Health-ISAC Hacking Healthcare 11-20-2015

Tento týden se rubrika Hacking Healthcare® na serveru Health-ISAC® zabývá nedávným zavedením legislativního návrhu zákona ve Spojeném království, který by aktualizoval předpisy o bezpečnosti sítí a informací (NIS). Přidejte se k nám a rozebereme, čeho chce britská vláda s novou legislativou dosáhnout a jaký by mohl mít dopad na zdravotnictví.

Připomínáme, že toto je veřejná verze blogu Hacking Healthcare. Chcete-li získat další hloubkovou analýzu a názor, staňte se členem H-ISAC a získejte verzi TLP Amber tohoto blogu (k dispozici na členském portálu.)

Verze PDF: 

Textová verze:

Vítejte zpět v Hacking Healthcare®.

Parlamentu byla předložena reforma regulace bezpečnosti sítí a informací (NIS) ve Spojeném království 

Přehled

Před vystoupením Spojeného království z Evropské unie (EU) Spojené království, stejně jako všichni členové EU, přijalo nařízení a směrnice EU, jako je obecné nařízení o ochraně osobních údajů (GDPR), jejich transkripcí do vnitrostátního práva. Od odchodu z EU v roce 2020 však již není vázáno politickými přístupy EU a muselo si v otázkách, jako je kybernetická bezpečnost a soukromí, stanovit vlastní směr. Důsledkem tohoto rozdělení je, že Spojené království se vydalo cestou pomalé aktualizace svých zákonů a předpisů z éry EU, přičemž se často inspirovalo aktualizacemi regulačních předpisů EU a poněkud za nimi zaostávalo.

Mezi nejdůležitější předpisy z doby EU týkající se kybernetické bezpečnosti ve Spojeném království patří nařízení o sítích a informačních systémech z roku 2018 (NIS). Jak se dalo očekávat, přijetí NIS ve Spojeném království bylo velmi podobné jako ve zbytku členských států EU. Tato nařízení sloužila k „[poskytnutí] právních opatření ke zvýšení celkové úrovně bezpečnosti (kybernetické i fyzické odolnosti) síťových a informačních systémů, které jsou klíčové pro poskytování digitálních služeb (online tržiště, online vyhledávače, cloudové computingové služby) a základních služeb (doprava, energie, voda, zdravotnictví a služby digitální infrastruktury)“.[I]

Zatímco EU před lety prosazovala aktualizaci NIS, jejíž plné zavedení probíhá a zaostává za harmonogramem, Spojené království se aktualizací NIS zabývá teprve nyní, přičemž nejnovějším vývojem je předložení zákona o kybernetické bezpečnosti a odolnosti (CSRB) parlamentu.[Ii] Tento návrh zákona by přepracoval původní NIS tak, aby lépe reagoval na technologický vývoj, vyvíjející se prostředí hrozeb a odstranil některé nedostatky první verze.

Proč aktualizace?

Jak již bylo zmíněno výše, od roku 2018 se toho hodně změnilo a technologický vývoj, vyvíjející se prostředí hrozeb, nedostatky první verze NIS a volná ruka při tvorbě politik specifických pro Spojené království podnítily tuto aktualizaci. Konkrétněji se aktualizace bude zabývat:

