Kesehatan-ISAC Peretasan Layanan Kesehatan 11-20-2015

November 20, 2025

Minggu ini, program Hacking Healthcare® dari Health-ISAC® mengkaji rancangan undang-undang (RUU) terbaru di Inggris Raya (UK) yang akan memperbarui regulasi Keamanan Jaringan dan Informasi (NIS). Bergabunglah dengan kami untuk membahas apa yang ingin dicapai pemerintah Inggris melalui undang-undang baru ini dan bagaimana undang-undang tersebut dapat memengaruhi sektor kesehatan.

Sebagai pengingat, ini adalah versi publik dari blog Hacking Healthcare. Untuk analisis dan opini yang lebih mendalam, jadilah anggota H-ISAC dan terima versi TLP Amber dari blog ini (tersedia di Portal Anggota.)

Versi PDF:

Versi Teks:

Selamat datang kembali di Hacking Healthcare®

Reformasi Regulasi Jaringan dan Keamanan Informasi (NIS) Inggris Diusulkan ke Parlemen

Ringkasan

Sebelum keluarnya Inggris dari Uni Eropa (UE), seperti semua anggota UE lainnya, Inggris mengadopsi peraturan dan arahan UE, seperti Peraturan Perlindungan Data Umum (GDPR), dengan mentranskripsikannya menjadi hukum nasional. Namun, sejak keluar dari UE pada tahun 2020, Inggris tidak lagi terikat oleh pendekatan kebijakan UE dan harus menentukan arahnya sendiri dalam isu-isu seperti keamanan siber dan privasi. Perpecahan ini telah mendorong Inggris untuk memperbarui hukum dan peraturan era UE secara perlahan, seringkali terinspirasi oleh pembaruan peraturan UE sendiri, dan sedikit tertinggal.

Salah satu regulasi era Uni Eropa yang paling krusial terkait keamanan siber di Inggris adalah Peraturan Jaringan dan Sistem Informasi 2018 (NIS). Sebagaimana yang dapat diduga, penerapan NIS di Inggris sangat mirip dengan negara-negara anggota Uni Eropa lainnya. Peraturan tersebut bertujuan untuk "[memberikan] langkah-langkah hukum guna meningkatkan tingkat keamanan secara keseluruhan (ketahanan siber dan fisik) jaringan dan sistem informasi yang krusial bagi penyediaan layanan digital (pasar daring, mesin pencari daring, layanan komputasi awan) dan layanan esensial (transportasi, energi, air, kesehatan, dan layanan infrastruktur digital)."[I]

Sementara Uni Eropa telah mendorong pembaruan NIS bertahun-tahun lalu, dengan implementasi penuh yang masih berlangsung dan tertinggal dari jadwal, Inggris baru sekarang membahas pembaruan NIS, dengan perkembangan terkini adalah diperkenalkannya RUU Keamanan dan Ketahanan Siber (CSRB) ke Parlemen.[Ii] RUU ini akan membentuk kembali NIS asli agar lebih mampu mengatasi perkembangan teknologi, lingkungan ancaman yang terus berkembang, dan mengatasi beberapa kekurangan pada iterasi pertama.

Mengapa Pembaruan?

Sebagaimana disebutkan sebelumnya, banyak hal telah berubah sejak 2018, dan perkembangan teknologi, lingkungan ancaman yang terus berkembang, kekurangan iterasi pertama NIS, serta kebebasan untuk merancang kebijakan khusus Inggris telah mendorong pembaruan ini. Lebih spesifiknya, pembaruan ini akan membahas:

Perkembangan Teknologi: Perkembangan teknologi seperti meningkatnya kekritisan pusat data, penyedia layanan terkelola, dan pengendali beban besar telah memberikan insentif untuk merevisi cakupan peraturan NIS agar mencakup teknologi yang lebih baru.[iii]
Lingkungan Ancaman yang Berkembang: Dalam ringkasan RUU tersebut, Departemen Sains, Inovasi & Teknologi (DSIT) menjelaskan bahwa “[p]enam belas tahun lalu, Inggris adalah negara yang paling banyak menjadi target di Eropa,” dan mengutip statistik yang menemukan bahwa “95% organisasi infrastruktur nasional penting di Inggris mengalami pelanggaran data pada tahun 2024.”[Iv] Selain itu, DSIT menyatakan bahwa “seiring dengan meningkatnya intensitas, frekuensi, dan kecanggihan ancaman, pertahanan kita pun menjadi relatif lebih lemah.”[V]
Kekurangan NIS: Dua Tinjauan Pasca-Implementasi (PIR) terhadap peraturan NIS dilakukan pada tahun 2020[Vi] dan 2022,[Vii] oleh pemerintah Inggris. Tinjauan ini menemukan beberapa kekurangan dalam peraturan NIS, termasuk temuan bahwa "meskipun organisasi telah mengambil langkah-langkah untuk memastikan keamanan jaringan dan sistem informasi mereka, laju perbaikan perlu dipercepat," dan bahwa NIS "tidak berfungsi sebagaimana mestinya di beberapa area utama, seperti cakupan peraturan dan sedikitnya jumlah laporan insiden yang diserahkan."[Viii]

Bagaimana CSRB Akan Menangani Masalah Ini?

Kami tidak akan membahas semua revisi yang diusulkan dalam 100 halaman CSRB, terutama karena banyak di antaranya belum tentu berlaku untuk sektor kesehatan. Namun, pada tingkat yang lebih tinggi, DSIT menggambarkan CSRB dibangun berdasarkan tiga pilar:

Cakupan yang DiperluasCSRB akan memperluas cakupan NIS agar lebih mencakup “layanan yang sangat penting, sehingga gangguan yang ditimbulkannya akan memengaruhi kehidupan kita sehari-hari.” Selain pusat data, penyedia layanan terkelola, dan pengendali beban besar, penambahan yang paling menarik adalah untuk “pemasok penting yang ditunjuk”, yang akan kami bahas di bawah ini.
Regulator yang EfektifCSRB akan menyediakan perangkat yang lebih kuat bagi regulator untuk memastikan penerapan dan penegakan peraturan NIS yang baru. Hal ini mencakup rezim pelaporan insiden baru, mekanisme dan perlindungan berbagi informasi baru, serta sanksi baru bagi ketidakpatuhan.
Aktifkan KetahananCSRB akan mencakup perangkat yang memungkinkan pemerintah Inggris beradaptasi secara lebih dinamis terhadap ancaman yang terus berkembang dan kekurangan yang muncul. Secara khusus, CSRB akan memungkinkan legislasi sekunder yang dapat "mencakup lebih banyak sektor, atau memperbarui dan memperkenalkan persyaratan keamanan dan ketahanan baru," dan memberikan kewenangan baru kepada pemerintah yang memungkinkan mereka untuk "mengarahkan regulator atau entitas yang diatur untuk mengambil tindakan yang terarah dan proporsional dalam menanggapi ancaman yang mengancam keamanan nasional Inggris."[Ix]

Jalan Maju

CSRB baru saja diperkenalkan di House of Commons dan masih banyak yang harus dilalui sebelum ditandatangani menjadi undang-undang.

Aksi dan Analisis
**Termasuk dalam Keanggotaan Health-ISAC**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Pengendali Beban Besar didefinisikan sebagai “organisasi yang mengendalikan beban listrik sebesar 300MW atau lebih untuk mengendalikan peralatan konsumen dari jarak jauh”

[iv] https://www.gov.uk/government/publications/dihapus-jaringan-keamanan-siber-dan-ketahanan-dan-sistem-informasi-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/gov/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/gov/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/tinjauan-implementasi-kedua-setelah-peraturan-jaringan-dan-sistem-informasi-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/dihapus-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/dihapus-jaringan-keamanan-siber-dan-ketahanan-dan-sistem-informasi-bill-factsheets/menunjuk-pemasok-kritis

[xi] https://www.gov.uk/government/publications/dihapus-jaringan-keamanan-siber-dan-ketahanan-dan-sistem-informasi-bill-factsheets/menunjuk-pemasok-kritis

[xii] https://www.gov.uk/government/publications/dihapus-jaringan-keamanan-siber-dan-ketahanan-dan-sistem-informasi-bill-factsheets/menunjuk-pemasok-kritis

[xiii] Entitas yang Diatur dalam konteks ini akan mencakup pemasok penting yang ditunjuk menurut DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/dihapus-keamanan-siber-dan-ketahanan-jaringan-dan-sistem-informasi-bill-factsheets/kekuatan-untuk-mengarahkan-entitas-yang-diatur