Health-ISAC Hacking Healthcare 11

November 20, 2025

Sel nädalal uurib Health-ISAC®-i rubriik „Hacking Healthcare®” hiljutist Ühendkuningriigi (UK) seadusandlikku eelnõu, mis ajakohastaks riigi võrgu- ja infoturbe (NIS) eeskirju. Liitu meiega, et arutada, mida Ühendkuningriigi valitsus loodab uue õigusaktiga saavutada ja kuidas see võib tervishoiusektorit mõjutada.

Tuletame meelde, et see on Hacking Healthcare'i ajaveebi avalik versioon. Täiendava põhjaliku analüüsi ja arvamuse saamiseks astuge H-ISACi liikmeks ja hankige selle ajaveebi TLP Amber versioon (saadaval liikmete portaalis).

PDF-versioon:

Teksti versioon:

Tere tulemast tagasi teenusesse Hacking Healthcare®.

Parlamendile esitati Ühendkuningriigi võrgu- ja infoturbe (NIS) määruse reform

Ülevaade

Enne Ühendkuningriigi lahkumist Euroopa Liidust (EL) võttis Ühendkuningriik, nagu kõik ELi liikmed, vastu ELi määrused ja direktiivid, näiteks isikuandmete kaitse üldmääruse (GDPR), võttes need üle siseriiklikku õigusesse. Pärast EList lahkumist 2020. aastal ei ole Ühendkuningriik aga enam ELi poliitiliste lähenemisviisidega seotud ning on pidanud sellistes küsimustes nagu küberturvalisus ja privaatsus ise oma kursi seadma. Selle lõhenemise tulemus on viinud Ühendkuningriigi oma ELi-aegsete seaduste ja määruste aeglase ajakohastamise teele, ammutades sageli inspiratsiooni ELi enda regulatiivsetest uuendustest ja jäädes neist veidi maha.

Üks kriitilisemaid küberturvalisusega seotud EL-i ajastu eeskirju Ühendkuningriigis on 2018. aasta võrgu- ja infosüsteemide eeskirjad (NIS). Nagu arvata võib, oli Ühendkuningriigis NIS-i vastuvõtmine väga sarnane ülejäänud ELi liikmesriikidega. Nende eeskirjade eesmärk oli „[pakkuda] õiguslikke meetmeid digitaalsete teenuste (veebiturud, veebipõhised otsingumootorid, pilvandmetöötluse teenused) ja oluliste teenuste (transpordi-, energia-, vee-, tervishoiu- ja digitaalse taristu teenused) osutamiseks kriitilise tähtsusega võrgu- ja infosüsteemide üldise turvalisuse taseme (nii küber- kui ka füüsilise vastupidavuse) tõstmiseks”.[I]

Kuigi EL surus võrgu- ja infoturbe ajakohastamist edasi juba aastaid tagasi ning selle täielik rakendamine on käimas, kuid ajakavast maha jäänud, tegeleb Ühendkuningriik alles nüüd võrgu- ja infoturbe ajakohastamisega, kusjuures viimane areng on küberjulgeoleku ja -vastupidavusvõime seaduseelnõu (CSRB) esitamine parlamendile.[ii] See seaduseelnõu kujundaks algse võrgu- ja infosüsteemi ümber, et paremini käsitleda tehnoloogilisi arenguid ja muutuvat ohukeskkonda ning kõrvaldada mõned esimese versiooni puudused.

Miks värskendus?

Nagu eespool mainitud, on alates 2018. aastast palju muutunud ning tehnoloogia areng, muutuv ohukeskkond, võrgu- ja infoturbe esimese versiooni puudused ja vabad käed Ühendkuningriigi-spetsiifilise poliitika koostamiseks on seda uuendust motiveerinud. Täpsemalt käsitleb uuendus järgmist:

Tehnoloogilised arengud: Tehnoloogilised arengud, nagu andmekeskuste, hallatud teenusepakkujate ja suurte koormuskontrollerite üha suurem kriitilisus, on motiveerinud võrgu- ja infoturbe eeskirjade ulatust läbi vaatama, et hõlmata uuemaid tehnoloogiaid.[iii]
Muutuv ohukeskkond: Teaduse, innovatsiooni ja tehnoloogia ministeerium (DSIT) selgitas seaduseelnõu kokkuvõttes, et „[e]lmisel aastal oli Ühendkuningriik Euroopas enim sihitud riik“ ning viitas statistikale, mille kohaselt „kokku puutus 2024. aastal kokku 95% Ühendkuningriigi kriitilise riikliku infrastruktuuri organisatsioonidest andmetega seotud rikkumisega“.[iv] Lisaks teatas DSIT, et „kuna oht on muutunud intensiivsemaks, sagedasemaks ja keerukamaks, on meie kaitsemehhanismid muutunud suhteliselt nõrgemaks”.[v]
Võrgu- ja infoturbe puudused: 2020. aastal viidi läbi kaks võrgu- ja infoturbe eeskirjade rakendamise järgset läbivaatamist (PIR).[Vi] ja 2022,[Vii] Ühendkuningriigi valitsuse poolt. Need ülevaated näitasid võrgu- ja infoturbe eeskirjades mitmeid puudusi, sealhulgas järeldusi, et „kuigi organisatsioonid võtsid meetmeid oma võrgu- ja infosüsteemide turvalisuse tagamiseks, tuli täiustamise tempot kiirendada“ ning et võrgu- ja infoturbe süsteem „ei töötanud mitmes võtmevaldkonnas ettenähtud viisil, näiteks eeskirjade ulatuse ja esitatud intsidentide aruannete väikese arvu osas“.[viii]

Kuidas kavatseb CSRB neid probleeme lahendada?

Me ei käsitle kõiki CSRB 100-leheküljelises dokumendis kavandatud muudatusi, eriti kuna paljud neist ei pruugi tingimata tervishoiusektorit puudutada. Siiski kirjeldab DSIT kõrgemal tasandil CSRB-d kolme samba ümber ehitatuna:

Laiendatud ulatusCSRB laiendaks võrgu- ja infoturbe ulatust, et see hõlmaks paremini „teenuseid, mis on nii olulised, et nende katkemine mõjutaks meie igapäevaelu“. Lisaks andmekeskustele, hallatud teenusepakkujatele ja suurtele koormuskontrolleritele on kõige huvitavam täiendus „määratud kriitilised tarnijad“, mida käsitleme allpool.
Tõhusad regulaatoridCSRB annaks reguleerivatele asutustele tugevama tööriistakomplekti uute võrgu- ja infoturbe eeskirjade vastuvõtmise ja jõustamise tagamiseks. See hõlmaks uut intsidentidest teatamise korda, uusi teabe jagamise mehhanisme ja kaitsemeetmeid ning uusi karistusi eeskirjade rikkumise eest.
Vastupidavuse lubamineCSRB hõlmaks vahendeid, mis võimaldaksid Ühendkuningriigi valitsusel dünaamilisemalt kohaneda muutuvate ohtude ja tekkivate puudustega. Eelkõige võimaldaks CSRB teiseste õigusaktide vastuvõtmist, mis võiksid „kohaldamisalasse tuua rohkem sektoreid või ajakohastada ja kehtestada uusi turvalisuse ja vastupidavuse nõudeid“ ning anda valitsusele uusi volitusi, mis võimaldaksid neil „anda reguleerivatele asutustele või reguleeritud üksustele sihipäraseid ja proportsionaalseid meetmeid vastuseks otsestele ohtudele, mis ohustavad Ühendkuningriigi riigi julgeolekut“.[Ix]

Tee Edasi

CSRB on alamkojas alles kasutusele võetud ja enne selle seaduseks allkirjastamist on veel pikk tee minna.

Tegevus ja analüüs
**Kaasas Health-ISAC liikmelisusega**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Suurkoormusregulaatorid on defineeritud kui „organisatsioonid, mis kontrollivad 300 MW või suuremat elektrikoormust, et juhtida tarbijaseadmeid kaugjuhtimise teel“.

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Reguleeritud üksuste hulka kuuluksid selles kontekstis DSIT kohaselt määratud kriitilised tarnijad.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities