Birleşik Krallık hükümetinin Siber Güvenlik ve Dayanıklılık Yasa Tasarısı (CSRB) nihayet Kasım 2025’te yayınlandı ve yasanın başlatıldığı dil, hükümetin tasarıyı Britanya’nın ulusal güvenliğini ve ekonomik dayanıklılığını güçlendirme bağlamında gördüğünü gösterdi.
Tasarının ilk kez 2024 yılında Kral’ın Konuşmasında tartışılmasından bu yana, karşı karşıya olduğumuz tehdit ortamında önemli ve radikal bir değişiklik gördük. En tanınmış şirketlerimizden bazılarına yapılan yüksek profilli saldırılar, kritik ulusal altyapımızın ve ekonomik yaşamımızın merkezindeki güvenlik açıklarını gösterdi. Yapay zeka (AI) kullanımındaki hızlı ivme, angajman kurallarını da değiştirdi.
Tasarı, yeni ve güncellenmiş bir düzenleyici çerçeve oluşturmaya çalışıyor. Aynı zamanda hükümete, dışişleri bakanı aracılığıyla, düzenleyicilerin önceliklerini belirleme, ulusal güvenliği korumaya müdahale etme ve koşullar değişirse düzenlemelerin kapsamını genişletme konusunda önemli yeni kapsayıcı yetkiler veriyor. Tasarının önemli bir kısmı bu ‘Henry VIII’ maddelerinin kutsallaştırılmasına ayrılmış durumda. Hızla değişen bir ortamda, hükümetin ulusal güvenliği korumak için hızlı hareket edebilmesi gerekiyor. Ancak yasa tasarısı meclis yolculuğuna çıkarken diğer yönlendirme yetkilerinin de incelenmesi gerekiyor. Bu yukarıdan aşağıya güçlerin tehlikesi, endüstrinin, düzenlemelerin onlar tarafından şekillendirilmek yerine kendilerine yapıldığını hissedebilmesidir.
Tasarı aynı zamanda Bilgi Komiserliği Ofisi (ICO) için, örneğin yönetilen hizmet sağlayıcıların düzenlenmesi de dahil olmak üzere önemli yeni düzenleyici yetkiler öngörüyor. ICO’nun yeni rolü, düzenleyici işlevlerini yerine getirebilmesi için yeni beceriler ve kaynaklar gerektirecektir. Tasarının yarattığı düzenleyici yapı karmaşık bir dokudur. Sektörel düzenleyiciler, diğerlerinin yanı sıra dışişleri bakanı, ICO, Ofcom ve Ulusal Siber Güvenlik Merkezi (NCSC) ile birlikte yeni güncellenmiş düzenleyici ortamın başarısını veya başarısızlığını belirleyecek. Düzenleyiciler yeni ortamda konum kazanmak için yarışırken, düzenleyici çekişme olarak adlandırılabilecek bir tehlike var.
Bir diğer endişe konusu da tasarıda finansal hizmetlere herhangi bir atıf yapılmaması. Varsayım, önceki düzenleyici rejimde olduğu gibi finansal hizmetlerin hariç tutulacağı ve kendi çerçevesi altında düzenlenmeye devam edeceği yönündedir. Tasarı, kamu yasa tasarısı komitesinde daha fazla incelemeye tabi tutulurken, hükümetin tasarının bankalar ve diğer finansal hizmet altyapısını etkileyen düzenlemelerle etkileşim içinde olmasını nasıl öngördüğünü anlamak önemli olacaktır.
Çeşitli endişelere rağmen tasarıdaki birçok tedbir memnuniyetle karşılanacaktır. Ancak yeni mevzuatın amacına ulaşabilmesi için büyük ve küçük işletmelerin güvenliğimizi ve dayanıklılığımızı güçlendirmeye yönelik hayati önem taşıyan çabalara dahil olmalarını sağlamamız gerekiyor. Bu, standartları iyileştirmek için hükümet ve endüstrinin ortaklaşa çalışması anlamına gelir. Endüstrinin yeni düzenleme ortamına pasif bir alıcı olarak değil, bir katılımcı olarak katılması gerekiyor.
Ayrıca siber güvenliğimizi ve dayanıklılığımızı geliştirmek için tüm toplumun çabasına ihtiyacımız var. Yaşam tarzına yönelik giderek daha karmaşık hale gelen tehditlerle uğraşırken vatandaşların da bu mücadeledeki rollerini anlamaları gerekiyor. Mevzuat bu çabanın sadece bir kısmını oluşturuyor.
James Morris, Birleşik Krallık’ın siber güvenlik ve iş esnekliği politikası merkezi CSBR’nin genel müdürüdür.
Mevzuata uygunluk ve standart gereklilikler hakkında daha fazlasını okuyun