Den britiske lov om cybersikkerhed og modstandsdygtighed sigter mod at stramme reglerne for teknologisektoren

Storbritannien har taget skridt til at udvide sit digitale sikkerhedsnet med den formelle introduktion af Cyber Security and Resilience-loven i parlamentet.

Forslaget kommer på et tidspunkt, hvor angreb på forretningsnetværk, offentlige tjenester og kritisk infrastruktur fortsætter med at stige, hvilket presser regeringen til at udvide reguleringens omfang.

Lovforslaget fokuserer på at styrke beskyttelsen på tværs af et bredere sæt teknologitjenesteudbydere og lukke huller, der er blevet mere synlige, efterhånden som organisationer er afhængige af eksterne IT-tjenester.

Den skitserer også nye beføjelser, rapporteringspligter og forebyggende foranstaltninger, der skal begrænse skader fra nationale sikkerhedstrusler og nye risici forbundet med kunstig intelligens, især efterhånden som flere sektorer integrerer avancerede digitale værktøjer.

Bredere sikkerhedsopgaver

Lovforslaget vil udvide eksisterende regler for netværk og informationssystemer til flere teknologivirksomheder.

IT-administrationsvirksomheder, tekniske supportudbydere og cybersikkerhedsservicefirmaer ville blive underlagt de samme krav, som allerede er pålagt essentielle serviceoperatører.

Lovgivningen fastslår, at bøder for manglende overholdelse kan knyttes til den årlige udskiftning, hvilket skaber stærkere incitamenter for virksomheder til at opfylde regulatoriske standarder.

Målet er at sikre, at leverandører, der vedligeholder nøgledigitale systemer, opfylder en samlet sikkerhedsbaseline, hvilket reducerer svage led i forsyningskæderne og forbedrer den generelle robusthed i sammenkoblede netværk.

Nye regeringsbeføjelser

Lovgivningen foreslår at give teknologisekretæren beføjelse til at instruere tilsynsmyndigheder og organisationer i at tage forebyggende handling, når trusler vurderes at udgøre nationale sikkerhedsrisici.

Disse retningslinjer vil gælde for hændelser, der involverer kritisk infrastruktur og cyberaktivitet med stor påvirkning.

Foranstaltningen afspejler stigende bekymring over statsforbundne operationer, der retter sig mod vestlige netværk.

Regeringsrepræsentanter siger, at lovforslaget er designet til at bringe Storbritannien tættere på EU-standarder og styrke modstandsdygtigheden over for aktører tilknyttet Kina, Iran og Nordkorea, som alle er blevet forbundet med forstyrrende aktiviteter.

Finansielle og operationelle risici

Forskning bestilt af Department for Science, Innovation and Technology anslår den gennemsnitlige pris ved et alvorligt cyberangreb i Storbritannien til £190.000 pr. hændelse, hvilket udgør omkring £14,7 milliarder om året.

Disse tal fremhæver omfanget af forstyrrelser, virksomheder står overfor, når angribere udnytter sårbarheder i netværk og digitale tjenester.

De udvidede regler har til formål at forbedre rapporteringsprocesser og responstider, hjælpe organisationer med at begrænse tab og komme sig hurtigere efter brud, samtidig med at de opmuntrer til større gennemsigtighed på tværs af berørte sektorer.

Bekæmpelse af misbrug af kunstig intelligens

Lovforslaget dækker også nye risici knyttet til AI. Den indeholder bestemmelser for at forhindre skabelsen af materiale om seksuelt misbrug af børn gennem kunstig intelligens.

For at opnå dette vil lovgivningen give betroede organisationer som AI-udviklere og velgørenhedsorganisationer mulighed for at udføre kontrollerede tests på AI-modeller.

Formålet er at identificere og rette sårbarheder, før skadeligt indhold kan produceres, hvilket tilføjer et ekstra beskyttelseslag, efterhånden som AI-værktøjer bliver mere avancerede og udbredte i virksomheder, skoler og offentlige tjenester.