Health-ISAC Hacking Healthcare 11

20. studenog 2025.

Ovog tjedna, Hacking Healthcare® na Health-ISAC®-u istražuje nedavno uvođenje zakonodavnog prijedloga u Ujedinjenom Kraljevstvu (UK) kojim bi se ažurirali propisi o sigurnosti mreža i informacija (NIS). Pridružite nam se dok analiziramo što britanska vlada želi postići novim zakonodavstvom i kako bi ono moglo utjecati na zdravstveni sektor.

Podsjećamo, ovo je javna verzija bloga Hacking Healthcare. Za dodatnu dubinsku analizu i mišljenje, postanite član H-ISAC-a i primite TLP Amber verziju ovog bloga (dostupnu na Portalu za članove.)

Verzija PDF-a:

Tekstna verzija:

Dobrodošli natrag u Hacking Healthcare®.

Parlamentu predstavljena reforma propisa o sigurnosti mreža i informacija (NIS) u Ujedinjenom Kraljevstvu

SAŽETAK

Prije izlaska Ujedinjenog Kraljevstva iz Europske unije (EU), kao i sve članice EU-a, Ujedinjeno Kraljevstvo usvojilo je propise i direktive EU-a, poput Opće uredbe o zaštiti podataka (GDPR), prenijevši ih u nacionalno zakonodavstvo. Međutim, od izlaska iz EU-a 2020. godine, više nije vezano političkim pristupima EU-a i moralo je samostalno odrediti put u pitanjima poput kibernetičke sigurnosti i privatnosti. Rezultat ove podjele odveo je Ujedinjeno Kraljevstvo putem sporog ažuriranja zakona i propisa iz doba EU-a, često inspirirajući se vlastitim regulatornim ažuriranjima EU-a i pomalo zaostajući za njima.

Među kritičnijim propisima iz doba EU vezanim uz kibernetičku sigurnost u Ujedinjenom Kraljevstvu je Pravilnik o mrežama i informacijskim sustavima iz 2018. (NIS). Kao što se i očekivalo, usvajanje NIS-a u Ujedinjenom Kraljevstvu bilo je vrlo slično ostatku država članica EU. Pravilnik je služio za „[pružanje] pravnih mjera za povećanje ukupne razine sigurnosti (i kibernetičke i fizičke otpornosti) mrežnih i informacijskih sustava koji su ključni za pružanje digitalnih usluga (internetska tržišta, internetske tražilice, usluge računarstva u oblaku) i bitnih usluga (prijevoz, energija, voda, zdravstvo i usluge digitalne infrastrukture)“.[I]

Dok je EU prije nekoliko godina ubrzao ažuriranje NIS-a, a puna provedba je u tijeku i kasni s rokovima, UK tek sada rješava ažuriranje NIS-a, a najnoviji razvoj događaja je uvođenje Zakona o kibernetičkoj sigurnosti i otpornosti (CSRB) u Parlament.[Ii] Ovaj bi zakon preoblikovao izvorni NIS kako bi se bolje odgovorilo na tehnološki razvoj, promjenjivo okruženje prijetnji i učvrstili neki od nedostataka prve verzije.

Zašto ažuriranje?

Kao što je gore spomenuto, mnogo se toga promijenilo od 2018., a tehnološki razvoj, razvoj prijetnji u okruženju, nedostaci prve verzije NIS-a i slobodne ruke za izradu politika specifičnih za Ujedinjeno Kraljevstvo potaknuli su ovo ažuriranje. Točnije, ažuriranje će se pozabaviti:

Tehnološki razvoj: Tehnološki razvoj poput sve veće kritičnosti podatkovnih centara, pružatelja upravljanih usluga i velikih kontrolera opterećenja potaknuo je reviziju opsega NIS propisa kako bi se obuhvatile novije tehnologije.[iii]
Razvoj okruženja prijetnji: U svom sažetku zakona, Ministarstvo za znanost, inovacije i tehnologiju (DSIT) objasnilo je da je „prošle godine UK bila najnapadanija zemlja u Europi“ i navelo statistiku koja je pokazala da je „95% britanskih organizacija za kritičnu nacionalnu infrastrukturu doživjelo povredu podataka u 2024. godini“.[Iv] Osim toga, DSIT je izjavio da „kako je prijetnja postajala intenzivnija, češća i sofisticiranija, naša obrana je postala relativno slabija“.[V]
Nedostaci NIS-a: Dva post-implementacijska pregleda (PIR) NIS propisa provedena su 2020. godine[VI] i 2022,[VII] od strane vlade Ujedinjenog Kraljevstva. U tim je pregledima utvrđeno nekoliko nedostataka u propisima o NIS-u, uključujući nalaze da „iako su organizacije poduzimale mjere za osiguranje sigurnosti svojih mreža i informacijskih sustava, trebalo je ubrzati tempo poboljšanja“ te da NIS „ne funkcionira kako je predviđeno u nekoliko ključnih područja, kao što su opseg propisa i mali broj podnesenih izvješća o incidentima“.[Viii]

Kako će CSRB riješiti ove probleme?

Nećemo se baviti svim predloženim revizijama na 100 stranica CSRB-a, pogotovo jer se mnoge neće nužno odnositi na zdravstveni sektor. Ipak, na višoj razini, DSIT opisuje CSRB kao izgrađen oko tri stupa:

Prošireni opsegCSRB bi proširio opseg NIS-a kako bi bolje obuhvatio „usluge koje su toliko bitne da bi njihov poremećaj utjecao na naš svakodnevni život“. Osim podatkovnih centara, pružatelja upravljanih usluga i kontrolera velikog opterećenja, najzanimljiviji dodatak je za „određene kritične dobavljače“, o čemu ćemo govoriti u nastavku.
Učinkoviti regulatoriCSRB bi regulatorima pružio jači skup alata kako bi se osiguralo usvajanje i provođenje novih NIS propisa. Uključivao bi novi režim izvješćivanja o incidentima, nove mehanizme razmjene informacija i zaštite te nove kazne za nepoštivanje propisa.
Omogućite otpornostCSRB bi uključivao alate koji bi omogućili vladi Ujedinjenog Kraljevstva da se dinamičnije prilagodi promjenjivim prijetnjama i nedostacima. Konkretno, CSRB bi omogućio donošenje sekundarnog zakonodavstva koje bi moglo „obuhvatiti više sektora ili ažurirati i uvesti nove sigurnosne i otporne zahtjeve“ te bi vladi pružio nove ovlasti koje bi im omogućile da „usmjere regulatore ili regulirane subjekte da poduzmu ciljane i proporcionalne mjere kao odgovor na neposredne prijetnje koje ugrožavaju nacionalnu sigurnost Ujedinjenog Kraljevstva“.[IX]

Put naprijed

CSRB je tek nedavno uveden u Donji dom i ima još puno toga za napraviti prije nego što bude potpisan i stupio na snagu.

Djelovanje i analiza
**Uključeno uz Health-ISAC članstvo**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Kontrolori velikih opterećenja definirani su kao „organizacije koje kontroliraju 300 MW električnog opterećenja ili više kako bi daljinski upravljale potrošačkim uređajima“

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Regulirani subjekti u ovom kontekstu uključivali bi određene ključne dobavljače prema DSIT-u.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities