Il disegno di legge britannico sulla sicurezza informatica e la resilienza mira a inasprire le regole del settore tecnologico

Il Regno Unito ha cercato di ampliare la propria rete di sicurezza digitale con l'introduzione formale del disegno di legge sulla Cyber Security and Resilience in Parlamento.

La proposta arriva in un momento in cui gli attacchi alle reti commerciali, ai servizi pubblici e alle infrastrutture critiche continuano ad aumentare, spingendo il governo ad ampliare l'ambito della regolamentazione.

Il disegno di legge si concentra sul rafforzamento della protezione in un insieme più ampio di fornitori di servizi tecnologici, colmando le lacune che sono diventate più visibili poiché le organizzazioni dipendono da servizi IT esterni.

Descrive inoltre nuovi poteri, doveri di rendicontazione e misure preventive volte a limitare i danni causati dalle minacce alla sicurezza nazionale e dai rischi emergenti legati all'intelligenza artificiale, soprattutto con l'integrazione di sempre più settori digitali avanzati.

Mansioni di sicurezza più ampie

Il disegno di legge estenderebbe le regole esistenti sui Sistemi di Rete e Informazioni a più aziende tecnologiche.

Le aziende di gestione IT, i fornitori di supporto tecnico e le società di servizi di cybersecurity sarebbero sottoposti agli stessi requisiti già imposti agli operatori di servizi essenziali.

La legislazione stabilisce che le sanzioni per la mancata conformità potrebbero essere legate al fatturato annuale, creando incentivi più forti per le aziende a rispettare gli standard normativi.

L'obiettivo è garantire che i fornitori che mantengono i sistemi digitali chiave soddisfino un livello unificato di sicurezza, riducendo i punti deboli all'interno delle catene di approvvigionamento e migliorando la resilienza generale delle reti interconnesse.

Nuovi poteri governativi

La legislazione propone di conferire al segretario alla tecnologia l'autorità di istruire regolatori e organizzazioni a prendere provvedimenti preventivi quando le minacce sono giudicate rappresentare rischi per la sicurezza nazionale.

Queste direttive si applicherebbero agli incidenti che coinvolgono infrastrutture critiche e attività cibernetiche ad alto impatto.

La misura riflette le crescenti preoccupazioni riguardo alle operazioni collegate agli stati che prendono di mira le reti occidentali.

I funzionari governativi affermano che il disegno di legge è pensato per avvicinare il Regno Unito agli standard dell'Unione Europea e rafforzare la resilienza contro attori associati a Cina, Iran e Corea del Nord, tutti collegati ad attività dirompenti.

Rischi finanziari e operativi

Una ricerca commissionata dal Dipartimento per la Scienza, l'Innovazione e la Tecnologia stima il costo medio di un grave attacco informatico nel Regno Unito a £190.000 per incidente, per un totale di circa £14,7 miliardi ogni anno.

Questi dati evidenziano la portata delle interruzioni che le aziende affrontano mentre gli attaccanti sfruttano vulnerabilità nelle reti e nei servizi digitali.

Le regole ampliate mirano a migliorare i processi di rendicontazione e i tempi di risposta, aiutando le organizzazioni a limitare le perdite e a riprendersi più rapidamente dopo le violazioni, incoraggiando al contempo una maggiore trasparenza tra i settori interessati.

Affrontare l'abuso dell'intelligenza artificiale

Il disegno di legge copre anche i rischi emergenti legati all'IA. Include disposizioni per prevenire la creazione di materiale di abuso sessuale su minori tramite sistemi di intelligenza artificiale.

Per raggiungere questo obiettivo, la legislazione consentirebbe a organizzazioni di fiducia come sviluppatori di IA e enti di beneficenza di effettuare test controllati sui modelli di IA.

Lo scopo è identificare e correggere vulnerabilità prima che possano essere prodotti contenuti dannosi, aggiungendo un livello di protezione man mano che gli strumenti di IA diventano più avanzati e ampiamente utilizzati in aziende, scuole e servizi pubblici.