Регулаторите на Обединеното кралство ще получат по-големи правомощия при пропуски в киберсигурността

Правителството на Обединеното кралство ще даде на регулаторите разширени пълномощия да глобяват компании за неспазване на разпоредбите за киберсигурност, защото министрите пресмятат, че в този момент офанзивите костват на Обединеното кралство съвсем £15 милиарда всяка година.

Законопроектът за киберсигурност и резистентност включва ограничения, които ще дадат на секторните регулатори властта да глобяват избрани компании до 4 % от годишния им оборот, или £17 милиона, в случай че е по-голямо, в случай че не съблюдават разпоредбите. Те включват условие за докладване на обилни хакерски атаки в границите на 24 часа и подобаваща подготовка за нарушавания. 

Глобите ще разширят съществуващите правила според актуалните разпореждания на NIS 2018, които разрешават налагането на санкции от £17 милиона, и ще бъдат в допълнение към други правила, които разрешават на Службата на комисаря по информацията да постанова сходни наказания за нарушавания на Закона за отбрана на данните от 2018 година

Решението следва предизвестия от министри и Националния център за киберсигурност предишния месец, че основните изпълнителни шефове, които не са съумели да приготвят фирмите си за хакерски атаки, „ заплашват бъдещето на бизнеса си “, като ново изследване от KPMG пресмята, че цената на обилни хакерски атаки е достигнала £14,7 милиарда в стопанската система на Обединеното кралство. 

Законопроектът, който би трябвало да бъде импортиран в Народното събрание в сряда, има за цел да актуализира обсега на фирмите, обхванати от киберрегулациите, от тези в секторите на превоза, енергетиката, питейната вода, опазването на здравето и цифровата инфраструктура, с цел да включи тези в браншове като опазване на здравето, ИТ услуги и центрове за данни.

Това също по този начин ще принуди контролираните компании да рапортуват за обилни офанзиви на NCSC в границите на 24 часа и да дават отчет за случай в границите на 72 часа. Регулираните компании също ще би трябвало да дават отговор на ограничения, основани на рамката за кибероценка на NCSC, която дефинира разнообразни правила като отбрана на данните и образование на личния състав. 

Ако фирмите не съумеят да създадат това, законодателството ще даде на регулаторите пълномощието да постановат санкции на организации, като длъжностните лица ще преценяват ограниченията като „ обективни “ като „ последна мярка “, съгласно човек, осведомен с въпроса. 

Правилата обаче няма да включват търговци на дребно или други компании, които не се смятат за сериозна инфраструктура, което значи, че групи като Jaguar Land Rover, M&S и Co-op, които всички са претърпели високопрофилни хакерски атаки през последните месеци, няма да бъдат в обсега на законодателството. 

„ Ние не се стремим да контролираме дотам цялата стопанска система “, сподели баронеса Лиз Лойд, министър на цифровата стопанска система.

„ Също по този начин насърчаваме всички компании да създадат повече или да помислят какво би трябвало да създадат във връзка с киберустойчивостта и техните бордове да водят този диалог за това какво е уместно за тях “, добави тя.