Sağlık-ISAC Sağlık Hizmetlerini Hackliyor 11-20-2015

20 Kasım 2025

Bu hafta, Health-ISAC®'ın Hacking Healthcare® programı, Birleşik Krallık'ın (BK) Ağ ve Bilgi Güvenliği (NIS) yönetmeliklerini güncelleyecek olan yeni yasa tasarısını inceliyor. Birleşik Krallık hükümetinin yeni yasayla neler başarmayı umduğunu ve bunun sağlık sektörünü nasıl etkileyebileceğini ele alırken bize katılın.

Hatırlatma olarak, bu Hacking Healthcare blogunun herkese açık versiyonudur. Daha derinlemesine analiz ve görüş için H-ISAC üyesi olun ve bu blogun TLP Amber versiyonunu edinin (Üye Portalında mevcuttur.)

PDF Versiyonu:

Metin Versiyonu:

Hacking Healthcare®'e tekrar hoş geldiniz.

Birleşik Krallık Ağ ve Bilgi Güvenliği (NIS) Düzenleme Reformu Parlamentoya Sunuldu

Genel Bakış

Birleşik Krallık'ın Avrupa Birliği'nden (AB) ayrılmasından önce, tüm AB üyeleri gibi, Birleşik Krallık da Genel Veri Koruma Yönetmeliği (GDPR) gibi AB düzenlemelerini ve direktiflerini ulusal hukuka aktararak benimsemişti. Ancak, 2020'de AB'den ayrıldığından beri artık AB politika yaklaşımlarına bağlı değil ve siber güvenlik ve gizlilik gibi konularda kendi yolunu çizmek zorunda kaldı. Bu ayrışmanın sonucu, Birleşik Krallık'ı AB dönemi yasa ve yönetmeliklerini yavaş yavaş güncelleme yoluna sürükledi; bu süreçte, genellikle AB'nin kendi düzenleme güncellemelerinden ilham alıyor ve biraz geride kalıyordu.

Birleşik Krallık'taki siber güvenlikle ilgili en kritik AB dönemi düzenlemeleri arasında 2018 Ağ ve Bilgi Sistemleri Yönetmeliği (NIS) yer alıyor. Tahmin edebileceğiniz gibi, Birleşik Krallık'ın NIS'i benimsemesi diğer AB üye devletleriyle oldukça benzerdi. Yönetmelikler, "dijital hizmetlerin (çevrimiçi pazar yerleri, çevrimiçi arama motorları, bulut bilişim hizmetleri) ve temel hizmetlerin (ulaşım, enerji, su, sağlık ve dijital altyapı hizmetleri) sağlanması için kritik öneme sahip ağ ve bilgi sistemlerinin genel güvenlik düzeyini (hem siber hem de fiziksel dayanıklılık) artırmak için yasal önlemler sağlamayı" amaçlıyordu.[I]

AB, NIS güncellemesini yıllar önce başlatmış ve tam uygulama devam ederken ve programın gerisinde kalmışken, İngiltere NIS güncellemesini ancak şimdi ele alıyor ve en son gelişme Siber Güvenlik ve Dayanıklılık Yasa Tasarısı'nın (CSRB) Parlamento'ya sunulması oldu.[Ii] Bu yasa tasarısı, orijinal NIS'i teknolojik gelişmelere, değişen tehdit ortamına daha iyi yanıt verecek ve ilk yinelemenin bazı eksikliklerini giderecek şekilde yeniden şekillendirecektir.

Neden Güncelleme?

Yukarıda da belirtildiği gibi, 2018'den bu yana çok şey değişti ve teknolojik gelişmeler, değişen tehdit ortamı, NIS'in ilk versiyonunun eksiklikleri ve Birleşik Krallık'a özgü politika taslağı hazırlama özgürlüğü bu güncellemeyi teşvik etti. Daha spesifik olarak, güncelleme şunları ele alacak:

Teknolojik Gelişmeler: Veri merkezlerinin, yönetilen hizmet sağlayıcılarının ve büyük yük denetleyicilerinin giderek artan kritikliği gibi teknolojik gelişmeler, NIS düzenlemelerinin kapsamının daha yeni teknolojileri kapsayacak şekilde revize edilmesini teşvik etmiştir.[iii]
Gelişen Tehdit Ortamı: Bilim, İnovasyon ve Teknoloji Bakanlığı (DSIT), yasa tasarısının özetinde, "Geçen yıl, Birleşik Krallık Avrupa'da en çok hedef alınan ülkeydi" açıklamasında bulundu ve "Birleşik Krallık'ın kritik ulusal altyapı kuruluşlarının %95'inin 2024'te veri ihlali yaşadığını" belirten istatistiklere atıfta bulundu.[IV] ' DSIT ayrıca, "Tehdit daha yoğun, sık ve karmaşık hale geldikçe savunmamız da nispeten zayıfladı" ifadesini kullandı.[V]
NIS'in Eksiklikleri: 2020 yılında NIS yönetmeliklerinin iki Uygulama Sonrası İncelemesi (PIR) gerçekleştirildi[Vi] ve 2022,[VII] Birleşik Krallık hükümeti tarafından. Bu incelemeler, NIS yönetmeliklerinde çeşitli eksiklikler tespit etti. Bunlar arasında, "kuruluşlar ağ ve bilgi sistemlerinin güvenliğini sağlamak için önlemler alsa da, iyileştirme hızının artırılması gerektiği" ve NIS'in "yönetmeliklerin kapsamı ve sunulan olay raporlarının azlığı gibi bazı temel alanlarda amaçlandığı gibi çalışmadığı" tespitleri de yer alıyor.[VIII]

CSRB Bu Sorunları Nasıl Ele Alacak?

CSRB'nin 100 sayfalık metninde önerilen tüm revizyonları ele almayacağız, özellikle de birçoğu sağlık sektörüne uygulanmayacağı için. Yine de, DSIT daha üst bir düzeyde CSRB'nin üç temel üzerine kurulu olduğunu belirtiyor:

Genişletilmiş KapsamCSRB, NIS kapsamını "günlük hayatımızı etkileyecek kadar önemli olan hizmetleri" daha iyi kapsayacak şekilde genişletecektir. Veri merkezleri, yönetilen hizmet sağlayıcıları ve büyük yük denetleyicilerinin yanı sıra, en ilginç ekleme, aşağıda ele alacağımız "belirlenmiş kritik tedarikçiler" içindir.
Etkili DüzenleyicilerCSRB, düzenleyicilere yeni NIS düzenlemelerinin benimsenmesini ve uygulanmasını sağlamak için daha güçlü bir araç seti sağlayacaktır. Bu kapsamda yeni bir olay bildirim sistemi, yeni bilgi paylaşım mekanizmaları ve korumaları ve uyumsuzluk durumunda yeni cezalar yer alacaktır.
Dayanıklılığı EtkinleştirinCSRB, Birleşik Krallık hükümetinin gelişen tehditlere ve ortaya çıkan eksikliklere daha dinamik bir şekilde uyum sağlamasını sağlayacak araçlar içerecektir. CSRB, özellikle "daha fazla sektörü kapsam altına alabilecek veya yeni güvenlik ve dayanıklılık gerekliliklerini güncelleyip uygulamaya koyabilecek" ikincil mevzuatı mümkün kılacak ve hükümete, "düzenleyicileri veya düzenlenen kuruluşları, Birleşik Krallık ulusal güvenliğini riske atan yakın tehditlere yanıt olarak hedefli ve orantılı eylemlerde bulunmaları yönünde yönlendirmelerine" olanak sağlayacak yeni yetkiler sağlayacaktır.[IX]

Yol İleri

CSRB, Avam Kamarası'na yeni sunuldu ve yasalaşması için daha çok zaman geçmesi gerekiyor.

Eylem ve Analiz
**Health-ISAC Üyeliğine Dahildir**

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Büyük Yük Kontrolörleri, "tüketici cihazlarını uzaktan kontrol etmek için 300 MW veya daha fazla elektrik yükünü kontrol eden kuruluşlar" olarak tanımlanmaktadır

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Bu bağlamda Düzenlenen Kuruluşlar, DSIT'ye göre belirlenmiş kritik tedarikçileri kapsayacaktır.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities