Beş sektör, siber güvenlik bakanı Clare O’Neil tarafından dün açıklanan altyapı güvenlik kurallarını karşılamak için donanım oluşturmanın 9,9 milyar doları aşan maliyetinin neredeyse tamamını karşılayacak.
Kritik altyapı sahipleri artık risk yönetimi programı (RMP) yükümlülüğüne, bu programın kapsadığı nihai “pozitif güvenlik yükümlülüğüne” uymak zorundadır. Kritik Altyapı Yasasının Güvenliği (SoCI).
Etki Analizi Ofisi tarafından yapılan bir değerlendirmeye göre [pdf]programın devam eden maliyetleri toplam 9,9 milyar doların biraz üzerinde olacak ve bir defaya mahsus maliyetler dahil edildiğinde, 10 yıllık maliyet 11,5 milyar dolar olacak.
Maliyetlerin büyük kısmı elektrik varlıkları, gaz varlıkları, su varlıkları, veri işleme veya depolama varlıkları ve hastanelerin sahiplerine ait olacaktır.
Birlikte, bu endüstriler 10 yıl boyunca devam eden maliyetler için yılda yaklaşık 1,04 milyar dolar harcayacak.
Programın kapsadığı diğer sektörler ise yayıncılık ve alan adı; finansal piyasa altyapısı; sıvı yakıtlar; enerji piyasası operatörleri; nakliye altyapısı ve hizmetleri; ve yiyecek ve bakkal. Yıllık maliyetlerde toplamda 113 milyon doların biraz üzerinde bir maliyetle karşı karşıyalar.
Yalnızca ilk üç (elektrik, veri işleme ve hastaneler) 10 yıl boyunca devam eden yıllık 821 milyon dolarlık bir fatura ödeyecek.
17 Şubat’tan beri yürürlükte olan RMP kapsamında, kritik altyapı sahipleri bir varlığı “önemli risk” altına sokan tehlikeleri belirlemelidir; bu riski “makul olarak mümkün olduğu ölçüde” en aza indirmek veya ortadan kaldırmak; ve bir tehlikenin varlık üzerindeki etkisini azaltmak.
Bu tehlikeler hem fiziksel hem de siberdir ve hem doğrudan hem de dolaylı tehlikeleri temsil eder. Örneğin, aşırı hava durumu gaz altyapısı üzerinde doğrudan bir etkiye sahip olabilir, ancak aynı zamanda altyapıyı baskı altına alan enerji kullanımının artmasına neden olabilir.
Altyapı operatörlerinin bir RMP hazırlamak için altı ayı ve RMP’lerinde tanımlanan siber güvenlik çerçevesine uyumu sağlamak için 12 ayı vardır.
2023-2024 mali yılından itibaren, kuruluşların programa devam eden uyumlarını beyan eden, altyapılarının yıl içinde ilgili bir tehlike yaşayıp yaşamadığını, RYP’de herhangi bir değişiklik olup olmadığını açıklayan, kurul onaylı yıllık raporlar hazırlamaları gerekecek ve RYP’de özetlenen azaltmaların etkili olup olmadığı.