Ir ao contido principal

Saúde-ISAC Hacking Healthcare 11-20-2015

Esta semana, Hacking Healthcare® de Health-ISAC® examina a recente introdución dun proxecto de lei lexislativo no Reino Unido (RU) que actualizaría as súas regulacións de seguridade de redes e información (NIS). Únete a nós mentres analizamos o que o goberno do Reino Unido espera conseguir coa nova lexislación e como pode afectar ao sector sanitario.

As a reminder, this is the public version of the Hacking Healthcare blog. Para obter análises e opinións máis profundas, convértete en membro de H-ISAC e recibe a versión TLP Amber deste blog (dispoñible no Portal dos membros).

 

Versión PDF: 

 

Versión de texto:

Benvido de novo a Hacking Healthcare®.

Reforma da normativa de seguridade de redes e información (NIS) do Reino Unido presentada ao Parlamento 

visión global

Antes da retirada do Reino Unido da Unión Europea (UE), como todos os membros da UE, o Reino Unido adoptou regulamentos e directivas da UE, como o Regulamento Xeral de Protección de Datos (RXPD), transcribíndoos á lexislación nacional. Non obstante, desde que abandonou a UE en 2020, xa non está obrigado polas políticas da UE e tivo que trazar o seu propio rumbo en cuestións como a ciberseguridade e a privacidade. O resultado desta división levou ao Reino Unido por un camiño de actualización lenta das súas leis e regulamentos da era da UE, inspirándose a miúdo nas actualizacións regulamentarias da propia UE, e quedándose un pouco atrás.

Entre as regulacións da era da UE relacionadas coa ciberseguridade máis importantes no Reino Unido atópase o Regulamento de Redes e Sistemas de Información de 2018 (NIS). Como era de esperar, a adopción do NIS por parte do Reino Unido foi moi similar á do resto dos estados membros da UE. As regulacións serviron para «[proporcionar] medidas legais para impulsar o nivel xeral de seguridade (tanto cibernética como resiliencia física) dos sistemas de rede e información que son fundamentais para a prestación de servizos dixitais (mercados en liña, motores de busca en liña, servizos de computación na nube) e servizos esenciais (transporte, enerxía, auga, saúde e servizos de infraestrutura dixital)».[I]

Mentres que a UE impulsou unha actualización do NIS hai anos, coa plena implementación en curso e con atraso no prazo previsto, o Reino Unido só agora está a abordar unha actualización do NIS, sendo o desenvolvemento máis recente a introdución no Parlamento do Proxecto de Lei de Ciberseguridade e Resiliencia (CSRB).[Ii] Este proxecto de lei remodelaría o NIS orixinal para abordar mellor os desenvolvementos tecnolóxicos, un entorno de ameazas en evolución e para apuntalar algunhas das deficiencias da primeira versión.

 

Por que a actualización?

Como se mencionou anteriormente, moitas cousas cambiaron desde 2018, e os desenvolvementos tecnolóxicos, o entorno de ameazas en constante evolución, as deficiencias da primeira versión do NIS e a liberdade para redactar unha política específica para o Reino Unido incentivaron esta actualización. Máis concretamente, a actualización abordará:

  • Desenvolvementos tecnolóxicos: Os desenvolvementos tecnolóxicos como a crecente criticidade dos centros de datos, os provedores de servizos xestionados e os controladores de grandes cargas incentivaron a revisión do alcance das regulacións NIS para abarcar as tecnoloxías máis novas.[iii]
  • Ambiente de ameazas en evolución: No seu resumo do proxecto de lei, o Departamento de Ciencia, Innovación e Tecnoloxía (DSIT) explicou que «o ano pasado, o Reino Unido foi o país máis obxectivo de ataques de Europa» e citou estatísticas que revelaron que «o 95 % das organizacións de infraestruturas nacionais críticas do Reino Unido sufriron unha violación de datos en 2024».[IV] Ademais, o DSIT afirmou que «a medida que a ameaza se volveu máis intensa, frecuente e sofisticada, as nosas defensas volvéronse comparativamente máis débiles».[V]
  • Deficiencias do NIS: En 2020 realizáronse dúas revisións posteriores á implementación (PIR) dos regulamentos NIS.[Vin] e 2022,[Vii] polo goberno do Reino Unido. Estas revisións atoparon varias deficiencias nas regulacións NIS, incluíndo as conclusións de que «aínda que as organizacións estaban a tomar medidas para garantir a seguridade das súas redes e sistemas de información, era necesario acelerar o ritmo de mellora» e que o NIS «non estaba a funcionar como se pretendía en varias áreas clave, como o alcance das regulacións e o pequeno número de informes de incidentes que se presentaban».[VIII]

 

Como abordará o CSRB estes problemas?

Non abordaremos todas as revisións propostas dentro das 100 páxinas do CSRB, especialmente porque moitas non se aplicarán necesariamente ao sector sanitario. Aínda así, a un nivel superior, o DSIT describe o CSRB como construído arredor de tres piares:

  • Ámbito ampliadoO CSRB ampliaría o alcance do NIS para abarcar mellor os "servizos tan esenciais que a súa interrupción afectaría as nosas vidas diarias". Ademais dos centros de datos, os provedores de servizos xestionados e os controladores de grandes cargas, a adición máis interesante é a dos "provedores críticos designados", que abordaremos a continuación.
  • Reguladores eficacesO CSRB proporcionaría aos reguladores un conxunto de ferramentas máis sólido para garantir a adopción e a aplicación das novas regulacións NIS. Incluiría un novo réxime de notificación de incidentes, novos mecanismos e proteccións para compartir información e novas sancións por incumprimento.
  • Activar a resilienciaO CSRB incluiría ferramentas que permitirían ao goberno do Reino Unido adaptarse de forma máis dinámica ás ameazas en evolución e ás deficiencias emerxentes. En particular, o CSRB permitiría a lexislación secundaria que podería incluír «máis sectores no ámbito de aplicación ou actualizar e introducir novos requisitos de seguridade e resiliencia» e outorgaría novas competencias ao goberno que lles permitirían «ordenar aos reguladores ou ás entidades reguladas que tomen medidas específicas e proporcionadas en resposta a ameazas inminentes que poñan en risco a seguridade nacional do Reino Unido».[Ix]

 

Camiño adiante 

A CSRB acaba de ser presentada na Cámara dos Comúns e aínda ten camiño por percorrer antes de que se converta en lei.

 

Acción e Análise
**Incluído coa subscrición Health-ISAC**

 

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Os controladores de grandes cargas defínense como «organizacións que controlan 300 MW de carga eléctrica ou máis para controlar remotamente electrodomésticos de consumo».

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Neste contexto, as entidades reguladas incluirían os provedores críticos designados segundo o DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] As notas explicativas do CSRB ofrecen exemplos de incidentes de preposicionamento e ransomware.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

  • Recursos e noticias relacionados
Tes que innovar porque o ciberdelincuente sempre está innovando
Os federais e a AHA advirten de novo ao sector sanitario da ameaza Akira en evolución