Yhdistyneen kuningaskunnan kyberturvallisuus- ja resilienssilaki pyrkii tiukentamaan teknologiasektorin sääntöjä

Yhdistynyt kuningaskunta on laajentanut digitaalista turvaverkkoaan virallisesti esittelemällä Cyber Security and Resilience -lain parlamentissa.

Ehdotus saapuu aikana, jolloin hyökkäykset yritysverkkoihin, julkisiin palveluihin ja kriittiseen infrastruktuuriin jatkavat kasvuaan, mikä kannustaa hallitusta laajentamaan sääntelyn soveltamisalaa.

Lakiesitys keskittyy suojan vahvistamiseen laajemmalla teknologiapalveluntarjoajien joukolla, kaventaen näkyviä aukkoja, jotka ovat tulleet näkyvämmiksi organisaatioiden riippuessa ulkoisista IT-palveluista.

Siinä määritellään myös uusia valtuuksia, raportointivelvollisuuksia ja ennaltaehkäiseviä toimenpiteitä, joiden tarkoituksena on rajoittaa kansallisen turvallisuuden uhkien ja tekoälyyn liittyvien uusien riskien aiheuttamat vahingot, erityisesti kun yhä useammat sektorit ottavat käyttöön kehittyneitä digitaalisia työkaluja.

Laajemmat turvallisuustehtävät

Lakiesitys laajentaisi olemassa olevia verkko- ja tietojärjestelmiä koskevia sääntöjä useampiin teknologiayrityksiin.

IT-hallintayritykset, teknisen tuen tarjoajat ja kyberturvallisuuspalveluyritykset joutuisivat samojen vaatimusten piiriin, jotka jo asetetaan välttämättömille palveluntarjoajille.

Lainsäädännössä todetaan, että sääntöjen rikkomisesta aiheutuvat rangaistukset voisivat olla sidoksissa vuosittaiseen liikevaihtoon, mikä luo vahvempia kannustimia yrityksille noudattaa sääntelystandardeja.

Tavoitteena on varmistaa, että keskeiset digitaaliset järjestelmät ylläpitävät toimittajat täyttävät yhtenäisen turvallisuuslähtökohdan, vähentäen heikkoja lenkkejä toimitusketjuissa ja parantaen yhdistettyjen verkkojen yleistä resilienssiä.

Uudet hallituksen valtuudet

Lainsäädäntö ehdottaa, että teknologiaministerille annetaan valtuudet ohjeistaa sääntelijöitä ja organisaatioita ryhtymään ennaltaehkäiseviin toimiin, kun uhkien katsotaan aiheuttavan kansallisen turvallisuuden riskejä.

Nämä ohjeet koskevat kriittistä infrastruktuuria ja korkean vaikuttavuuden kybertoimintaa koskevia tapauksia.

Toimenpide heijastaa kasvavia huolia valtioihin liittyvistä operaatioista, jotka kohdistuvat länsimaisiin verkostoihin.

Viranomaiset sanovat, että lakiesitys on suunniteltu tuomaan Iso-Britannia lähemmäs Euroopan unionin standardeja ja vahvistamaan resilienssiä Kiinaan, Iraniin ja Pohjois-Koreaan liittyviä toimijoita vastaan, jotka kaikki on yhdistetty häiritsevään toimintaan.

Taloudelliset ja operatiiviset riskit

Tiede-, innovaatio- ja teknologiaministeriön tilaama tutkimus arvioi vakavan kyberhyökkäyksen keskimääräiseksi kustannuksiksi Isossa-Britanniassa 190 000 puntaa per tapaus, mikä on noin 14,7 miljardia puntaa vuodessa.

Nämä luvut korostavat yritysten kohtaamien häiriöiden laajuutta, kun hyökkääjät hyödyntävät verkkojen ja digitaalisten palveluiden haavoittuvuuksia.

Laajennetut säännöt pyrkivät parantamaan raportointiprosesseja ja vasteaikoja, auttaen organisaatioita rajoittamaan tappioita ja toipumaan nopeammin tietomurtojen jälkeen sekä kannustamaan enemmän läpinäkyvyyttä koskevilla sektoreilla.

Tekoälyn väärinkäytön torjunta

Lakiesitys kattaa myös tekoälyyn liittyvät uudet riskit. Se sisältää määräyksiä, jotka estävät lapsiin kohdistuvan seksuaalisen hyväksikäytön materiaalin luomisen tekoälyjärjestelmien avulla.

Tämän saavuttamiseksi lainsäädäntö sallisi luotettujen organisaatioiden, kuten tekoälykehittäjien ja hyväntekeväisyysjärjestöjen, suorittaa kontrolloituja testejä tekoälymalleilla.

Tarkoituksena on tunnistaa ja korjata haavoittuvuudet ennen kuin haitallista sisältöä voidaan tuottaa, lisäten suojakerrosta, kun tekoälytyökalut kehittyvät ja niitä käytetään laajemmin yrityksissä, kouluissa ja julkisissa palveluissa.