü bir ulusal tablo oluşturmaya yardımcı olmak amacıyla desteğin daha hızlı bir şekilde hazır olmasını sağlamak için daha fazla zararlı siber olayı düzenleyicilerine ve Ulusal Siber Güvenlik Merkezi’ne (NCSC) 24 saat içinde ve 72 saat içinde tam bir raporla bildirmeleri gerekecek” diye ekledi.
“Bir veri merkezi veya dijital ve yönetilen hizmet sağlayıcılar önemli veya potansiyel olarak önemli bir saldırıyla karşı karşıya kalırsa, kuruluşların işlerini, çalışanlarını ve hizmetlerini korumak için hızlı hareket edebilmeleri için etkilenmesi muhtemel müşterileri derhal bilgilendirmeleri gerekecek.”
Son olarak Tasarı, siber güvenlik kurallarının nasıl uygulandığını da güncelleyecek ve ciddi ihlaller için daha güçlü para cezaları getirecek ve Teknoloji Bakanı’na, Birleşik Krallık’ın ulusal güvenliğine yönelik ciddi bir siber tehdit olduğunda devreye girmesi ve düzenleyiciler ile denetledikleri kuruluşların bir saldırıyı önlemek veya kontrol altına almak için belirli eylemlerde bulunmalarını emretmesi için yeni yetkiler verecek.
Bilim, İnovasyon ve Teknoloji Bakanı Liz Kendall sözlerini şöyle tamamladı: “Günlük siber saldırıların neden olduğu aksaklıkları hepimiz biliyoruz. Yeni yasalarımız Birleşik Krallık’ı bu tehditlere karşı daha güvenli hale getirecek. Bu, daha az iptal edilen NHS randevuları, yerel hizmetlerde ve işletmelerde daha az aksama ve tehditler ortaya çıktığında daha hızlı ulusal tepki anlamına gelecektir.”
Sonra ne olacak?
Tasarı şu anda Birleşik Krallık Parlamentosu’na sunuldu ancak yasalaşması için her iki Mecliste de yedi aşamadan geçmesi gerekiyor. Süreç, değişiklikler yoluyla değişikliklere ve iyileştirmelere izin verir, dolayısıyla mevzuatın nihai şekli Parlamento’dan geçerken değişmeye devam edebilir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!