El gobierno debe seguir adelante con una serie de reformas y actualizaciones de las regulaciones de los Sistemas de información de red (NIS) de 2018, que, según afirma, las fortalecerá para proteger mejor los servicios nacionales críticos del Reino Unido contra ataques cibernéticos al traer proveedores de TI subcontratados y administrados. proveedores de servicios (MSP) en el alcance.
Las regulaciones NIS se introdujeron para mejorar la seguridad cibernética de las empresas que brindan servicios críticos, como energía, atención médica, transporte o agua, respaldadas por multas de hasta £ 17 millones por incumplimiento.
El gobierno ahora quiere agregar más protecciones para tales organizaciones al extender la cobertura a los subcontratistas y MSP y asegurar las cadenas de suministro vitales del Reino Unido. La medida sigue a una consulta pública después de que se describieran las propuestas en enero de 2022. La respuesta a esta consulta se puede encontrar aquí.
El gobierno dijo que los ataques de alto perfil como Operation CloudHopper, una campaña china de espionaje cibernético que apuntó a los MSP en la nube entre 2016 y 2018, habían demostrado que las leyes de seguridad cibernética del Reino Unido deben fortalecerse para proteger los servicios de los que dependen los servicios esenciales.
La ministra cibernética, Julia López, dijo: “Los criminales y los estados hostiles no deben paralizar los servicios de los que dependemos para la atención médica, el agua, la energía y la computación. Estamos fortaleciendo las leyes cibernéticas del Reino Unido contra las amenazas digitales. Esto protegerá mejor nuestros servicios esenciales y digitales y los proveedores de TI subcontratados que los mantienen en funcionamiento”.
Paul Maddinson, director de resiliencia y estrategia nacional en el Centro Nacional de Seguridad Cibernética, agregó: “Agradezco la oportunidad de fortalecer las regulaciones NIS y el impacto que tendrán en el impulso de la seguridad cibernética general del Reino Unido.
“Estas medidas aumentarán la resiliencia de los servicios esenciales del país, y sus proveedores de servicios administrados, en los que todos confiamos”.
Junto con la extensión de las regulaciones NIS, el gobierno tiene la intención de introducir nuevos requisitos para que las organizaciones mejoren su informe de incidentes cibernéticos a través de reguladores del sector como Ofcom u Ofgem y la Oficina del Comisionado de Información (ICO).
Esto incluirá la notificación obligatoria en una gama más amplia de incidentes disruptivos o incidentes de alto riesgo, incluso si no son disruptivos.
Las reglas también permitirán a los reguladores establecer un sistema de recuperación de costos para hacer cumplir las regulaciones que sea más transparente y tenga en cuenta factores tales como las cargas regulatorias más amplias que enfrentan, la idea es tratar de reducir el costo para el erario público y permitir la ICO adopte un enfoque más basado en el riesgo para regular los servicios digitales.
Además, el gobierno se otorgará a sí mismo el poder de modificar aún más las regulaciones NIS, que en última instancia se derivan de la ley de la Unión Europea, en caso de que surja la necesidad en el futuro.
Carla Baker, directora sénior de políticas públicas para el Reino Unido e Irlanda en Palo Alto Networks, comentó: “Palo Alto Networks apoya el desarrollo de un marco de políticas ágil para reducir los riesgos de seguridad cibernética para nuestra economía y sociedad.
“Agradecemos la oportunidad de colaborar con el gobierno del Reino Unido mientras revisa la legislación y desarrolla una guía para que la industria mejore la resiliencia cibernética y combata el riesgo que los actores malintencionados representan para la seguridad nacional del Reino Unido”.