Health-ISAC Hacking Healthcare 11

November 20, 2025

Ta teden Health-ISAC®-jeva rubrika Hacking Healthcare® preučuje nedavno uvedbo zakona Združenega kraljestva (UK), ki bi posodobil predpise o varnosti omrežij in informacij (NIS). Pridružite se nam, ko bomo analizirali, kaj si britanska vlada želi doseči z novo zakonodajo in kako bi lahko vplivala na zdravstveni sektor.

Naj vas spomnimo, da je to javna različica spletnega dnevnika Hacking Healthcare. Za dodatno poglobljeno analizo in mnenje postanite član H-ISAC in prejmite TLP Amber različico tega bloga (na voljo na portalu za člane).

PDF Version:

Besedilna različica:

Dobrodošli nazaj v Hacking Healthcare®.

Parlamentu predstavljena reforma predpisov o varnosti omrežij in informacij (NIS) v Združenem kraljestvu

Pregled

Pred izstopom Združenega kraljestva iz Evropske unije (EU) je Združeno kraljestvo, tako kot vse članice EU, sprejelo uredbe in direktive EU, kot je Splošna uredba o varstvu podatkov (GDPR), tako da jih je preneslo v nacionalno zakonodajo. Vendar pa od izstopa iz EU leta 2020 ni več vezano na politične pristope EU in je moralo začrtati lastno pot glede vprašanj, kot sta kibernetska varnost in zasebnost. Posledica te delitve je, da je Združeno kraljestvo počasi posodabljalo svoje zakone in predpise iz obdobja EU, pri čemer se je pogosto zgledovalo po posodobitvah predpisov EU in za njimi nekoliko zaostajalo.

Med pomembnejšimi predpisi iz obdobja EU, povezanimi s kibernetsko varnostjo v Združenem kraljestvu, so predpisi o omrežjih in informacijskih sistemih iz leta 2018 (NIS). Kot bi pričakovali, je bilo sprejetje NIS v Združenem kraljestvu zelo podobno kot v preostalih državah članicah EU. Predpisi so služili kot »[zagotavljanje] pravnih ukrepov za povečanje splošne ravni varnosti (tako kibernetske kot fizične odpornosti) omrežij in informacijskih sistemov, ki so ključni za zagotavljanje digitalnih storitev (spletni trgi, spletni iskalniki, storitve računalništva v oblaku) in bistvenih storitev (prometne, energetske, vodne, zdravstvene in digitalne infrastrukturne storitve)«.[I]

Medtem ko je EU že pred leti pospešila posodobitev NIS, pri čemer je njeno polno izvajanje še vedno v teku in zaostaja za urnikom, se Združeno kraljestvo šele zdaj loteva posodobitve NIS, pri čemer je najnovejši dogodek vložitev zakona o kibernetski varnosti in odpornosti (CSRB) v parlament.[Ii] Ta zakon bi preoblikoval prvotni NIS, da bi bolje obravnaval tehnološki razvoj, razvijajoče se okolje groženj in odpravil nekatere pomanjkljivosti prve različice.

Zakaj posodobitev?

Kot že omenjeno, se je od leta 2018 veliko spremenilo, tehnološki razvoj, spreminjajoče se okolje groženj, pomanjkljivosti prve različice NIS in proste roke pri oblikovanju politike, specifične za Združeno kraljestvo, pa so spodbudili to posodobitev. Posodobitev bo natančneje obravnavala:

Tehnološki razvoj: Tehnološki razvoj, kot je vse večja kritičnost podatkovnih centrov, ponudnikov upravljanih storitev in velikih krmilnikov obremenitev, je spodbudil revizijo področja uporabe predpisov NIS, da bi zajeli novejše tehnologije.[iii]
Razvoj okolja groženj: Ministrstvo za znanost, inovacije in tehnologijo (DSIT) je v povzetku zakona pojasnilo, da je bilo »lani Združeno kraljestvo najbolj tarča v Evropi«, in navedlo statistiko, ki je pokazala, da je »95 % britanskih organizacij za kritično nacionalno infrastrukturo leta 2024 doživelo kršitev podatkov«.[Iv] Poleg tega je DSIT izjavil, da je »naša obramba postala relativno šibkejša, saj je grožnja postala intenzivnejša, pogostejša in bolj sofisticirana«.[V]
Pomanjkljivosti NIS: Leta 2020 sta bila izvedena dva pregleda po uvedbi predpisov NIS.[Vi] in 2022,[Vii] s strani vlade Združenega kraljestva. Ti pregledi so odkrili več pomanjkljivosti v predpisih o NIS, vključno z ugotovitvami, da »čeprav so organizacije sprejemale ukrepe za zagotavljanje varnosti svojih omrežij in informacijskih sistemov, je treba pospešiti tempo izboljšav« in da NIS »na več ključnih področjih, kot sta obseg predpisov in majhno število predloženih poročil o incidentih, ni deloval po pričakovanjih«.[VIII]

Kako bo CSRB rešil te težave?

Vseh predlaganih sprememb CSRB se ne bomo lotili na 100 straneh, še posebej ker se mnoge ne bodo nujno nanašale na zdravstveni sektor. Kljub temu DSIT na višji ravni opisuje CSRB kot gradnjo na treh stebrih:

Razširjeno področje uporabeCSRB bi razširil obseg NIS, da bi bolje zajel »storitve, ki so tako bistvene, da bi njihova motnja vplivala na naše vsakdanje življenje«. Poleg podatkovnih centrov, ponudnikov upravljanih storitev in krmilnikov velikih obremenitev je najbolj zanimiv dodatek »določeni kritični dobavitelji«, ki jih bomo obravnavali v nadaljevanju.
Učinkoviti regulatorjiCSRB bi regulatorjem zagotovil močnejši nabor orodij za zagotovitev sprejetja in izvrševanja novih predpisov NIS. Vključen bi bil nov režim poročanja o incidentih, novi mehanizmi za izmenjavo informacij in zaščito ter nove kazni za neupoštevanje predpisov.
Omogočanje odpornostiCSRB bi vključeval orodja, ki bi britanski vladi omogočila bolj dinamično prilagajanje razvijajočim se grožnjam in nastajajočim pomanjkljivostim. CSRB bi zlasti omogočil sekundarno zakonodajo, ki bi lahko „vključila več sektorjev ali posodobila in uvedla nove zahteve glede varnosti in odpornosti“, ter vladi zagotovila nova pooblastila, ki bi ji omogočila, da „usmerja regulatorje ali regulirane subjekte k sprejemanju ciljno usmerjenih in sorazmernih ukrepov v odgovor na neposredne grožnje, ki ogrožajo nacionalno varnost Združenega kraljestva“.[IX]

Pot naprej

Zakon o CSRB je bil šele pred kratkim predstavljen v spodnjem domu britanskega parlamenta in ima pred seboj še nekaj časa, preden bo sprejet v zakon.

Akcija in analiza
**Vključeno s članstvom Health-ISAC**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Krmilniki velikih obremenitev so opredeljeni kot »organizacije, ki nadzorujejo 300 MW električne obremenitve ali več za daljinsko upravljanje potrošniških aparatov«.

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Regulirani subjekti v tem kontekstu vključujejo določene ključne dobavitelje v skladu z DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities