Wat die Wet op Kuberveiligheid en Veerkragtigheid vir Kritieke Infrastruktuur beteken

Dit het lank geneem om te kom. Nadat ek gevolg is so ver terug soos die Koning se Toespraak in 2024, die Wetsontwerp op kuberveiligheid en veerkragtigheid (CSRB) is uiteindelik by die parlement ingedien. In die tussenliggende 20 maande of so is die VK se kritieke nasionale infrastruktuur (CNI) deur 'n billike deel van groot voorvalle geteister – van die Synnovis ransomware-aanval tot die ongekende kuber-spioenasiediefstal wat die MoD teiken.

Die feit dat noodsaaklike dienstesektore 'n regulatoriese hupstoot nodig het om sekuriteit en veerkragtigheid te verbeter, is dus ongetwyfeld. Die vraag is hoe operateurs van noodsaaklike dienste (OES) en hul digitale eweknieë die ekstra voldoeningslas wat op hul pad is, kan bestuur?

Wie word gedek?

Die finale lys van organisasies wat binne die bestek val, moet nog vrygestel word. Maar dit sal sekerlik die sektore insluit wat reeds deur die NIS-regulasies 2018 gedek word, wat deur hierdie voorgestelde wet opdateer word. Dit sluit in gesondheidsorg, vervoer, energie, water en digitale infrastruktuur. Hierdie word almal as OES geklassifiseer.

Die CSRB sal ook van toepassing wees op:

• Relevante digitale diensverskaffers (RDSP's): Ander digitale diensverskaffers soos dié wat wolkrekenaars, soekenjins en aanlyn markplekke aanbied
• Datasentrumoperateurs
• Bestuurde diensverskaffers (MSP's)
• Maatskappye wat "die vloei van elektrisiteit na slim toestelle" en EV-laaipunte bestuur.

Wat is in die wetsontwerp?

Die wetgewing is steeds besig om deur die parlement te vorder. Ons sal egter waarskynlik ten minste die volgende hoofmaatreëls sien aanneem:

• Reguleerders sal bevoegdhede kry om kritieke verskaffers aan te wys wat aan minimum sekuriteitsstandaarde moet voldoen. Dit is om enige sekuriteitsgapings in die voorsieningsketting te sluit.
• OES sal vereis word om voorsieningskettingrisiko's op 'n meer proaktiewe wyse te bestuur, hoewel hierdie nuwe pligte in sekondêre wetgewing gedefinieer moet word.
• OES sal moet voldoen aan "proporsionele en opgedateerde sekuriteitsvereistes" wat uit die NCSC Cyber ​​Assessment Framework (CAF) geneem is en nou in lyn is met NIS 2.
• 'n Wyer omvang vir aanmeldbare voorvalle – om nou gebeurtenisse in te sluit "wat 'n beduidende impak op die verskaffing van 'n noodsaaklike of digitale diens kan hê" sowel as "voorvalle wat die vertroulikheid, beskikbaarheid en integriteit van 'n stelsel beduidend beïnvloed".
• Meer voorskriftelike vereistes vir voorvalrapportering: aanvanklike rapportering aan die NCSC moet nie later nie as 24 uur na 'n voorval plaasvind, gevolg deur 'n volledige verslag binne 72 uur. Digitale en datasentrumverskaffers sal ook kliënte van enige diensonderbreking moet in kennis stel.
• Die Inligtingskommissaris se Kantoor (ICO) sal nuwe magte kry om dit te help om die belangrikste digitale diensverskaffers te identifiseer en hul kuberrisiko proaktief te assesseer.
• Reguleerders sal kostes kan verhaal deur 'n nuwe fooistelsel
• Strenger strawwe sal ingestel word vir ernstige oortredings – wat styg tot £17 miljoen of 4/10% van omset.
• Die tegnologiesekretaris sal nuwe magte kry om reguleerders en OES'e opdrag te gee om spesifieke stappe te doen om aanvalle te voorkom waar daar 'n bedreiging vir nasionale veiligheid is. Dit kan insluit dat hulle kritieke stelsels opdateer of isoleer.

Tyd om gereed te maak

Alhoewel die wetgewing nog deur die parlement moet gaan, is dit onwaarskynlik dat dit veel sal verander aangesien "kuberveiligheid 'n grootliks apolitieke beleidskwessie bly", volgens Verona Johnstone-Hulse, hoof van regeringsake by NCC Group UK. Dit beteken dat sekuriteits- en voldoeningspanne vooruit kan kom deur hul voldoeningsreise nou te beplan.

