स्वास्थ्य-ISAC हैकिंग हेल्थकेयर 11-20-2015

नवम्बर 20/2025

इस हफ़्ते, हेल्थ-आईएसएसी® का हैकिंग हेल्थकेयर® हाल ही में यूनाइटेड किंगडम (यूके) में पेश किए गए एक विधायी विधेयक की पड़ताल करता है जो उसके नेटवर्क और सूचना सुरक्षा (एनआईएस) नियमों को अद्यतन करेगा। हमारे साथ जुड़ें और जानें कि यूके सरकार इस नए कानून से क्या हासिल करना चाहती है और इसका स्वास्थ्य क्षेत्र पर क्या प्रभाव पड़ सकता है।

याद दिला दें कि यह हैकिंग हेल्थकेयर ब्लॉग का सार्वजनिक संस्करण है। अतिरिक्त गहन विश्लेषण और राय के लिए, H-ISAC के सदस्य बनें और इस ब्लॉग का TLP एम्बर संस्करण प्राप्त करें (सदस्य पोर्टल में उपलब्ध है।)

पीडीएफ संस्करण:

पाठ संस्करण:

हैकिंग हेल्थकेयर® में आपका स्वागत है।

यूके नेटवर्क और सूचना सुरक्षा (एनआईएस) विनियमन सुधार संसद में पेश किया गया

अवलोकन

यूरोपीय संघ (ईयू) से ब्रिटेन के अलग होने से पहले, सभी यूरोपीय संघ के सदस्यों की तरह, ब्रिटेन ने भी यूरोपीय संघ के नियमों और निर्देशों, जैसे कि सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) को राष्ट्रीय कानून में शामिल करके अपनाया था। हालाँकि, 2020 में यूरोपीय संघ छोड़ने के बाद से, यह अब यूरोपीय संघ के नीतिगत दृष्टिकोणों से बंधा नहीं है और इसे साइबर सुरक्षा और गोपनीयता जैसे मुद्दों पर अपना रास्ता खुद बनाना पड़ा है। इस विभाजन के परिणामस्वरूप, ब्रिटेन अपने यूरोपीय संघ-युग के कानूनों और नियमों को धीरे-धीरे अद्यतन करने की राह पर चल पड़ा है, अक्सर यूरोपीय संघ के अपने नियामक अद्यतनों से प्रेरणा लेता है, और उनसे थोड़ा पीछे रहता है।

ब्रिटेन में यूरोपीय संघ युग के साइबर सुरक्षा संबंधी सबसे महत्वपूर्ण नियमों में से एक नेटवर्क और सूचना प्रणाली विनियम 2018 (एनआईएस) है। जैसा कि आप उम्मीद कर सकते हैं, ब्रिटेन द्वारा एनआईएस को अपनाना बाकी यूरोपीय संघ के सदस्य देशों के समान ही था। इन नियमों का उद्देश्य "नेटवर्क और सूचना प्रणालियों की सुरक्षा (साइबर और भौतिक दोनों तरह की लचीलापन) के समग्र स्तर को बेहतर बनाने के लिए कानूनी उपाय प्रदान करना था, जो डिजिटल सेवाओं (ऑनलाइन मार्केटप्लेस, ऑनलाइन सर्च इंजन, क्लाउड कंप्यूटिंग सेवाएँ) और आवश्यक सेवाओं (परिवहन, ऊर्जा, जल, स्वास्थ्य और डिजिटल बुनियादी ढाँचा सेवाएँ) के प्रावधान के लिए महत्वपूर्ण हैं।"[I]

जबकि यूरोपीय संघ ने कई वर्ष पहले एनआईएस अद्यतन पर काम शुरू कर दिया था, जिसका पूर्ण कार्यान्वयन अभी जारी है और यह निर्धारित समय से पीछे चल रहा है, ब्रिटेन अब एनआईएस अद्यतन पर काम कर रहा है, जिसमें सबसे हालिया प्रगति साइबर सुरक्षा और लचीलापन विधेयक (सीएसआरबी) को संसद में प्रस्तुत करना है।[द्वितीय] यह विधेयक तकनीकी विकास, उभरते खतरे के माहौल से बेहतर ढंग से निपटने तथा पहले संस्करण की कुछ कमियों को दूर करने के लिए मूल एनआईएस को नया रूप देगा।

अपडेट क्यों?

जैसा कि ऊपर बताया गया है, 2018 के बाद से बहुत कुछ बदल गया है, और तकनीकी विकास, बदलते ख़तरे के माहौल, एनआईएस के पहले संस्करण की कमियों और यूके-विशिष्ट नीति का मसौदा तैयार करने की स्वतंत्रता ने इस अद्यतन को प्रेरित किया है। विशेष रूप से, यह अद्यतन निम्नलिखित मुद्दों पर ध्यान केंद्रित करेगा:

तकनीकी विकास: डेटा केंद्रों, प्रबंधित सेवा प्रदाताओं और बड़े लोड नियंत्रकों की बढ़ती महत्ता जैसे तकनीकी विकास ने नई प्रौद्योगिकियों को कवर करने के लिए एनआईएस विनियमों के दायरे को संशोधित करने को प्रोत्साहित किया है।[iii]
विकसित होता ख़तरा वातावरण: विधेयक के अपने सारांश में, विज्ञान, नवाचार और प्रौद्योगिकी विभाग (डीएसआईटी) ने बताया कि "पिछले साल, यूके यूरोप में सबसे अधिक लक्षित देश था," और आंकड़ों का हवाला दिया जिसमें पाया गया कि "यूके के 95% महत्वपूर्ण राष्ट्रीय बुनियादी ढाँचे संगठनों ने 2024 में डेटा उल्लंघन का अनुभव किया।"[Iv] इसके अतिरिक्त, डीएसआईटी ने कहा कि "जैसे-जैसे खतरा अधिक तीव्र, लगातार और परिष्कृत होता गया है, हमारी सुरक्षा तुलनात्मक रूप से कमजोर होती गई है।"[V]
एनआईएस की कमियाँ: 2020 में एनआईएस विनियमों की दो कार्यान्वयन-पश्चात समीक्षाएं (पीआईआर) आयोजित की गईं[Vi] और एक्सएनएनएक्स,[सप्तम] यूके सरकार द्वारा। इन समीक्षाओं में एनआईएस नियमों में कई कमियाँ पाई गईं, जिनमें यह निष्कर्ष भी शामिल था कि "हालाँकि संगठन अपने नेटवर्क और सूचना प्रणालियों की सुरक्षा सुनिश्चित करने के लिए उपाय कर रहे थे, फिर भी सुधार की दर में तेज़ी लाने की आवश्यकता थी," और यह कि एनआईएस "कई प्रमुख क्षेत्रों में अपेक्षित रूप से काम नहीं कर रहा था, जैसे कि नियमों का दायरा और प्रस्तुत की जा रही घटना रिपोर्टों की कम संख्या।"[आठवीं]

सीएसआरबी इन मुद्दों का समाधान कैसे करेगा?

हम सीएसआरबी के 100 पृष्ठों के दायरे में सभी प्रस्तावित संशोधनों पर चर्चा नहीं करेंगे, खासकर इसलिए क्योंकि उनमें से कई स्वास्थ्य क्षेत्र पर लागू नहीं होंगे। फिर भी, उच्च स्तर पर, डीएसआईटी सीएसआरबी को तीन स्तंभों पर आधारित बताता है:

विस्तारित दायरा: सीएसआरबी एनआईएस के दायरे का विस्तार करेगा ताकि "ऐसी सेवाएँ जो इतनी ज़रूरी हैं कि उनके बाधित होने से हमारा दैनिक जीवन प्रभावित होगा।" डेटा केंद्रों, प्रबंधित सेवा प्रदाताओं और बड़े लोड नियंत्रकों के अलावा, सबसे दिलचस्प जोड़ "निर्दिष्ट महत्वपूर्ण आपूर्तिकर्ताओं" के लिए है, जिनके बारे में हम नीचे चर्चा करेंगे।
प्रभावी नियामक: सीएसआरबी नियामकों को नए एनआईएस नियमों को अपनाने और लागू करने के लिए एक मज़बूत टूलकिट प्रदान करेगा। इसमें एक नई घटना रिपोर्टिंग व्यवस्था, नई सूचना साझाकरण व्यवस्थाएँ और सुरक्षाएँ, और गैर-अनुपालन के लिए नए दंड शामिल होंगे।
लचीलापन सक्षम करें: सीएसआरबी में ऐसे उपकरण शामिल होंगे जो यूके सरकार को उभरते खतरों और उभरती कमियों के प्रति अधिक गतिशील रूप से अनुकूलित करने में सक्षम बनाएंगे। विशेष रूप से, सीएसआरबी द्वितीयक कानून बनाने में सक्षम होगा जो "अधिक क्षेत्रों को दायरे में ला सकता है, या नई सुरक्षा और लचीलापन आवश्यकताओं को अद्यतन और लागू कर सकता है," और सरकार को नए अधिकार प्रदान करेगा जो उन्हें "ब्रिटेन की राष्ट्रीय सुरक्षा को जोखिम में डालने वाले आसन्न खतरों के जवाब में नियामकों या विनियमित संस्थाओं को लक्षित और आनुपातिक कार्रवाई करने का निर्देश देने" की अनुमति देगा।[IX]

आगे रास्ता

सीएसआरबी को अभी हाउस ऑफ कॉमन्स में पेश किया गया है तथा इसे कानून बनने में अभी काफी समय लगेगा।

कार्रवाई और विश्लेषण
**स्वास्थ्य-आईएसएसी सदस्यता के साथ शामिल**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] बड़े लोड नियंत्रकों को “ऐसे संगठनों के रूप में परिभाषित किया जाता है जो उपभोक्ता उपकरणों को दूर से नियंत्रित करने के लिए 300 मेगावाट या उससे अधिक विद्युत भार को नियंत्रित करते हैं”

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/गवर्नमेंट/पब्लिकेशन/डिलीटेड-साइबर-सिक्योरिटी-एंड-रेसिलिएंस-नेटवर्क-एंड-इनफॉर्मेशन-सिस्टम्स-बिल-फैक्टशीट्स/समरी-ऑफ-द-बिल

[vi] https://www.gov.uk/सरकार/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] इस संदर्भ में विनियमित संस्थाओं में डीएसआईटी के अनुसार नामित महत्वपूर्ण आपूर्तिकर्ता शामिल होंगे।

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities