עס איז שוין לאַנג געקומען. נאָכדעם וואָס מען האָט עס נאָכגעפאָלגט. אזוי ווייט צוריק ווי דער קעניגס רעדע אין 2024, די סייבער זיכערהייט און ריזיליאַנס ביל (CSRB) איז ענדלעך פארגעשטעלט געוואָרן אין פּאַרלאַמענט. אין די צווישן-צוואַנציק חדשים אָדער אַזוי, איז די בריטישע קריטישע נאַציאָנאַלע אינפֿראַסטרוקטור (CNI) געשלאָגן געוואָרן דורך איר טייל פון גרויסע אינצידענטן – פֿון די סיננאָוויס ראַנסאָמווער אטאקע צו די אומגעזעהענע סייבער-שפּיאָנאַזש גנייווע וואָס צילט די מיניסטעריום פון דיפענס.

דער פאַקט אַז CNI סעקטאָרן דאַרפֿן אַ רעגולאַטאָרישן שטופּ צו פֿאַרבעסערן זיכערהייט און ווידערשטאַנד איז דעריבער נישט אין קיין ספק. די פֿראַגע איז ווי קענען אָפּעראַטאָרן פֿון עסענציעלע סערוויסעס (OES) און זייערע דיגיטאַלע קאָלעגן פֿאַרוואַלטן די עקסטרע קאָמפּליאַנס לאַסט וואָס קומט אויף זיי?

וועמען דעקט עס?

די לעצטע ליסטע פון ​​אָרגאַניזאַציעס וואָס זענען אין דער פאַרנעם איז נאָך נישט ארויסגעגעבן געוואָרן. אָבער זי וועט זיכער אַרייַננעמען די סעקטאָרן וואָס זענען שוין באדעקט דורך די NIS רעגולאַציעס 2018, וואָס דער פֿאָרגעלייגטער געזעץ דערהייַנטיקט. זיי אַרייַננעמען געזונטהייט, טראַנספּאָרטאַציע, ענערגיע, וואַסער און דיגיטאַלע אינפֿראַסטרוקטור. די זענען אַלע קלאַסיפֿיצירט ווי OES.

די CSRB וועט אויך אָנווענדן צו:

  • באַטייַטיקע דיגיטאַלע סערוויס פּראַוויידערז (RDSPs): אַנדערע דיגיטאַלע סערוויס פּראַוויידערז, אַזאַ ווי די וואָס פאָרשלאָגן וואָלקן קאַמפּיוטינג, זוכמאַשינען און אָנליין מאַרקפּלעצער
  • דאַטן צענטער אָפּעראַטאָרן
  • געראטן סערוויס פּראַוויידערז (MSPs)
  • קאָמפּאַניעס וואָס פאַרוואַלטן "דעם פלוס פון עלעקטריע צו קלוגע אַפּפּליאַנסעס" און EV טשאַרדזשינג פונקטן.

וואָס איז אין די ביל?

די געסעצ - געבונג גייט נאך אלץ דורך דעם פארלאמענט. אבער מיר וועלן מסתמא זען כאטש די פאלגנדע הויפט מיטלען אנגענומען:

  • רעגולאַטאָרן וועלן באַקומען כוחות צו באַשטימען קריטישע סאַפּלייערז וואָס מוזן טרעפן מינימום זיכערהייט סטאַנדאַרדן. דאָס איז צו פאַרמאַכן קיין סאַפּליי קייט זיכערהייט גאַפּס.
  • OES וועט זיין פארלאנגט צו פירן סאַפּליי טשיין ריסקס אין אַ מער פּראָאַקטיוו שטייגער, כאָטש די נייע פליכטן וועלן דאַרפֿן צו זיין דעפינירט אין צווייטיק געזעץ.
  • OES וועט דאַרפֿן צו טרעפֿן "פּראָפּאָרציאָנעלע און אַרויף-צו-דאַטע זיכערהייט רעקווירעמענץ" גענומען פֿון די NCSC סייבער אַסעסמאַנט פריימווערק (CAF) און ענג אַליינד צו NIS 2
  • א ברייטערע פארנעם פאר מעלדבארע אינצידענטן – איצט אריינצונעמען געשעענישן "וואס קענען האבן א באדייטנדע ווירקונג אויף דער צושטעל פון א וויכטיגע אדער דיגיטאלע סערוויס" ווי אויך "אינצידענטן וואס באאיינפלוסן באדייטנד די קאנפידענציאליטעט, פארהאן-זיין, און אָרנטלעכקייט פון א סיסטעם".
  • מער פארשריפטלעכע רעקווייערמענץ פאר אינצידענט באריכטן: ערשטע באריכטן צו די NCSC מוז פאסירן נישט שפעטער ווי 24 שעה נאך אן אינצידענט, נאכגעפאלגט דורך א פולשטענדיגע באריכט אינערהאלב 72 שעה. דידזשיטאל און דאטא-צענטער פראוויידערס וועלן אויך דארפן מעלדן קאסטומערס וועגן יעדע סערוויס איבעררייסונג.
  • די אינפארמאציע קאמיסאר'ס אפיס (ICO) וועט באקומען נייע כוחות צו העלפן איר אידענטיפיצירן די מערסט קריטישע דיגיטאלע סערוויס פראוויידערס און פראאקטיוו אפשאצן זייער סייבער ריזיקע.
  • רעגולאַטאָרן וועלן קענען צוריק באַקומען קאָסטן דורך אַ נייע אָפּצאָל רעזשים
  • שטרענגערע שטראָפן וועלן איינגעפירט ווערן פֿאַר ערנסטע עבירות – שטייגנדיק צו £17 מיליאָן אָדער 4/10% פֿון פֿאַרקויף.
  • דער טעכנאָלאָגיע סעקרעטאַר וועט באַקומען נייע כוחות צו באַפֿוילן רעגולאַטאָרן און אָ.עס. צו נעמען ספּעציפֿישע שריט צו פֿאַרהיטן אַטאַקעס וואו עס איז אַ געפֿאַר פֿאַר דער נאַציאָנאַלער זיכערהייט. דאָס קען אַרייַננעמען אַז זיי זאָלן פּאַטשן אָדער איזאָלירן קריטישע סיסטעמען.

צייט צו באַקומען גרייט

כאָטש די געזעץ דאַרף נאָך דורכגיין דעם פּאַרלאַמענט, איז עס נישט מסתּמא אַז עס וועט זיך שטאַרק ענדערן, ווײַל "סייבערזיכערהייט בלייבט אַ גרויסענטייל אַפּאָליטישע פּאָליטיק־פראַגע", לויט NCC Group UK'ס הויפּט פֿון רעגירונג־אַנגעלעגענהייטן, וועראָנאַ דזשאָנסטאָון־הולס. דאָס מיינט אַז זיכערהייט־ און קאָנפאָרמאַנס־מאַנשאַפֿטן קענען זיך פֿאָרויסשטעלן פֿון שפּיל דורך פּלאַנירן זייערע קאָנפאָרמאַנס־רײַזעס איצט.

"אלס אן ארגאניזאציע, איז דער ערשטער שריט צו באשטימען צי איר זענט טאקע אין דעם פארנעם. פאר אסאך וועט דאס זיין גאנץ קלאר – אדער ווייל איר זענט שוין רעגולירט אונטער UK NIS אדער ווייל אייער ארגאניזאציע טרעפט קלאר די דעפיניציעס און שוועלן פון די סעקטארן וואס ווערן אריינגעברענגט אין דעם פארנעם אונטערן געזעץ," זאגט זי צו ISMS.online.

"פֿאַר יענע אָרגאַניזאַציעס וואָס קענען באַצייכנט ווערן ווי 'קריטישע סאַפּלייערז' – און דעריבער אונטערטעניק צו NIS כּללים – קען עס זיין ווייניקער קלאָר צי איר וועט דערגרייכן דעם 'קריטישן' שוועל. אַ נאָענטע איבערבליק פון אייערע קאַסטאַמערז און די טיפּן באַדינונגען און פּראָדוקטן וואָס איר צושטעלט וועט העלפֿן באַשטימען צי איר וועט מסתּמא באַצייכנט ווערן ווי 'קריטיש' אין דער צוקונפֿט."

ריאַנאָן וועבסטער, בריטישע הויפט פון סייבער-זיכערהייט ביי דער גלאבאלער געזעץ פירמע Ashurst, איז מסכים אז פירמעס קענען באקומען א פארשפּרונג אין קאמפלייענס.

"איך וואָלט געזאָגט אַז די קאַטעגאָריעס פון נייע פּערזאָנען אין דעם פאַרנעם וועלן זיך מסתּמא נישט ענדערן און דעריבער זאָלן די קאָמפּאַניעס אָפּווישן זייערע סייבער-רעספּאָנס פּלענער," זאָגט זי צו ISMS.online. "זיי זאָלן זיך צוגרייטן צו פֿאַרבעסערטע באַריכט-פֿאַרפֿליכטונגען, איבערקוקן זייערע סייבער-זיכערהייט ראַמען קעגן די אַנטיסיפּירטע רעקווייערמענץ, און גוט קוקן אויף זייער צושטעל-קייט און קאָנטראַקטן. פֿאַרפֿליכטונגען קענען דאַרפֿן פֿליסן אַראָפּ דורך די פּראָקורמענט פּראָצעסן."

NCC גרופע'ס דזשאנסטאן-הולסע רעקאמענדירט טימז צו:

  • זיך פרי פארבינדן מיט רעגירונג און רעגולאטארן
  • פֿאַרבעסערן גאַווערנאַנס און אַקאַונטאַביליטי דורך ענשורינג באָרד-לעוועל אַקצענט פֿאַר קאַמפּליאַנס פּראָגראַמען
  • אָפּשאַצן די איצטיקע אינצידענט-רעאַקציע פּראָצעסן און טעכנאָלאָגיעס צו פֿאַרשטיין וואָס דאַרף מעגלעך געביטן ווערן

שאַרלאַט וואָקער-אָסבאָרן, וויסן דירעקטאָרין ביי דער אַדוואָקאַטן פירמע קליפאָרד טשאַנס, וואָרנט בריטישע אָרגאַניזאַציעס וואָס זענען איצט אונטער דער השפּעה פון NIS2 זיך צו גרייטן צו אַ גרעסערע קאַמפּליאַנס לאַסט.

"מיטן פארנעם פון די בריטישע סייבער זיכערהייט און ווידערשטאנדסקראפט געזעץ וואס איז עטוואס אנדערש ווי אי.יו. סייבער זיכערהייט געזעצגעבונג אין פארשידענע וועגן, וועלן מולטינאציאנאלע פירמעס מיט אפעראציעס איבער גאנץ אייראפע, נאכאמאל, דארפן זיך באהאנדלען מיט די פראקטישע אימפליקאציעס פון זיך איינהאלטן פון צוויי באזונדערע רעזשים," זאגט זי צו ISMS.online.

"עס זוכט זיך צו צופּאַסן צו טיילן פֿון NIS 2 אָבער אנערקענט אויך די אייגענע שוועריקייטן פֿון פֿאַראייניקטן קעניגרייך."

ווי סטאַנדאַרדס קענען העלפן

דזשוליאַן בראַון, מענעדזשינג קאָנסולטאַנט ביי NCC גרופע, דערקלערט אַז עטלעכע פון ​​די שליסל טעכנישע דעטאַלן זענען נאָך נישט קלאָר געוואָרן. דאָס נעמט אַרײַן די "פּאַסיקע און פּראָפּאָרציאָנעלע" זיכערהייט מיטלען וואָס אָרגאַניזאַציעס ווערן דערוואַרט צו נעמען. דאָס איז וווּ די עקזיסטירנדיקע סטאַנדאַרדן קענען העלפֿן.

"כאָטש ווייטערדיקע דעטאַלן ווערן ערוואַרטעט – אַרייַנגערעכנט דורך אַ קאָדעקס פון פּראַקטיק און סעקטאָר-ספּעציפֿישע גיידליינז פון רעגולאַטאָרן – קענען עקזיסטירנדיקע סייבער-זיכערהייט סטאַנדאַרדן און פריימווערקס העלפֿן קאָנפאָרמאַטי דורך צושטעלן אַ סטרוקטורירטן, אָדיטאַבלען און אינטערנאַציאָנאַל אנערקענטן צוגאַנג צו טרעפן די הויפּט רעקווירעמענץ פון דעם געזעץ," דערציילט ער צו ISMS.online.

"ניצן די סטאַנדאַרדן שאַפט אויך די באַווייזן וואָס רעגולאַטאָרן וועלן דערוואַרטן: ריזיקאָ אַסעסמאַנץ, פּאָליטיק, קאָנטראָלן, מעטריקס און קאָנטינויִערלעכע פֿאַרבעסערונג אַקטיוויטעטן. ISO 27001 אָפפערט דאָס דורך זיין ISMS, די CAF דורך זיין רעזולטאַט-באַזירט פארזיכערונג מאָדעל, NIST CSF דורך זיין גאַווערנאַנס לעבן-ציקל, און 62443 דורך זייַנע OT-ספּעציפֿישע זיכערהייט רעקווייערמענץ. אדאפטירן יעדע פון ​​די פריימווערקס מיינט אַז אַן אָרגאַניזאַציע קען מיט בטחון ווייַזן אַז זי פאַרוואַלטעט סייבער ריזיקאָ אין אַ פּראָפּאָרציאָנעלן, פאַראַנטוואָרטלעך און פֿאַרטיידיקבארן וועג אַמאָל די לעגיסלאַציע נעמט ווירקונג."

עס איז נאך דא אסאך אין דער לופט דעמאָלט. קליפֿאָרד טשאַנס'ס וואָקער-אָסבאָרן זאָגט אַז עס איז נאָך נישט קלאָר צי דער געזעץ וועט אַרייננעמען לעצטנס פּובליקירטע פּלענער צו פֿאַרווערן ראַנסאָמווער צאָלונגען און מאַנדאַטאָרירן באַריכטגעבונג פֿאַר עטלעכע פֿירמעס. די מאָס פֿון דעם שטראָף רעזשים קען אויך זיין אַ דעבאַטע, געגעבן דעם שרעקלעכן צושטאַנד פֿון דער עקאָנאָמיע, לייגט זי צו.

אבער, עס איז זיכער גענוג צו טאָן. קלוגערע אָרגאַניזאַציעס לויפן שוין יסאָ קסנומקס אדער אנדערע קאמפלייענס פראגראמען זאלן געפינען די רעקווייערמענטס פונעם ביל א פיל גרינגערע אויפגאבע.