Health-ISAC Hacking Healthcare 11-20-2015

Denne uken undersøker Health-ISAC®s Hacking Healthcare® den nylige innføringen av et lovforslag i Storbritannia som vil oppdatere regelverket for nettverks- og informasjonssikkerhet (NIS). Bli med oss ​​når vi går gjennom hva den britiske regjeringen håper å oppnå med den nye lovgivningen og hvordan den kan påvirke helsesektoren.

Som en påminnelse er dette den offentlige versjonen av Hacking Healthcare-bloggen. For ytterligere dybdeanalyse og meninger, bli medlem av H-ISAC og motta TLP Amber-versjonen av denne bloggen (tilgjengelig i medlemsportalen.)

PDF-versjon: 

Tekstversjon:

Velkommen tilbake til Hacking Healthcare®.

Reform av forskriften om nettverks- og informasjonssikkerhet (NIS) i Storbritannia presentert for parlamentet 

Oversikt

Før Storbritannias uttreden fra EU, i likhet med alle EU-medlemmer, vedtok Storbritannia EU-forskrifter og -direktiver, som personvernforordningen (GDPR), ved å transkribere dem i nasjonal lov. Siden Storbritannia forlot EU i 2020, er landet imidlertid ikke lenger bundet av EUs politiske tilnærminger og har måttet stake ut sin egen kurs i spørsmål som nettsikkerhet og personvern. Resultatet av denne splittelsen har ført til at Storbritannia sakte oppdaterer sine lover og forskrifter fra EU-tiden, ofte inspirert av, og henger litt etter, EUs egne regelverksoppdateringer.

Blant de mer kritiske EU-relaterte forskriftene knyttet til cybersikkerhet i Storbritannia er Network and Information Systems Regulations 2018 (NIS). Som forventet var Storbritannias innføring av NIS svært lik resten av EUs medlemsland. Forskriftene tjente til å «[gi] juridiske tiltak for å øke det generelle sikkerhetsnivået (både cyber- og fysisk robusthet) for nettverks- og informasjonssystemer som er kritiske for levering av digitale tjenester (nettmarkedsplasser, nettsøkemotorer, skytjenester) og viktige tjenester (transport, energi, vann, helse og digitale infrastrukturtjenester).»[I]

Mens EU presset på med en NIS-oppdatering for mange år siden, med full implementering pågående og hengende etter skjema, er det først nå Storbritannia som tar tak i en NIS-oppdatering. Den nyeste utviklingen er innføringen av lovforslaget om cybersikkerhet og robusthet (CSRB) i parlamentet.[Ii] Dette lovforslaget ville omforme det opprinnelige NIS-systemet for bedre å håndtere den teknologiske utviklingen, et trusselmiljø i utvikling og for å bøte på noen av manglene i den første iterasjonen.

Hvorfor oppdateringen?

Som nevnt ovenfor har mye endret seg siden 2018, og teknologisk utvikling, det utviklende trusselmiljøet, mangler ved den første iterasjonen av NIS og frihet til å utarbeide britisk-spesifikk politikk har gitt insentiver til denne oppdateringen. Mer spesifikt vil oppdateringen ta for seg:

• Teknologisk utvikling: Teknologisk utvikling, som den økende kritiske betydningen av datasentre, leverandører av administrerte tjenester og store lastkontrollere, har gitt insentiver til å revidere omfanget av NIS-forskriftene for å dekke nyere teknologier.[iii]
• Utviklende trusselmiljø: I sitt sammendrag av lovforslaget forklarte Department for Science, Innovation & Technology (DSIT) at «[i] fjor var Storbritannia det mest utsatte landet i Europa», og viste til statistikk som fant at «95 % av Storbritannias kritiske nasjonale infrastrukturorganisasjoner opplevde et datainnbrudd i 2024».[Iv] I tillegg uttalte DSIT at «etter hvert som trusselen har blitt mer intens, hyppig og sofistikert, har forsvaret vårt blitt forholdsvis svakere».[V]
• Mangler ved NIS: To etterimplementeringsgjennomganger (PIR) av NIS-forskriftene ble gjennomført i 2020[Vi] og 2022,[Vii] av den britiske regjeringen. Disse gjennomgangene avdekket flere mangler ved NIS-forskriftene, inkludert funnene om at «selv om organisasjoner tok tiltak for å sikre sikkerheten til nettverks- og informasjonssystemene sine, måtte forbedringstakten økes», og at NIS «ikke fungerte som tiltenkt på flere viktige områder, som for eksempel omfanget av forskriftene og det lille antallet hendelsesrapporter som ble sendt inn».[Viii]

Hvordan vil CSRB håndtere disse problemene?

Vi vil ikke ta for oss alle de foreslåtte revisjonene innenfor CSRBs 100 sider, spesielt siden mange ikke nødvendigvis vil gjelde for helsesektoren. Likevel beskriver DSIT på et høyere nivå CSRB som bygget rundt tre søyler:

• Utvidet omfangCSRB vil utvide omfanget av NIS til bedre å omfatte «tjenester som er så viktige at forstyrrelsen av dem vil påvirke hverdagen vår.» Bortsett fra datasentre, leverandører av administrerte tjenester og store lastkontrollere, er det mest interessante tillegget «utpekte kritiske leverandører», som vi vil ta opp nedenfor.
• Effektive regulatorerCSRB vil gi regulatorer et sterkere verktøysett for å sikre at de nye NIS-forskriftene blir vedtatt og håndhevet. Det vil blant annet omfatte et nytt regime for hendelsesrapportering, nye mekanismer og beskyttelsesmekanismer for informasjonsdeling, og nye straffer for manglende overholdelse.
• Aktiver motstandskraftCSRB vil inkludere verktøy som gjør det mulig for den britiske regjeringen å tilpasse seg mer dynamisk til utviklende trusler og nye mangler. CSRB vil spesielt muliggjøre sekundærlovgivning som kan bringe «flere sektorer inn i virkeområdet, eller oppdatere og innføre nye sikkerhets- og robusthetskrav», og gi regjeringen nye fullmakter som vil tillate dem å «pålegge regulatorer eller regulerte enheter å iverksette målrettede og proporsjonale tiltak som svar på overhengende trusler som setter Storbritannias nasjonale sikkerhet i fare».[Ix]

Veien videre 

CSRB har nettopp blitt introdusert i Underhuset, og det er en vei å gå før den blir vedtatt.

Handling og analyse
**Inkludert med Health-ISAC-medlemskap**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Store lastkontrollere er definert som «organisasjoner som kontrollerer 300 MW elektrisk last eller mer for å fjernstyre forbrukerapparater»

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Regulerte enheter i denne sammenhengen vil inkludere utpekte kritiske leverandører i henhold til DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] De forklarende merknadene til CSRB gir eksempler på hendelser knyttet til forhåndsposisjonering og løsepengevirus.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

• Relaterte ressurser og nyheter
• Health-ISAC Hacking Healthcare 4-14-2026
• Mythos og lignende AI-verktøy øker innsatsen for cybersikkerhet i helsevesenet
• Sykehus i Massachusetts avviser ambulanser etter cyberangrep
• Podkast: Phil Englert om nettsikkerhet for medisinsk utstyr
• Trusselen fra innsiden øker igjen
• «Tapt mulighet»: Den amerikanske regjeringens fravær fra RSAC-konferansen etterlater et stort tomrom
• Health-ISAC Hacking Healthcare 3-26-2026
• Health-ISAC Hacking Healthcare 3-19-2026
• Helse-ISAC Månedlig nyhetsbrev – april 2026
• Etterrapport: Helse-ISAC Resiliensøvelser 2025