• Technologický vývoj: Technologický vývoj, jako je rostoucí důležitost datových center, poskytovatelů spravovaných služeb a velkých regulátorů zátěže, podnítil revizi rozsahu předpisů NIS tak, aby zahrnovaly novější technologie.[iii]
• Vyvíjející se prostředí hrozeb: Ministerstvo pro vědu, inovace a technologie (DSIT) ve svém shrnutí návrhu zákona vysvětlilo, že „[v]loňském roce bylo Spojené království nejvíce terčem útoků v Evropě“, a citovalo statistiky, které zjistily, že „95 % organizací kritické národní infrastruktury ve Spojeném království zaznamenalo v roce 2024 únik dat“.[Iv] DSIT dále uvedl, že „s tím, jak se hrozba stala intenzivnější, častější a sofistikovanější, naše obrana se stala poměrně slabší.“[proti]
• Nedostatky NIS: V roce 2020 byly provedeny dva přezkumy po zavedení předpisů NIS (PIR).[Vi] a 2022,[Vii] britskou vládou. Tyto přezkumy odhalily několik nedostatků v předpisech NIS, včetně zjištění, že „ačkoli organizace přijímaly opatření k zajištění bezpečnosti svých sítí a informačních systémů, tempo zlepšování bylo třeba urychlit“ a že NIS „nefungoval tak, jak bylo zamýšleno, v několika klíčových oblastech, jako je rozsah předpisů a malý počet předkládaných hlášení o incidentech“.[viii]

Jak bude CSRB řešit tyto problémy?

Na 100 stranách CSRB se nebudeme zabývat všemi navrhovanými revizemi, zejména proto, že mnohé z nich se nemusí nutně vztahovat na sektor zdravotnictví. DSIT však na vyšší úrovni popisuje CSRB jako postavený na třech pilířích:

• Rozšířený rozsahCSRB by rozšířil rozsah NIS tak, aby lépe zahrnoval „služby, které jsou tak zásadní, že jejich narušení by ovlivnilo náš každodenní život“. Kromě datových center, poskytovatelů spravovaných služeb a velkých regulátorů zátěže je nejzajímavějším doplňkem „určený kritický dodavatel“, kterým se budeme věnovat níže.
• Efektivní regulátořiCSRB by poskytl regulačním orgánům silnější sadu nástrojů k zajištění přijetí a vymáhání nových předpisů NIS. Součástí by byl nový režim hlášení incidentů, nové mechanismy a ochrany sdílení informací a nové sankce za nedodržování předpisů.
• Povolit odolnostCSRB by zahrnoval nástroje, které by britské vládě umožnily dynamičtěji se přizpůsobovat vyvíjejícím se hrozbám a nově vznikajícím nedostatkům. CSRB by zejména umožnil sekundární legislativu, která by mohla „rozšířit působnost více odvětví nebo aktualizovat a zavést nové požadavky na bezpečnost a odolnost“ a poskytnout vládě nové pravomoci, které by jí umožnily „nařídit regulačním orgánům nebo regulovaným subjektům, aby přijímaly cílená a přiměřená opatření v reakci na bezprostřední hrozby, které ohrožují národní bezpečnost Spojeného království“.[Ix]

Cesta vpřed 

CSRB byl teprve nedávno představen Dolní sněmovně a má před sebou ještě dlouhou cestu, než bude podepsán v zákon.

Akce a analýza
**Součástí členství Health-ISAC**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Velkoodběratelé jsou definováni jako „organizace, které řídí elektrické zatížení o výkonu 300 MW nebo více za účelem dálkového ovládání spotřebičů“

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Regulované subjekty by v této souvislosti zahrnovaly určené kritické dodavatele podle DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] Vysvětlivky k CSRB uvádějí příklady incidentů s pre-positioningem a ransomwarem.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

• Související zdroje a zprávy
• Health-ISAC Hacking Healthcare 4-14-2026
• Mythos a podobné nástroje umělé inteligence zvyšují sázky pro kybernetickou péči ve zdravotnictví
• Nemocnice v Massachusetts odmítá vozit sanitky po kybernetickém útoku
• Podcast: Phil Englert o kybernetické bezpečnosti zdravotnických prostředků
• Hrozba zevnitř opět roste
• „Promarněná příležitost“: Neúčast americké vlády na konferenci RSAC zanechává prázdnotu
• Health-ISAC Hacking Healthcare 3-26-2026
• Health-ISAC Hacking Healthcare 3-19-2026
• Měsíční zpravodaj Health-ISAC – duben 2026
• Zpráva po akci: Série cvičení odolnosti Health-ISAC 2025