זה היה הרבה זמן. אחרי שעקבו אחריו עד לאחור כמו נאום המלך בשנת 2024, ה הצעת חוק אבטחת סייבר וחוסן (CSRB) סוף סוף הוצג לפרלמנט. ב-20 החודשים שחלפו בערך, התשתית הלאומית הקריטית של בריטניה (CNI) נפגעה מחלקה לא מבוטל של אירועים גדולים - החל מ... סיננוביס מתקפת כופר ועד גניבת ריגול סייבר חסרת תקדים שכוונה למשרד הביטחון.
העובדה שמגזרי שירותים חיוניים (CNI) זקוקים לדחיפה רגולטורית כדי לשפר את האבטחה והחוסן אינה מוטלת בספק. השאלה היא כיצד יכולים מפעילי שירותים חיוניים (OES) ועמיתיהם הדיגיטליים להתמודד עם נטל הציות הנוסף הצפוי להם?
את מי זה מכסה?
הרשימה הסופית של הארגונים הנכללים במסגרת התוכנית טרם פורסמה. אך היא בוודאי תכלול את המגזרים שכבר מכוסים על ידי תקנות ה-NIS משנת 2018, אותן מעדכן הצעת החוק. אלה כוללים שירותי בריאות, תחבורה, אנרגיה, מים ותשתיות דיגיטליות. כולם מסווגים כ-OES.
ה-CSRB יחול גם על:
- ספקי שירותים דיגיטליים רלוונטיים (RDSPs): ספקי שירותים דיגיטליים אחרים כגון אלו המציעים מחשוב ענן, מנועי חיפוש וזירות מסחר מקוונות
- מפעילי מרכזי נתונים
- ספקי שירותים מנוהלים (MSPs)
- חברות המנהלות "זרימת חשמל למכשירים חכמים" ונקודות טעינה לרכבים חשמליים.
מה כתוב בהצעת החוק?
החקיקה עדיין מתקדם דרך הפרלמנט. עם זאת, סביר להניח שנראה לפחות את הצעדים המרכזיים הבאים שיאומצו:
- לרגולטורים יוענקו סמכויות למנות ספקים קריטיים אשר חייבים לעמוד בתקני אבטחה מינימליים. זאת על מנת לסגור כל פער אבטחה בשרשרת האספקה.
- חברת OES תידרש לנהל סיכוני שרשרת האספקה באופן פרואקטיבי יותר, אם כי חובות חדשות אלה יצטרכו להיות מוגדרות בחקיקה משנית.
- על OES לעמוד ב"דרישות אבטחה פרופורציונליות ועדכניות" שנלקחו ממסגרת הערכת הסייבר (CAF) של NCSC ותואמות מקרוב ל-NIS 2.
- היקף רחב יותר של אירועים חייבים בדיווח – כך שיכלול כעת אירועים "שיכולים להשפיע באופן משמעותי על אספקת שירות חיוני או דיגיטלי" וכן "אירועים המשפיעים באופן משמעותי על הסודיות, הזמינות והשלמות של מערכת".
- דרישות מחמירות יותר לדיווח על אירועים: דיווח ראשוני ל-NCSC חייב להתרחש לא יאוחר מ-24 שעות לאחר אירוע, ולאחר מכן דיווח מלא תוך 72 שעות. ספקי שירותי דיגיטליים ומרכזי נתונים יצטרכו גם להודיע ללקוחות על כל הפרעה בשירות.
- משרד נציב המידע (ICO) יקבל סמכויות חדשות שיסייעו לו לזהות את ספקי השירותים הדיגיטליים הקריטיים ביותר ולהעריך באופן יזום את סיכוני הסייבר שלהם.
- רגולטורים יוכלו לגבות עלויות באמצעות משטר עמלות חדש
- יוטלו עונשים מחמירים יותר על עבירות חמורות - יעלו ל-17 מיליון ליש"ט או 4/10% מהמחזור
- שר הטכנולוגיה יקבל סמכויות חדשות להורות לרגולטורים ולחברות מערכות מסחריות לנקוט צעדים ספציפיים כדי למנוע התקפות במקרים בהם קיים איום על הביטחון הלאומי. זה יכול לכלול תיקון או בידוד של מערכות קריטיות.
זמן להתכונן
למרות שהחקיקה עדיין צריכה לעבור בפרלמנט, סביר להניח שהיא לא תשתנה הרבה מכיוון ש"אבטחת הסייבר נותרה סוגיה מדיניות א-פוליטית במידה רבה", לדברי ורונה ג'ונסטון-הולס, ראש ענייני הממשלה בקבוצת NCC בבריטניה. משמעות הדבר היא שצוותי אבטחה ותאימות יכולים להקדים את המשחק על ידי תכנון מסעות הציות שלהם כבר עכשיו.
