Birleşik Krallık hükümeti, ülkenin temel hizmetlerine yönelik korumayı artırmayı amaçlayan bir yasa tasarısı olan Siber Güvenlik ve Dayanıklılık Yasa Tasarısı’nı tanıttı. Mevzuat, şu anda ulaşım, enerji ve sağlık hizmetlerine odaklanan mevcut ağ ve bilgi sistemleri kurallarının kapsamını genişletiyor. Yeni yasa tasarısı, veri merkezleri, akıllı enerji operatörleri ve kritik altyapıyı destekleyen büyük BT hizmet sağlayıcıları da dahil olmak üzere daha geniş bir yelpazedeki kuruluşları düzenleyici çerçeveye dahil ediyor. Hükümet yetkilileri, amacın elektrik, su ve toplu taşıma gibi günlük hizmetleri etkileyen kesinti olasılığını azaltmak olduğunu söyledi.
Teklife göre, yönetmelik kapsamındaki kuruluşlar daha katı raporlama gereklilikleriyle karşı karşıya kalacak. Önemli siber olayların 24 saat içinde ilgili düzenleyiciye ve Ulusal Siber Güvenlik Merkezi’ne bildirilmesi gerekecektir. Daha sonra 72 saat içinde tam bir olay raporu istenecektir. Yetkililer, daha kısa raporlama zaman çizelgesinin daha hızlı müdahalelerin koordine edilmesine ve temel sektörleri etkileyen tehditlere ilişkin görünürlüğün artırılmasına yardımcı olacağına inanıyor. Tasarı aynı zamanda düzenleyicilere belirli tedarikçileri kritik olarak belirleme yetkisi veriyor ve bu da onları ek gözetim altına alacak.
Mevzuat, kamu sektörü kuruluşlarını destekleyen orta ve büyük ölçekli BT hizmet sağlayıcıları için güvenlik yükümlülükleri getirmektedir. Bu, bu şirketlerin birçoğunun siber riskle ilgili olarak ilk kez resmi olarak düzenleneceği anlamına geliyor. Hükümet yetkilileri, sektörün ulusal altyapıyı tehlikeye atmak isteyen saldırganlar için giderek daha yaygın bir rota haline geldiğini söyledi. Tasarı, bu tedarikçileri düzenleyici kapsama sokarak, hem Birleşik Krallık içinde hem de dışında son olaylara katkıda bulunan tedarik zincirlerindeki güvenlik açıklarını gidermeyi amaçlıyor.
Sektörün tepkisi ve beklenen etki
Endüstri grupları tasarıyı ulusal siber politika açısından ileriye doğru atılmış önemli bir adım olarak nitelendirdi. Güvenlik uzmanları, bunun siber güvenliği başlığına dahil eden ilk Birleşik Krallık yasası olduğunu ve bunun da temel endüstrilerde dijital korumaya daha güçlü bir vurgu yapıldığına işaret ettiğini belirtti. Etkilenmesi muhtemel sektörlerdeki kuruluşlara, operasyonlarının önerilen gerekliliklerle nasıl uyumlu olduğunu değerlendirmeleri tavsiye edildi. Daha önce düzenlemeye tabi tutulmamış birçok firmanın olay raporlama süreçlerini iyileştirmeye, tedarik zinciri bağımlılıklarını denetlemeye ve iç güvenlik standartlarını gözden geçirmeye odaklanması gerekebilir.
Hükümet, yeni kuralların aşamalı olarak uygulanacağını belirtti. Bazı gereklilikler, tasarının Kraliyet Onayını almasından kısa bir süre sonra yürürlüğe girecek, diğerleri ise daha fazla istişare ve ikincil mevzuat gerektirecek. Bu aşamalı tanıtım, kritik sektörlerin savunmalarını gecikmeden güçlendirmelerini sağlarken kuruluşlara uyum sağlamaları için zaman tanımayı amaçlamaktadır. Yetkililer, nihai ayrıntılar şekillenirken düzenleyicilerden, endüstri gruplarından ve hizmet sağlayıcılardan katılım beklediklerini söyledi.
Analistler, tasarının temel hizmetlere yönelik artan sayıda saldırı bağlamında geldiğine dikkat çekti. Suç grupları ve devlete bağlı aktörler, hassas ağlara dolaylı erişim sağlayan tedarik zincirlerini giderek daha fazla hedef alıyor. Genişletilmiş düzenleme, hizmet sağlayıcılar arasında hesap verebilirliği netleştirerek ve ulusal altyapıyı etkileyebilecek olayların görünürlüğünü artırarak bu riskleri ele almak için tasarlanmıştır. Su, sağlık, enerji, lojistik ve bulut hizmetlerinde çalışan kuruluşlar, siber güvenliği yönetme biçimlerinde önemli değişikliklerle karşı karşıya kalabilir.
Kamu sektörü kuruluşlarının da dış ortaklarının güncellenen kurallara uymasını sağlamaları beklenecektir. Tasarı, hükümetin, temel hizmetlerin, kendi güvenlik uygulamaları ulusal dayanıklılığı etkileyen geniş bir tedarikçi ağına dayandığı yönündeki görüşünü güçlendiriyor. Politika yapıcılar, bu ilişkilerin gözetimini resmileştirerek saldırganların istismar ettiği boşlukları kapatmayı amaçlıyor. Bilim, Yenilik ve Teknoloji Bakanlığı, mevzuatın temel hizmetlerin sürekliliğini korumaya yardımcı olacağını ve ülkenin gelecekteki tehditlere yanıt verme yeteneğini güçlendireceğini söyledi.
Tasarı yasama sürecinde ilerlemeye devam edecek ve sektör ve düzenleyicilerle yapılan istişarelere dayalı olarak daha fazla değişiklik yapılabilir. Kalan adımlara rağmen hükümet yetkilileri öneriyi Birleşik Krallık’ın uzun vadeli dijital güvenlik stratejisinin önemli bir parçası olarak sundu. Tedarik zinciri esnekliğine, daha hızlı olay raporlamasına ve daha net düzenleyici otoriteye odaklanması, tehdit ortamı geliştikçe temel altyapının daha güçlü korumalar gerektirdiğinin giderek daha fazla kabul edildiğini yansıtıyor.