Velká Británie chystá vlastní legislativu upravující kybernetickou bezpečnost
Přestože v roce 2020 opustila Velká Británie Evropskou unii, i nadále zůstává s kontinentem pevně provázána. Názorně to dokazují tamější legislativní akty, které jsou často inspirovány evropskou legislativou a nezřídka jdou i nad její rámec. V případě legislativy týkající se kybernetické bezpečnosti tomu není jinak.
Co se ve Velké Británii chystá?
Velká Británie ve své Národní strategii pro kybernetickou bezpečnost staví na rámci vybudovaném směrnicí NIS, tedy předchůdkyní chystané směrnice NIS 2. Britští zákonodárci nyní připravují nový zákonný standard kybernetické bezpečnosti. Obdobně jako v EU bude dopadat na podstatně vyšší množství dotčených subjektů a zároveň bude stanovovat přísnější pravidla než doposud. Udržení bezpečnosti kritické národní infrastruktury v neustále se vyvíjejícím prostředí kybernetických hrozeb je totiž klíčovou výzvou nejen pro vládu, ale tako pro celý veřejný a soukromý sektor odpovědný za její provoz.
Původní směrnice NIS umožnila vládě Spojeného království konzistentnější přístup k regulaci kybernetické bezpečnosti v různých odvětvích kritické národní infrastruktury. Britská vláda proto vnímá jako klíčové, aby se regulační rámec dokázal přizpůsobovat v čase a byl tak nadále účinný.
Aby britská vláda mitigovala negativní dopady spojené s regulací dotčených subjektů, rozhodla se s nimi své kroky konzultovat. Dle dostupných vyjádření vyvinula maximální úsilí k tomu, aby každé opatření zahrnovalo odůvodnění nutnosti intervence, důkazy o přínosnosti a navrhované řešení pro všechny dotčené subjekty. Finální znění zákona tak vychází ze složitého kompromisu, který se podařilo díky všem zúčastněným stranám vyjednat.
Britští zákonodárci také plánují rozdělení dotčených subjektů do mnoha různých kategorií dle odlišných kritérií. Těmi jsou například aspekty důležitosti, velikosti obratu, počtu zaměstnanců nebo také množství nákladů souvisejících s implementací povinných kyberneticko-bezpečnostních standardů.
Návrh zákona tak předpokládání zavedení dvoustupňového režimu, který již známe z chystané směrnice NIS 2. Ten by předpokládal uložení proaktivního ex-ante přístupu nejkritičtějším subjektům a zároveň ukládá reaktivní ex-post režim kontroly pro zbývající subjekty.
Další podstatnou součástí britské strategie kybernetické odolnosti je také celková podpora odvětví kyberbezpečnosti. Ta spočívá v podpoře výchovy nových expertů nebo také různé podpůrné mechanismy pro společností působících na britském kybernetickém trhu.
Hlavní cíle nové britské legislativy
- Rozšíření povinností pro širší okruh dotčených subjektů.
- Uplatnění dvoustupňového režimu dohledu pro všechny poskytovatele digitálních služeb: nový proaktivní stupeň dohledu pro nejkritičtější poskytovatele a stávající reaktivní stupeň dohledu pro všechny ostatní.
- Vytvoření nové přenesené pravomoci, která vládě umožní aktualizovat nařízení. A to nejen z hlediska rámce, ale i rozsahu příslušných ochranných opatření.
- Vytvoření nové pravomoci, která by umožnila zahrnout do působnosti nařízení o bezpečnosti sítí a informací určité organizace, na nichž jsou subjekty které již spadají do oblasti působnosti kriticky závislé.
- Posílení stávající povinnosti hlášení incidentů, které jsou v současnosti omezeny na incidenty s dopadem na služby tak, aby zahrnovaly i další významné typy incidentů.
- Rozšíření stávajících ustanovení o úhradě nákladů tak, aby regulačním orgánům (například Ofcom, Ofgem a ICO) umožňovala úhradu celých přiměřených nákladů na implementaci od společností, které regulují.
Autor: Michael Fanta, redakce Cyberblog
Zdroj: GOV.uk
Foto: Unsplash
0 Comments