Hükümet geçen yıl Kral’ın konuşmasında bir siber güvenlik ve esneklik faturası getireceklerini açıkladığından beri çok şey değişti. Jeopolitik bağlam, kurallara dayalı uluslararası düzenin uzun süredir devam eden normlarını test eden yeni Trump yönetimiyle daha kaotik hale geldi, ekonomi mücadele etmeye devam ediyor ve AI’daki yeni ilerlemeler gelişen tehdit manzarasını anlamamızı zorlaştırıyor. Böyle hızlı hareket eden bir dünyada, hükümetin bu kadar beklenen mevzuat etrafında düşüncelerini ne yönlendirmeli?
1 Nisan 2025’te Bilim İnovasyonu ve Teknolojisi Departmanı (DSIT) önerilen faturada bir ‘politika beyanı’ yayınladı. Teklifler, İngiltere’yi AB tarafından kabul edilen NIS2 çerçevesiyle hizalamak için mevcut düzenleyici rejimin önemli bir evrimi üzerine odaklanmaktadır. Politika ifadesi, tasarının ‘uygun olduğu yerlerde AB NIS 2 direktifi tarafından alınan yaklaşımla hizalanırken İngiltere’nin karşılaştığı belirli siber güvenlik zorluklarını ele alacağını’ söylüyor.
Politika ifadesi, Birleşik Krallık’ın ‘özel siber güvenlik zorlukları’ ile karşı karşıya olduğunu, ancak bu zorlukların ne olduğunu belirtmediğini; Ancak yine de kritik bir onay. İngiltere belirli siber güvenlik zorluklarıyla karşı karşıya. Yakın tarihli bir Ulusal Denetim Ofisi raporunda belirtildiği gibi NHS’mizde ve diğer hükümet alanlarında güvenlik açıklarıyla karşı karşıyayız.
Kritik ulusal altyapımızın (CNI), küresel jeopolitik rekabetin – özellikle Çin ve Rusya ile birlikte – gelişmeye devam ettiği için daha sofistike tehditlere maruz kalması muhtemeldir. Tasarı için zorluk, İngiltere’deki kritik ulusal altyapı boyunca bu ‘özel’ zorlukları ele almak için kapsamlı bir siber ve ulusal güvenlik çerçevesi sağlayabileceğidir.
Politika ifadesi, ekonomimizin kritik bir parçası olan finansal hizmetler sektörümüze atıfta bulunmamaktadır. İngiltere orijinal NIS düzenlemelerinin aktarılması özellikle finansal hizmetleri hariç tuttu. Siber güvenlik ve esneklik faturası için durum böyle olacak mı? Finansal hizmetler, sektöre özgü en güçlü güvenlik standartlarından bazılarına sahiptir ve bu standartların diğer sektörler için model olarak kullanılması gerektiği konusunda güçlü bir argüman bulunmaktadır.
Önerilerin karşılanacak unsurları vardır. Tedarik zincirlerinin esnekliğine odaklanma, yönetilen hizmet sağlayıcıların (MSP’lerin) düzenleme şemsiyesi altında getirilmesi, veri merkezlerinin CNI’mizin bir parçası olduğunu kabul etme ve yeni bir daha şeffaf olay raporlama rejimi önemli ve acil gereksinimlerdir.
Önerilen yaklaşım, daha fazla güç verilen mevcut endüstri düzenleyicileri ile ‘sektörel düzenlemelerden biridir. Böyle bir yaklaşımın tehlikesi, düzenleyici manzaranın farklı yaklaşımlarla parçalanabileceği ve parça boyunca kapsayıcı bir strateji benimsenmesidir. Hükümetin önerilen çözümü, Dışişleri Bakanı’nın sektörler arasında tutarlılık ve tutarlılık getireceğini umduğu periyodik bir ‘stratejik öncelikler beyanı’ üreteceğidir. Kilit soru, böyle bir öncelik ifadesinin nasıl geliştirileceğidir? Anlamlı hale getirmek ve ilgili olmasını ve operasyonelleştirilebilmesini sağlamak için hem düzenleyicilerle hem de endüstrinin kendisiyle derinlemesine danışma gerektirecektir.
Politika ifadesi ayrıca Bilgi Komiseri Ofisi (ICO) için yeni bir rol öngörmektedir. ‘Bu önlemin birincil amacı, ICO’nun siber riskleri gerçekleşmeden önce tanımlama ve azaltma yeteneğini artırmak, böylece saldırıları önlemek ve dijital hizmetler sektörünü gelecekteki tehditlere karşı güçlendirmektir.’ ICO’nun bu yeni sorumlulukları üstlenebilmesi için önemli yeni kaynaklara, beceri ve kapasiteye ihtiyaç duyulacaktır. Buna ek olarak, NCSC ile çoğaltmayı önlemek veya sektörel düzenleyiciler açısından gerekli dişlere sahip olmasını sağlamak için REMIT’in sıkı bir şekilde tanımlanması gerekecektir.
İfadedeki daha tartışmalı önerilerden biri, tehdit manzarasında ortaya çıkan eğilimlerle başa çıkmak için önerilen yaklaşımdır. Hükümetin önerilen çözümü, sekreter devlete, düzenlemeleri değiştirmek ve daha fazla endüstri sektörünü düzenleyici çerçevenin görevine getirmek için ‘Sekizinci Henry’ olarak bilinen şeyleri vermektir. Önerilen değişikliklerin nasıl inceleneceği belli değil, çünkü onların uygulanmaları için bir Parlamento Yasası gerektirmeyeceklerdir. Bu yukarıdan aşağıya yaklaşım genellikle hükümetler tarafından hızlı hareket eden sektörlerle karşı karşıya kaldıklarında benimsenir; Ancak bu direktif yetkilere uygun inceleme yapılması çok önemlidir.
Zorluk, daha iyi siber güvenlik esnekliği düzenlemesi aramanın, tüzük defterine ulaşmadan önce eski veya modası geçmiş olmamasını sağlamaktır. Düzenleyici çerçevenin, iş ekosistemimizdeki yeniliği gizlemeden daha iyi siber güvenlik ve dayanıklılık ihtiyacını dengelemesi gerektiği de söz konusudur. İş – büyük ve küçük – uyum ve anlayışı teşvik etmek için bu sürece aşağıdan yukarıya getirilmelidir.
Ayrıca, mevzuat ve düzenlemenin tek başına tüm sorunlarımızı çözmeyeceği de kabul edilmelidir. Mevzuatın yanı sıra, siber güvenliği ve esneklik farkındalığını, süreçlerini ve pratiğini, tehdidi ortak bir anlayışla ve ona direnmek için ortak kararlılıkla toplumumuzun kalbine yerleştirmek için yoğun bir çaba olmalıdır.
James Morris, İngiltere’de güvenlik ve esneklik için politika ve çözümler araştıran kar amacı gütmeyen bir düşünce kuruluşu olan CSBR’nin genel müdürüdür. Eski bir milletvekili, siber güvenlik ve iş esnekliği için tüm parti parlamento grubunun başkanlığını yaptı.