"As 'n organisasie is die eerste stap om te bepaal of jy wel binne die bestek val. Vir baie sal dit relatief duidelik wees – óf omdat jy reeds gereguleer word onder die Britse NIS óf omdat jou organisasie duidelik voldoen aan die definisies en drempels van die sektore wat onder die wetsontwerp ingesluit word,” vertel sy aan ISMS.online.

“Vir daardie organisasies wat as 'kritieke verskaffers' aangewys kan word – en dus onderhewig is aan NIS-reëls – is dit dalk minder duidelik of julle die 'kritieke' drempel sal bereik. Deur julle kliënte en die tipes dienste en produkte wat julle lewer noukeurig te hersien, sal dit help om te bepaal of julle waarskynlik in die toekoms as 'kritiek' aangewys sal word.”

Rhiannon Webster, hoof van kuberveiligheid in die VK by die globale regsfirma Ashurst, stem saam dat firmas 'n voorsprong kan kry wat voldoening betref.

“Ek sou sê dat die kategorieë van nuwe persone in die omvang waarskynlik nie sal verander nie en daarom moet daardie maatskappye hul kuberreaksieplanne afstof,” sê sy vir ISMS.online. “Hulle moet voorberei vir verbeterde verslagdoeningsverpligtinge, hul kuberveiligheidsraamwerke hersien teen die verwagte vereistes, en 'n goeie blik op hul voorsieningsketting en kontrakte werp. Verpligtinge moet dalk deur verkrygingsprosesse afvloei.

NCC Groep se Johnstone-Hulse adviseer spanne om:

• Betrek vroegtydig die regering en reguleerders
• Verbeter bestuur en verantwoordbaarheid deur te verseker dat nakomingsprogramme op direksievlak ondersteun word
• Evalueer huidige voorvalreaksieprosesse en -tegnologieë om te verstaan ​​wat moontlik moet verander

Charlotte Walker-Osborn, kennisdirekteur by die regsfirma Clifford Chance, waarsku Britse organisasies wat tans onderhewig is aan NIS2 om hulle voor te berei vir 'n groter nakomingslas.

“Aangesien die omvang van die VK se Kuberveiligheid- en Veerkragtigheidswetsontwerp op verskeie maniere ietwat verskil van EU-kuberveiligheidswetgewing, sal multinasionale maatskappye met bedrywighede regoor Europa weereens moet worstel met die praktiese implikasies van die nakoming van twee verskillende stelsels,” vertel sy aan ISMS.online.

“Dit poog om in lyn te kom met dele van NIS 2, maar erken ook die VK se eie uitdagings.”

Hoe standaarde kan help

Julian Brown, besturende konsultant by NCC Group, verduidelik dat sommige van die belangrikste tegniese besonderhede nog opgeklaar moet word. Dit sluit in die "gepaste en proporsionele" sekuriteitsmaatreëls wat organisasies verwag word om te tref. Dit is waar bestaande standaarde kan help.

“Alhoewel verdere besonderhede verwag word – insluitend deur middel van 'n Praktykkode en sektorspesifieke riglyne van reguleerders – kan bestaande kuberveiligheidstandaarde en -raamwerke nakoming bevorder deur 'n gestruktureerde, ouditeerbare en internasionaal erkende benadering te bied om aan die kernvereistes van die wetsontwerp te voldoen,” sê hy vir ISMS.online.

“Deur hierdie standaarde te gebruik, skep ons ook die bewyse wat reguleerders sal verwag: risikobepalings, beleide, beheermaatreëls, statistieke en aktiwiteite vir voortdurende verbetering. ISO 27001 bied dit deur sy ISMS, die CAF deur sy uitkomsgebaseerde versekeringsmodel, NIST CSF deur sy bestuurslewensiklus, en 62443 deur sy OT-spesifieke sekuriteitsvereistes. Die aanvaarding van enige van hierdie raamwerke beteken dat 'n organisasie met vertroue kan wys dat hulle kuberrisiko op 'n proporsionele, verantwoordbare en verdedigbare manier bestuur sodra die wetgewing in werking tree.”

Daar is nog baie in die lug. Clifford Chance se Walker-Osborn sê dit is nog onduidelik of die wetsontwerp onlangs gepubliseerde planne sal insluit om lospryswarebetalings te verbied en rapportering vir sommige maatskappye te verpligtend te maak. Die omvang van die boetestelsel kan ook ter sprake wees, gegewe die haglike toestand van die ekonomie, voeg sy by.

Daar is egter beslis genoeg om mee voort te gaan. Slimmer organisasies is reeds aan die gang ISO 27001 of ander voldoeningsprogramme behoort die wetsontwerp se vereistes baie makliker te kan hanteer.