""כארגון, הצעד הראשון הוא לקבוע האם אתם אכן נמצאים תחת התחום. עבור רבים, זה יהיה ברור יחסית - בין אם משום שאתם כבר מוסדרים תחת תקן NIS של בריטניה ובין אם משום שהארגון שלכם עומד בבירור בהגדרות ובספים של המגזרים הנכללים תחת החוק", היא אומרת ל-ISMS.online.
"עבור אותם ארגונים שניתן להגדירם כ'ספקים קריטיים' – ולכן כפופים לכללי מערכות מידע ושירותים – ייתכן שיהיה פחות ברור האם תעמדו בסף ה'קריטי'. סקירה מדוקדקת של הלקוחות שלכם וסוגי השירותים והמוצרים שאתם מספקים תעזור לקבוע האם סביר להניח שתוגדרו כ'קריטיים' בעתיד."
ריאנון וובסטר, ראש מחלקת אבטחת סייבר בבריטניה במשרד עורכי הדין העולמי Ashurst, מסכימה שחברות יכולות לקבל יתרון בתאימות.
"הייתי אומרת שסביר להניח שקטגוריות האנשים החדשים הנכללים במסגרת לא ישתנו ולכן חברות אלו צריכות לנער את האבק מתוכניות התגובה הקיברנטית שלהן", היא אומרת ל-ISMS.online. "עליהן להיערך לחובות דיווח מוגברות, לבחון את מסגרות אבטחת הסייבר שלהן מול הדרישות הצפויות, ולבחון היטב את שרשרת האספקה והחוזים שלהן. ייתכן שיהיה צורך לעבור מתהליכי הרכש לחובות."
ג'ונסטון-הולס מקבוצת NCC מייעצת לצוותים:
- צרו קשר מוקדם עם הממשלה והרגולטורים
- שיפור הממשל והאחריותיות על ידי הבטחת תמיכה ברמת הדירקטוריון בתוכניות ציות
- הערכת תהליכים וטכנולוגיות קיימים לתגובה לאירועים כדי להבין מה עשוי להידרש להשתנות
שרלוט ווקר-אוסבורן, מנהלת ידע במשרד עורכי הדין קליפורד צ'אנס, מזהירה ארגונים בבריטניה הנמצאים כעת תחת תוכנית NIS2 להתכונן לנטל ציות גדול יותר.
"מכיוון שהיקף הצעת החוק לביטחון הסייבר והחוסן של בריטניה שונה במקצת מחקיקת הסייבר של האיחוד האירופי במובנים שונים, חברות רב-לאומיות הפועלות ברחבי אירופה יצטרכו, שוב, להתמודד עם ההשלכות המעשיות של עמידה בשני משטרים נפרדים", היא אומרת ל-ISMS.online.
"היא מבקשת להתאים את עצמה לחלקים מ-NIS 2, אך גם מכירה באתגרים של בריטניה עצמה."
כיצד תקנים יכולים לעזור
ג'וליאן בראון, יועץ מנהל בקבוצת NCC, מסביר שחלק מהפרטים הטכניים המרכזיים טרם הובהרו. אלה כוללים את אמצעי האבטחה "המתאימים והמידתיים" שצפויים מארגונים לנקוט. כאן התקנים הקיימים יכולים לעזור.
"בעוד שצפויים פרטים נוספים – כולל באמצעות קוד נוהג והנחיות ספציפיות למגזר מצד רגולטורים – סטנדרטים ומסגרות קיימות של אבטחת סייבר יכולים לסייע בעמידה בדרישות על ידי מתן גישה מובנית, ניתנת לביקורת ומוכרת בינלאומית לעמידה בדרישות הליבה של הצעת החוק", הוא אומר ל-ISMS.online.
"השימוש בתקנים אלה יוצר גם את הראיות שהרגולטורים מצפים להן: הערכת סיכונים, מדיניות, בקרות, מדדים ופעילויות שיפור מתמיד. ISO 27001 מציע זאת באמצעות מערכות ה-ISMS שלו, ה-CAF באמצעות מודל הבטחת התוצאות שלו, NIST CSF דרך מחזור חיי הממשל שלו, ו-62443 דרך דרישות האבטחה הספציפיות ל-OT שלו. אימוץ כל אחת מהמסגרות הללו פירושו שארגון יכול להראות בביטחון שהוא מנהל סיכוני סייבר בצורה פרופורציונלית, אחראית וניתנת להגנה לאחר כניסת החקיקה לתוקף."
עדיין יש הרבה דברים באוויר. ווקר-אוסבורן מקליפורד צ'אנס אומרת שעדיין לא ברור האם הצעת החוק תכלול תוכניות שפורסמו לאחרונה לאסור תשלומי כופר ולחייב דיווח עבור חלק מהחברות. היקף משטר העונשים עשוי להיות נתון לדיון, בהתחשב במצב הכלכלי הקשה, היא מוסיפה.
עם זאת, בהחלט יש מספיק דברים לעשות. ארגונים חכמים יותר כבר פועלים ISO 27001 או תוכניות ציות אחרות צריכות למצוא את דרישות הצעת החוק כהקלה הרבה יותר.
