Vai al contenuto principale

Salute-ISAC Hacking Healthcare 11-20-2015

Questa settimana, Hacking Healthcare® di Health-ISAC® esamina la recente introduzione di un disegno di legge nel Regno Unito che aggiornerebbe le normative sulla sicurezza delle reti e delle informazioni (NIS). Unitevi a noi per analizzare gli obiettivi che il governo britannico si propone di raggiungere con la nuova legislazione e il suo possibile impatto sul settore sanitario.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

 

Versione PDF: 

 

Versione del testo:

Bentornati su Hacking Healthcare®.

Presentata al Parlamento la riforma della regolamentazione sulla sicurezza delle reti e delle informazioni (NIS) del Regno Unito 

Panoramica

Prima dell'uscita del Regno Unito dall'Unione Europea (UE), come tutti i membri dell'UE, il Regno Unito ha adottato regolamenti e direttive UE, come il Regolamento generale sulla protezione dei dati (GDPR), recependoli nel diritto nazionale. Tuttavia, da quando ha lasciato l'UE nel 2020, non è più vincolato dagli approcci politici dell'UE e ha dovuto tracciare la propria rotta su questioni come la sicurezza informatica e la privacy. Il risultato di questa scissione ha portato il Regno Unito a intraprendere un percorso di lento aggiornamento delle sue leggi e normative dell'era UE, spesso ispirandosi, e rimanendo leggermente indietro, rispetto agli aggiornamenti normativi dell'UE stessa.

Tra le normative più importanti dell'era UE in materia di sicurezza informatica nel Regno Unito c'è il Regolamento sui Sistemi Informativi e sulle Reti del 2018 (NIS). Come prevedibile, l'adozione del NIS da parte del Regno Unito è stata molto simile a quella del resto degli Stati membri dell'UE. Il regolamento mirava a "[fornire] misure legali per aumentare il livello complessivo di sicurezza (resilienza sia informatica che fisica) dei sistemi di rete e informativi fondamentali per la fornitura di servizi digitali (mercati online, motori di ricerca online, servizi di cloud computing) e servizi essenziali (trasporti, energia, acqua, sanità e servizi infrastrutturali digitali)".[I]

Mentre l'UE ha portato avanti un aggiornamento NIS anni fa, con la piena attuazione in corso e in ritardo rispetto alla tabella di marcia, il Regno Unito sta affrontando un aggiornamento NIS solo ora, con lo sviluppo più recente che è l'introduzione del disegno di legge sulla sicurezza informatica e la resilienza (CSRB) in Parlamento.[Ii] Questo disegno di legge rimodellerebbe il NIS originale per rispondere meglio agli sviluppi tecnologici, a un ambiente di minacce in continua evoluzione e per colmare alcune delle carenze della prima iterazione.

 

Perché l'aggiornamento?

Come accennato in precedenza, molto è cambiato dal 2018 e gli sviluppi tecnologici, l'evoluzione del contesto delle minacce, le carenze della prima iterazione del NIS e la libertà di elaborare politiche specifiche per il Regno Unito hanno incentivato questo aggiornamento. Più specificamente, l'aggiornamento affronterà:

  • Sviluppi tecnologici: gli sviluppi tecnologici come la crescente criticità dei data center, dei fornitori di servizi gestiti e dei grandi controllori di carico hanno incentivato la revisione dell’ambito delle normative NIS per coprire le tecnologie più recenti.[iii]
  • Ambiente di minaccia in evoluzione: nel suo riassunto del disegno di legge, il Dipartimento per la scienza, l'innovazione e la tecnologia (DSIT) ha spiegato che "l'anno scorso, il Regno Unito è stato il paese più preso di mira in Europa" e ha citato statistiche che hanno rilevato che "il 95% delle organizzazioni infrastrutturali nazionali critiche del Regno Unito ha subito una violazione dei dati nel 2024".[Iv] Inoltre, il DSIT ha affermato che "dato che la minaccia è diventata più intensa, frequente e sofisticata, le nostre difese sono diventate relativamente più deboli".[V]
  • Carenze del NIS: nel 2020 sono state condotte due revisioni post-implementazione (PIR) delle normative NIS[Vi] e 2022,[Vii] dal governo del Regno Unito. Queste revisioni hanno rilevato diverse carenze nelle normative NIS, tra cui la conclusione che "sebbene le organizzazioni stessero adottando misure per garantire la sicurezza delle loro reti e dei loro sistemi informativi, il tasso di miglioramento doveva essere accelerato" e che il NIS "non funzionava come previsto in diverse aree chiave, come l'ambito di applicazione delle normative e il numero limitato di segnalazioni di incidenti presentate".[Viii]

 

In che modo il CSRB affronterà questi problemi?

Non affronteremo tutte le revisioni proposte nelle 100 pagine del CSRB, soprattutto perché molte non si applicheranno necessariamente al settore sanitario. Tuttavia, a un livello più ampio, il DSIT descrive il CSRB come basato su tre pilastri:

  • Ambito ampliato: Il CSRB amplierebbe l'ambito di applicazione del NIS per comprendere meglio "servizi così essenziali che la loro interruzione avrebbe ripercussioni sulla nostra vita quotidiana". Oltre ai data center, ai fornitori di servizi gestiti e ai grandi controllori di carico, l'aggiunta più interessante riguarda i "fornitori critici designati", che affronteremo di seguito.
  • Regolatori efficaci: Il CSRB fornirebbe alle autorità di regolamentazione un set di strumenti più solido per garantire l'adozione e l'applicazione delle nuove normative NIS. Tra questi, un nuovo regime di segnalazione degli incidenti, nuovi meccanismi e tutele per la condivisione delle informazioni e nuove sanzioni per la non conformità.
  • Abilita la resilienza: Il CSRB includerebbe strumenti che consentirebbero al governo del Regno Unito di adattarsi in modo più dinamico alle minacce in evoluzione e alle carenze emergenti. In particolare, il CSRB consentirebbe una legislazione secondaria che potrebbe includere "più settori nell'ambito di applicazione, o aggiornare e introdurre nuovi requisiti di sicurezza e resilienza", e fornirebbe nuovi poteri al governo che consentirebbero loro di "indirizzare le autorità di regolamentazione o le entità regolamentate ad adottare misure mirate e proporzionate in risposta a minacce imminenti che mettono a rischio la sicurezza nazionale del Regno Unito".[Ix]

 

Percorso in avanti 

Il CSRB è stato appena presentato alla Camera dei Comuni e c'è ancora molta strada da fare prima di diventare legge.

 

Azione e analisi
**Incluso con l'iscrizione a Health-ISAC**

 

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] I controllori di carico di grandi dimensioni sono definiti come “organizzazioni che controllano 300 MW di carico elettrico o più per controllare a distanza gli apparecchi di consumo”

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Le entità regolamentate in questo contesto includerebbero i fornitori critici designati secondo DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] Le Note esplicative del CSRB forniscono esempi di incidenti di pre-posizionamento e ransomware.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

  • Risorse e notizie correlate
Bisogna innovare perché il criminale informatico è sempre innovatore
Il governo federale e l'AHA avvertono nuovamente il settore sanitario dell'evoluzione della minaccia Akira