Il governo del Regno Unito ha introdotto il Cyber Security and Resilience Bill, una proposta di legge volta ad aumentare la protezione dei servizi essenziali del Paese. La legislazione amplia l’ambito di applicazione delle norme esistenti in materia di reti e sistemi informativi, che attualmente si concentrano sui trasporti, l’energia e l’assistenza sanitaria. Il nuovo disegno di legge introduce nel quadro normativo una gamma più ampia di organizzazioni, tra cui data center, operatori di energia intelligente e principali fornitori di servizi IT che supportano le infrastrutture critiche. I funzionari governativi hanno affermato che l’obiettivo è ridurre la probabilità di interruzioni che interessano i servizi quotidiani come elettricità, acqua e trasporti pubblici.
In base alla proposta, le organizzazioni interessate dal regolamento sarebbero soggette a obblighi di comunicazione più rigorosi. Gli incidenti informatici significativi dovrebbero essere segnalati entro 24 ore all’autorità di regolamentazione competente e al Centro nazionale per la sicurezza informatica. Entro 72 ore sarebbe quindi richiesto un rapporto completo sull’incidente. Le autorità ritengono che la tempistica di segnalazione più breve aiuterà a coordinare risposte più rapide e a migliorare la visibilità delle minacce che interessano i settori essenziali. Il disegno di legge concede inoltre alle autorità di regolamentazione il potere di designare determinati fornitori come critici, il che li porrebbe sotto ulteriore supervisione.
La legislazione introduce obblighi di sicurezza per i fornitori di servizi IT di medie e grandi dimensioni che supportano le organizzazioni del settore pubblico. Questa è la prima volta che molte di queste aziende saranno formalmente regolamentate in relazione al rischio informatico. I funzionari governativi hanno affermato che il settore è diventato un percorso sempre più comune per gli aggressori che cercano di compromettere l’infrastruttura nazionale. Inserendo questi fornitori nell’ambito di applicazione normativo, il disegno di legge mira ad affrontare le vulnerabilità nelle catene di approvvigionamento che hanno contribuito ai recenti incidenti sia all’interno che all’esterno del Regno Unito.
Risposta del settore e impatto previsto
I gruppi industriali hanno descritto il disegno di legge come un significativo passo avanti per la politica informatica nazionale. Gli esperti di sicurezza hanno osservato che è la prima legge del Regno Unito a includere la sicurezza informatica nel suo titolo, il che segnala una maggiore enfasi sulla protezione digitale all’interno dei settori essenziali. Alle organizzazioni dei settori che potrebbero essere interessati è stato consigliato di valutare in che modo le loro operazioni si allineano ai requisiti proposti. Molte aziende che non sono state precedentemente regolamentate potrebbero dover concentrarsi sul miglioramento dei processi di segnalazione degli incidenti, sul controllo delle dipendenze della catena di approvvigionamento e sulla revisione degli standard di sicurezza interni.
Il governo ha dichiarato che le nuove regole saranno attuate in più fasi. Alcuni requisiti entrerebbero in vigore subito dopo che il disegno di legge avrà ricevuto l’assenso reale, mentre altri richiederebbero ulteriori consultazioni e legislazione secondaria. Questa introduzione graduale ha lo scopo di dare alle organizzazioni il tempo di adattarsi, garantendo al contempo che i settori critici rafforzino le loro difese senza indugio. I funzionari hanno detto che si aspettano un impegno da parte delle autorità di regolamentazione, dei gruppi industriali e dei fornitori di servizi man mano che i dettagli finali saranno definiti.
Gli analisti hanno sottolineato che il disegno di legge arriva nel contesto di un numero crescente di attacchi ai servizi essenziali. I gruppi criminali e gli attori statali hanno preso sempre più di mira le catene di approvvigionamento, che offrono un accesso indiretto alle reti sensibili. Il regolamento ampliato è concepito per affrontare questi rischi chiarendo la responsabilità tra i fornitori di servizi e migliorando la visibilità degli incidenti che potrebbero influire sull’infrastruttura nazionale. Le organizzazioni che lavorano nei settori dell’acqua, della sanità, dell’energia, della logistica e dei servizi cloud potrebbero dover affrontare cambiamenti sostanziali nel modo in cui gestiscono la sicurezza informatica.
Gli enti pubblici dovranno inoltre garantire che i loro partner esterni rispettino le norme aggiornate. Il disegno di legge rafforza l’opinione del governo secondo cui i servizi essenziali si basano su un’ampia rete di fornitori le cui pratiche di sicurezza influenzano la resilienza nazionale. Formalizzando la supervisione di queste relazioni, i responsabili politici mirano a colmare le lacune sfruttate dagli aggressori. Il Dipartimento per la Scienza, l’Innovazione e la Tecnologia ha affermato che la legislazione aiuterà a mantenere la continuità dei servizi essenziali e a rafforzare la capacità della nazione di rispondere alle minacce future.
Il disegno di legge continuerà a muoversi attraverso il processo legislativo e ulteriori emendamenti potrebbero essere introdotti sulla base di consultazioni con l’industria e le autorità di regolamentazione. Nonostante i passaggi rimanenti, i funzionari governativi hanno presentato la proposta come una parte fondamentale della strategia di sicurezza digitale a lungo termine del Regno Unito. L’attenzione alla resilienza della supply chain, alla segnalazione più rapida degli incidenti e a un’autorità normativa più chiara riflette il crescente riconoscimento del fatto che le infrastrutture essenziali richiedono protezioni più forti man mano che il panorama delle minacce si evolve.