Gesondheet-ISAC Hacking Gesondheetswiesen 11-20-2015

Dës Woch ënnersicht den Hacking Healthcare® vun Health-ISAC® déi rezent Aféierung vun engem Gesetzesprojet am Vereenegte Kinnekräich (UK), deen d'Netzwierk- a Informatiounssécherheetsreglementer (NIS) aktualiséiere soll. Kommt mat eis zesummen, wa mir erklären, wat d'britesch Regierung mat der neier Gesetzgebung erreeche wëll a wéi se sech op de Gesondheetssecteur auswierke kéint.

Als Erënnerung ass dëst déi ëffentlech Versioun vum Hacking Healthcare Blog. Fir zousätzlech déif Analyse a Meenung, gitt Member vun H-ISAC a kritt d'TLP Amber Versioun vun dësem Blog (verfügbar am Member Portal.)

PDF Versioun: 

Text Versioun:

Wëllkomm zréck op Hacking Healthcare®.

Reform vun der britescher Reguléierung iwwer Netzwierk- a Informatiounssécherheet (NIS) gouf dem Parlament virgestallt 

Iwwersiicht

Virum Austrëtt vu Groussbritannien aus der Europäescher Unioun (EU) huet Groussbritannien, wéi all aner EU-Memberstaaten, EU-Reglementer an Direktiven, wéi d'Allgemeng Dateschutzveruerdnung (GDPR), ugeholl an se an nationaalt Recht ëmgesat. Zënter dem Austrëtt aus der EU am Joer 2020 ass et awer net méi un d'EU-Politik gebonnen a muss säin eegene Kurs a Froen ewéi Cybersécherheet a Privatsphär bestëmmen. D'Resultat vun dëser Trennung huet Groussbritannien dozou gefouert, seng Gesetzer a Reglementer aus der EU-Ära lues a lues z'aktualiséieren, dacks inspiréiert vun den Aktualiséierunge vun der EU-Reglementéierung a liicht hannendrun.

Zu de méi kritesche Reglementer aus der EU-Ära am Vereenegte Kinnekräich am Zesummenhang mat Cybersécherheet gehéiert d'Network and Information Systems Regulations 2018 (NIS). Wéi een et erwaart, war d'Adoptioun vum NIS a Groussbritannien ganz ähnlech wéi déi an de Rescht vun den EU-Memberstaaten. D'Reglementer hunn dozou gedéngt, "gesetzlech Moossnamen ze schafen, fir den allgemenge Sécherheetsniveau (souwuel Cyber- wéi och kierperlech Widderstandsfäegkeet) vun Netzwierk- an Informatiounssystemer ze stäerken, déi fir d'Bereitstellung vun digitale Servicer (Online-Maartplazen, Online-Sichmaschinnen, Cloud-Computing-Servicer) a wesentleche Servicer (Transport, Energie, Waasser, Gesondheet a digital Infrastrukturservicer) entscheedend sinn".[i]

Wärend d'EU viru Jore mat engem NIS-Update weidergedriwwen huet, während déi voll Ëmsetzung amgaang ass a mam Zäitplang hannert sech läit, adresséiert Groussbritannien eréischt elo en NIS-Update. Déi rezentst Entwécklung ass d'Aféierung vum Cyber ​​Security and Resilience Bill (CSRB) am Parlament.[ii] Dëse Gesetzesprojet géif den ursprénglechen NIS nei gestalten, fir besser op technologesch Entwécklungen, engem sech entwéckelnden Bedrohungsëmfeld reagéieren an e puer vun de Mängel vun der éischter Iteratioun auszegläichen.

Firwat den Update?

Wéi uewe scho gesot, huet sech vill geännert zënter 2018, an déi technologesch Entwécklungen, déi sech entwéckelend Bedrohungsëmfeld, d'Mängel vun der éischter Iteratioun vum NIS, an d'Fräiheet fir eng spezifesch Politik fir Groussbritannien ze entwéckelen, hunn dës Aktualiséierung motivéiert. Méi spezifesch wäert d'Aktualiséierung folgendes adresséieren:

• Technologesch Entwécklungen: Technologesch Entwécklungen, wéi déi ëmmer méi kritesch Bedeitung vun Datenzentren, Managed Service Provider a Grousslastcontroller, hunn d'Iwwerpréiwung vum Ëmfang vun den NIS-Reglementer fir méi nei Technologien ugedriwwen.[iii]
• Entwéckelnd Bedrohungsëmfeld: An senger Zesummefassung vum Gesetzesprojet huet den Department for Science, Innovation & Technology (DSIT) erkläert, datt "[l]escht Joer Groussbritannien dat meescht gezielt Land an Europa war", a zitéiert Statistiken, déi festgestallt hunn, datt "95% vun de kriteschen nationalen Infrastrukturorganisatiounen a Groussbritannien am Joer 2024 eng Datenverletzung erlieft hunn".[iv] Zousätzlech huet den DSIT festgestallt, datt "well d'Bedroung méi intensiv, heefeg a sophistikéiert ginn ass, eis Verteidegung am Verglach méi schwaach gi ass."[v]
• Mängel vum NIS: Zwee Post-Implementation Reviews (PIR) vun den NIS-Reglementer goufen am Joer 2020 duerchgefouert.[vi] an 2022,[vii] vun der britescher Regierung. Dës Iwwerpréiwunge hunn e puer Mängel an den NIS-Reglementer festgestallt, dorënner d'Resultater, datt "obwuel d'Organisatiounen Moossname getraff hunn, fir d'Sécherheet vun hiren Netzwierk- an Informatiounssystemer ze garantéieren, d'Verbesserungsquote muss beschleunegt ginn", an datt den NIS "a verschiddene Schlësselberäicher net wéi virgesinn funktionéiert huet, wéi zum Beispill den Ëmfang vun de Reglementer an déi kleng Zuel vun Incidentrapporter, déi agereecht goufen".[viii]

Wéi wäert d'CSRB dës Problemer ugoen?

Mir wäerten net all déi proposéiert Ännerungen an den 100 Säite vum CSRB behandelen, besonnesch well vill net onbedéngt fir de Gesondheetssecteur gëllen. Op engem méi héijen Niveau beschreift den DSIT de CSRB awer als op dräi Piliere baséiert:

• Erweidert ËmfangDe CSRB géif den Ëmfang vum NIS erweideren, fir "Servicer, déi sou essentiell sinn, datt hir Stéierung eist Alldag beaflosse géif." Nieft Datenzentren, Managed Service Provider a Grousslastcontroller ass déi interessantst Ergänzung "designéiert kritesch Fournisseuren", op déi mir hei ënnendrënner agoen.
• Effektiv ReguléiererD'CSRB géif de Reguléierungsautoritéiten e méi staarkt Toolkit ubidden, fir d'Adoptioun an d'Ëmsetzung vun den neien NIS-Reglementer ze garantéieren. Dozou gehéieren en neit Regime fir d'Meldung vun Incidenter, nei Mechanismen a Schutzmoossnamen fir d'Informatiounsaustausch, an nei Strofe fir d'Net-Konformitéit.
• Resilienz aktivéierenDe CSRB géif Instrumenter enthalen, déi et der britescher Regierung erméiglechen, sech méi dynamesch un déi sech entwéckelnd Bedrohungen an nei Mängel unzepassen. Besonnesch géif de CSRB sekundär Gesetzgebung erméiglechen, déi "méi Secteuren an den Ëmfang brénge kéint, oder nei Sécherheets- a Widderstandsfäegkeetsufuerderungen aktualiséiere kéint an aféieren", a géif der Regierung nei Befugnisser ginn, déi et hinnen erméiglechen, "Reguléierungsautoritéiten oder reglementéiert Entitéiten ze instruéieren, gezielt an proportional Moossnamen als Äntwert op imminent Bedrohungen ze huelen, déi d'national Sécherheet vu Groussbritannien a Gefor bréngen".[ix]

Wee Forward 

De CSRB ass eréischt am House of Commons agefouert ginn an et huet nach e Wee ze goen, ier e Gesetz ënnerschriwwe gëtt.

Aktioun an Analyse
** Mat der Gesondheets-ISAC Memberschaft abegraff **

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Grousslastcontroller ginn definéiert als "Organisatiounen, déi 300 MW elektresch Laascht oder méi kontrolléieren, fir Konsumentapparater op Distanz ze kontrolléieren".

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Reguléiert Entitéiten an dësem Kontext géifen designéiert kritesch Fournisseuren no DSIT enthalen.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] D'Erklärungen zum CSRB ginn Beispiller vu Virpositiouns- a Ransomware-Incidente.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

• Zesummenhang Ressourcen & Neiegkeeten
• Spidol a Massachusetts refuséiert Ambulanzen no Cyberattack
• Podcast: Phil Englert iwwer Cybersécherheet vu medizineschen Apparater
• D'Insider-Gefor klëmmt erëm
• 'Verpasst Geleeënheet': D'Feele vun der US-Regierung op der RSAC-Konferenz léisst eng däitlech Lück hanner.
• Gesondheet-ISAC Hacking Gesondheetswiesen 3-26-2026
• Gesondheet-ISAC Hacking Gesondheetswiesen 3-19-2026
• Gesondheets-ISAC Méintlech Newsletter – Abrëll 2026
• Nom Aktiounsbericht: Health-ISAC Resilience Exercise Serie 2025
• Firwat d'Roll vu Microsoft Intune beim Cyberattack vu Stryker eng erschreckend Perspektiv ass
• Den texanesche Gouverneur huet eng staatlech Iwwerpréiwung vu chinesesch produzéierter Medizintechnologie ugeuerdnet.